Negli ultimi anni, il panorama della sicurezza informatica e della protezione dei dati personali ha subito cambiamenti radicali, imponendo alle aziende una revisione profonda dei ruoli interni.
L’entrata in vigore della Direttiva europea NIS2, insieme al consolidamento degli obblighi introdotti dal GDPR, ha generato la necessità di una figura professionale ibrida, capace di integrare competenze tecniche e giuridiche: il Data Protection & Cybersecurity Officer, figura anche in linea con il Cyber Legal, Policy & Compliance Officer, definito nello European Cybersecurity Skills Framework (ECFS) del giugno 2025.
In questo articolo, analizziamo come la NIS2 e le norme collegate stiano ridefinendo le responsabilità del DPO e del CISO, suggerendo modelli organizzativi e formativi adeguati ad affrontare efficacemente le crescenti minacce cyber e gli obblighi di compliance normativa.
Indice degli argomenti
Come NIS2 ridefinisce il ruolo del dpo nella gestione del rischio cyber
La Direttiva NIS2 ha introdotto un quadro normativo uniforme per innalzare il livello di cybersecurity in 18 settori critici a livello UE, estendendo il campo di applicazione a nuovi ambiti (servizi digitali, telecomunicazioni, pubblica amministrazione locale e centrale, servizi postali, manifatturiero critico, ecc.) e richiedendo alle organizzazioni medio-grandi di adottare misure di gestione del rischio informatico appropriate e di notificare incidenti di sicurezza significativi alle autorità competenti.
Inoltre, prevede obblighi di governance e mutua il principio di accountability del top management per la sicurezza. Adesso gli organi direttivi possono essere ritenuti responsabili in caso di mancata adozione di misure di cybersecurity adeguate. Questo eleva definitivamente la sicurezza informatica a tema da Consiglio di Amministrazione, in parallelo a quanto già avvenuto con la protezione dei dati personali dopo l’entrata in vigore del GDPR (Regolamento UE 2016/679).
In questo contesto, il ruolo del DPO conosce una significativa evoluzione. Tradizionalmente incaricato di presidiare la conformità al GDPR – quindi focalizzato su aspetti di privacy (liceità dei trattamenti, diritti degli interessati, misure a tutela dei dati personali) – il DPO oggi si trova coinvolto anche nelle strategie di cyber risk management imposte da NIS2.
La normativa NIS2, pur non prevedendo formalmente una figura analoga al DPO, di fatto ridefinisce le aspettative nei confronti di chi si occupa di protezione dati: nelle organizzazioni soggette a NIS2, il DPO deve essere parte integrante del sistema di gestione della sicurezza. Non è più pensabile una separazione netta tra compliance privacy e sicurezza IT, soprattutto nei settori critici: ogni piano di adeguamento a NIS2 richiede di coinvolgere il DPO sin dalle prime fasi, data l’interdipendenza tra protezione dei dati e misure di sicurezza cibernetica .
Va sottolineato che il DPO, in base al GDPR, mantiene un ruolo di consulenza, controllo e sensibilizzazione, più che di operatività diretta. Come evidenziato anche dalle linee guida del WP29/EDPB sul DPO, questa figura deve agire in autonomia e indipendenza, senza assumere compiti che ne compromettano la terzietà. Ciò significa che il DPO non è (né con NIS2 diventa) il diretto responsabile dell’implementazione delle misure di cybersecurity – ruolo che tipicamente spetta al CISO o ai team IT. Tuttavia, il DPO può e deve farsi promotore attivo di tali misure, fornendo indicazioni e assicurandosi che le garanzie per gli interessati rimangano efficaci nel nuovo assetto organizzativo.
In pratica, al DPO spetta il compito di verificare che gli interventi per adeguarsi a NIS2 rispettino i principi di data protection by design e by default, e che venga mantenuto un corretto bilanciamento tra esigenze di sicurezza e tutela dei diritti. Emblematico è, ad esempio, il caso dei controlli di sicurezza interni sui dipendenti: l’aumento della sorveglianza per ragioni di cybersecurity non deve mai violare la privacy dei lavoratori oltre i limiti consentiti (si pensi ai vincoli dello Statuto dei Lavoratori, art. 4). Il DPO è la figura chiamata a vigilare su questo bilanciamento, facendo in modo che l’accountability dell’organizzazione in ambito NIS2 si integri con quella GDPR, senza sovrapposizioni né conflitti.
Gestione integrata degli incidenti: dalla notifica alla compliance
Un aspetto cruciale in cui la NIS2 incide sul ruolo del DPO è la gestione degli incidenti. La direttiva e le norme nazionali di recepimento (in Italia, D.Lgs. 18 ottobre 2024 n.138) prevedono un framework dettagliato per la gestione degli incidenti cyber, con tempistiche serrate e livelli di notifica più articolati rispetto al GDPR.
Ad esempio, NIS2 richiede di inviare al CSIRT un preavviso di incidente entro 24 ore dall’identificazione, un rapporto intermedio entro 72 ore e un rapporto finale entro un mese dall’incidente (secondo le linee guida ACN 2024), mentre il GDPR prevede la notifica di una violazione di dati personali al Garante Privacy entro 72 ore in caso di rischio per gli interessati (art. 33 GDPR). Ne consegue che le organizzazioni soggette a entrambe le normative devono gestire doppi obblighi di notifica in caso di incidenti che coinvolgano sistemi e dati personali. È impensabile affrontare questi eventi separando i flussi: occorre piuttosto una procedura unificata di incident response che contempli sia gli incidenti di sicurezza NIS2 sia i data breach GDPR, evitando duplicazioni e incoerenze.
Il DPO va posto “in prima linea” nella risposta agli incidenti, in stretto coordinamento con il CISO e con il Punto di Contatto NIS2 indicato all’ACN – Agenzia per la Cybersicurezza Nazionale. Come evidenziato in una recente analisi, il DPO dovrebbe instaurare un canale comunicativo efficace con il Punto di Contatto NIS2 al fine di: (1) accedere a informazioni aggiornate su minacce e vulnerabilità, (2) coordinare la risposta agli incidenti evitando sovrapposizioni con i processi di data breach notificabili ex art. 33 GDPR, (3) integrare le best practice di cybersecurity nel modello organizzativo Privacy, e (4) contribuire a una cultura aziendale della sicurezza sensibilizzando il top management sui requisiti congiunti di NIS2 e GDPR . In sintesi, la NIS2 enfatizza il ruolo consulenziale del DPO in ambito di sicurezza informatica, rendendolo un attore chiave nel garantire che l’organizzazione sviluppi un approccio di cybersecurity compliance integrato con la compliance privacy.
DPO e CISO: sinergia indispensabile e modelli organizzativi ibridi
L’evoluzione normativa spinge quindi verso una sinergia sempre più stretta tra DPO e CISO. Storicamente, queste due figure hanno operato spesso in parallelo, con competenze e obiettivi in parte differenti: il CISO (Chief Information Security Officer) focalizzato sulla protezione delle informazioni e della continuità operativa attraverso misure tecniche e gestionali, il DPO concentrato sulla conformità legale del trattamento dei dati personali e sul rispetto dei diritti degli interessati. In passato non erano rari i “silos” organizzativi: da un lato il team sicurezza IT, dall’altro il team privacy/compliance legale. Oggi questo modello non è più sostenibile. Privacy e sicurezza sono due facce della stessa medaglia e le normative lo confermano: il GDPR stesso, all’art. 32, obbliga il titolare del trattamento ad adottare misure tecniche e organizzative adeguate a garantire la sicurezza dei dati (tenendo conto anche dello “stato dell’arte” e degli standard di settore disponibili) , mentre la NIS2 rende espliciti e cogenti molti requisiti di sicurezza che hanno impatto anche sui dati personali (dall’analisi dei rischi, alla gestione delle vulnerabilità, ai piani di continuità operativa). DPO e CISO, dunque, lavorano sullo stesso fronte, seppure con prospettive complementari.
Casi pratici di sinergia tra privacy e sicurezza
Dalla mia esperienza in organizzazioni complesse (sanitarie, commerciali, pubbliche), ho potuto constatare che la collaborazione efficace tra DPO e CISO fa la differenza nel contenere i danni di un attacco informatico e nell’evitare sanzioni. Prendiamo ad esempio un caso reale: un attacco ransomware in ambito sanitario ha cifrato database contenenti dati clinici di migliaia di pazienti. In qualità di CISO, mi sono occupato di coordinare le operazioni di disaster recovery e messa in sicurezza dei sistemi; al contempo, il DPO ha valutato l’impatto sui dati personali e ha attivato la procedura di notifica al Garante Privacy entro 72 ore, collaborando alla comunicazione verso gli interessati. Lavorando fianco a fianco, siamo riusciti a gestire l’incidente in modo olistico, evitando sia la perdita di dati che violazioni della normativa GDPR. Questo esempio conferma che nei momenti di crisi informatica il DPO e il CISO devono agire come una squadra affiatata, ciascuno apportando il proprio expertise ma con un obiettivo comune: mitigare il cyber risk proteggendo al contempo i dati personali e la continuità del servizio.
La sinergia non si limita alle situazioni di emergenza, ma deve riflettersi anche nell’organizzazione ordinaria. Alcune realtà stanno sperimentando modelli organizzativi ibridi per garantire un coordinamento strutturale: ad esempio, la creazione di un Privacy & Security Office che riunisca sotto uno stesso cappello i team del DPO e del CISO; oppure l’istituzione di comitati interni (privacy-security committee) in cui siedono insieme DPO, CISO, responsabili IT e legali, per esaminare congiuntamente rischi, progetti e incidenti. Un modello virtuoso emerso nella mia esperienza in una grande società di servizi finanziari prevedeva incontri mensili congiunti tra il dipartimento Cybersecurity e quello Privacy, durante i quali si analizzavano assessment di rischio integrati: per ogni nuovo progetto digitale venivano valutati sia i rischi di sicurezza informatica sia i rischi di non conformità GDPR, con soluzioni condivise.
Questo approccio collegiale ha portato benefici tangibili: ad esempio, l’adozione precoce di controlli di sicurezza robusti in un progetto di fintech ha prevenuto vulnerabilità che avrebbero potuto esporre dati dei clienti, e al contempo il DPO ha potuto certificare il rispetto del principio di privacy by design fin dalle prime fasi.
Un altro caso concreto di sinergia l’ho vissuto nel settore retail (GDO), dove il DPO e l’Information Security Manager hanno collaborato per implementare un sistema di monitoraggio dei dati di pagamento dei clienti, finalizzato sia a prevenire frodi informatiche sia a garantire la conformità con gli standard PCI-DSS e le norme privacy. Il risultato è stato un incidente response plan integrato: in caso di sospetta violazione (es. furto di numeri di carta di credito), scattavano contemporaneamente le misure di sicurezza (blocco transazioni, analisi forense) e le misure privacy (valutazione del data breach, notifica eventualmente da inviare al Garante e comunicazione agli utenti). Questo protocollo unificato ha ridotto i tempi di reazione e assicurato una comunicazione coerente verso tutte le parti coinvolte. In assenza di un simile coordinamento, il rischio sarebbe stato di agire in modo scoordinato – ad esempio ritardando la notifica al Garante o comunicando informazioni incomplete ai clienti – con conseguenti maggiori danni reputazionali e sanzioni.
L’integrazione tra funzioni può assumere forme diverse a seconda della realtà aziendale. Nelle startup o PMI, ad esempio, spesso non c’è una distinzione netta dei ruoli: può capitare che il Responsabile IT svolga anche funzioni di sicurezza e che il consulente privacy (DPO esterno) sia presente solo part-time. In questi contesti è ancora più importante definire chiaramente momenti e modalità di interazione: ad esempio, inserendo il DPO nelle comunicazioni sugli incidenti informatici fin dall’inizio, oppure prevedendo che il CISO (o chi ne fa le veci) partecipi alle valutazioni d’impatto privacy (DPIA) per portare competenze tecniche.
Ho collaborato con una startup tech in cui, dopo un iniziale data breach dovuto a un errore di configurazione cloud, si è deciso di far partecipare regolarmente il DPO ai meeting di sprint planning dei developer, per valutare i rischi privacy ad ogni rilascio di nuove funzionalità, mentre il CISO impostava checklist di sicurezza integrate con i requisiti di compliance. Questo ha creato un flusso di lavoro agile ma attento sia alla sicurezza sia alla privacy, riducendo drasticamente gli incidenti e le non-conformità.
Naturalmente, bisogna tenere presente il vincolo normativo: il DPO non deve trovarsi in conflitto di interessi. Ciò significa, ad esempio, che non dovrebbe ricoprire ruoli decisionali in ambito IT/cybersecurity che poi dovrebbe auditare in qualità di DPO. Nella pratica, però, il confine può essere gestito: l’importante è che se anche il DPO e il CISO riportano magari a una stessa direzione o collaborano strettamente, il DPO conservi la sua autonomia di giudizio. Un buon modello è quello in cui il CISO (o CIO) è gerarchicamente distinto dal DPO, ma entrambi riferiscono ai vertici (CEO/Board) e cooperano orizzontalmente. Ad esempio, il DPO potrebbe segnalare esigenze di sicurezza non adeguatamente coperte (come vulnerabilità da sanare o carenze nelle politiche di backup) e il CISO dovrebbe recepire tali segnalazioni nelle strategie IT: in questo modo il DPO non “ordina” misure, ma le promuove; il CISO mantiene la responsabilità operativa, ma con la consapevolezza degli obblighi legali connessi.
In definitiva, l’adeguamento alla NIS2 fornisce l’occasione per rivedere l’assetto organizzativo e abbattere eventuali barriere tra sicurezza e privacy. La sinergia DPO-CISO diventa non solo auspicabile ma necessaria. Una frase emblematica che sintetizza questo concetto proviene da un recente documento ENISA: “non può esistere una sicurezza efficace senza protezione dei dati, e viceversa”. La sfida è passare dalla teoria alla pratica, costruendo strutture organizzative flessibili dove competenze legali e tecniche lavorino in concerto.
Competenze: il DPO si fa tecnico, il CISO diventa (un pò) giurista
L’ibridazione dei ruoli richiede inevitabilmente un potenziamento e un ampliamento delle competenze sia per i DPO che per i CISO (e, più in generale, per gli Information Security Manager). In passato, il DPO veniva spesso individuato tra professionisti di estrazione giuridica (avvocati, esperti di compliance) con conoscenze informatiche limitate; simmetricamente, il CISO era tipicamente un ingegnere o tecnico con scarsa familiarità delle norme sulla privacy. Oggi questo stereotipo non regge più: le organizzazioni hanno bisogno di figure capaci di muoversi con disinvoltura su entrambi i terreni, oppure almeno di team multidisciplinari dove le competenze si contaminano reciprocamente.
Dal lato DPO, le competenze tecnologiche sono diventate imprescindibili. Un DPO moderno deve comprendere i principi fondamentali della cybersecurity: deve sapere cos’è un Vulnerability Assessment o un Penetration Test, avere nozioni sulle tecniche di attacco (phishing, malware, SQL injection, etc.) e sulle corrispondenti contromisure, conoscere gli standard di riferimento (ad es. ISO/IEC 27001 per i sistemi di gestione della sicurezza delle informazioni, ISO/IEC 27002 per i controlli di sicurezza, ISO/IEC 27701 per l’estensione privacy, NIST Cybersecurity Framework, ecc.). Questo non significa che il DPO debba diventare un hacker etico o un amministratore di rete, ma deve poter dialogare alla pari con i tecnici, porre le domande giuste e valutare se le soluzioni proposte soddisfano il principio di “stato dell’arte” richiesto dalla legge. Ad esempio, quando il CISO propone di cifrare certi database o di implementare l’autenticazione a più fattori, il DPO dovrebbe essere in grado di capire l’efficacia di tali misure e magari suggerire ulteriori accorgimenti (come la pseudonimizzazione dei dati, il controllo degli accessi basato su ruoli, la minimizzazione dei log contenenti dati personali, ecc.). Nella mia esperienza, un DPO tecnicamente competente è stato decisivo nel rilevare criticità che altrimenti sarebbero sfuggite: ricordo il caso di un DPO che, avendo seguito corsi su cloud security, scoprì che una business unit aziendale stava caricando dati personali su un servizio cloud esterno senza adeguate garanzie contrattuali né cifratura; grazie alla sua segnalazione, intervenne il CISO per mettere in sicurezza quel flusso e stipulare un accordo di trattamento dati con il fornitore. Senza quel fiuto tecnico del DPO, l’azienda avrebbe rischiato sia un data breach sia sanzioni GDPR.
Parallelamente, dal lato CISO/Information Security Manager si assiste a una crescente domanda di competenze giuridiche e di compliance. Un responsabile sicurezza oggi non può limitarsi agli aspetti tecnici, ma deve avere familiarità con il quadro normativo in cui opera l’azienda. Il CISO “ignorante di privacy” rischia di implementare misure o procedure che poi entrano in conflitto con le regole sulla protezione dati, oppure di sottovalutare obblighi legali importanti. Ad esempio, un CISO deve sapere che il GDPR impone la notifica del data breach entro 72 ore e quindi i processi di incident handling vanno disegnati tenendo conto di questa scadenza e coinvolgendo il DPO; deve conoscere le basi delle normative di settore (es. PSD2 per la sicurezza nelle transazioni finanziarie, regolamenti eIDAS per firme digitali, normative sanitarie per i dati medici, ecc.) e i provvedimenti del Garante Privacy applicabili (come le Linee guida EDPB sui data breach o i provvedimenti sulla videosorveglianza, geolocalizzazione, cookies, etc., se pertinenti ai sistemi che sta proteggendo). Inoltre, concetti giuridici come il principio di minimizzazione, la conservazione limitata dei dati, il consenso o la base giuridica dei trattamenti dovrebbero entrare nel bagaglio culturale di un CISO, affinché possa valutare l’impatto delle soluzioni di sicurezza anche sotto questo profilo. Un esempio pratico: implementare un sistema di Data Loss Prevention (DLP) che monitora tutto il traffico uscente potrebbe essere ottimo per la sicurezza, ma potrebbe violare la privacy dei dipendenti se non calibrato correttamente; un CISO consapevole delle norme privacy saprà confrontarsi col DPO per modulare la soluzione (es. escludendo dal monitoraggio certi tipi di dati personali, informando adeguatamente i lavoratori, etc.) in modo da ottenere sia sicurezza sia rispetto dei diritti.
Si osserva anche un trend di certificazioni professionali ibride: se il DPO “puro” spesso consegue attestati come il Certified Information Privacy Professional (CIPP/E) o Lead Auditor ISO 27701, ora molti DPO cercano anche certificazioni tecniche (es. Certified Information Systems Security Professional – CISSP, o corsi di Cybersecurity Manager). Di converso, molti CISO stanno ottenendo certificazioni in ambito privacy/compliance (es. Certified Information Privacy Manager – CIPM o Lead Auditor ISO 27701) per formalizzare le loro competenze legali. Questa contaminazione è estremamente positiva: crea figure di professionisti a T, con un solido pilastro verticale nella propria disciplina di origine ma con un’ampia conoscenza orizzontale dell’altro ambito. In azienda, ciò si traduce in un dialogo più efficace e in un processo decisionale più rapido e consapevole, perché diminuisce il gap di linguaggio tra sicurezza e legale.
Va menzionato che anche gli standard internazionali riflettono questa convergenza: ISO/IEC 27701, ad esempio, è nata proprio come estensione della ISO 27001 per includere requisiti privacy nel sistema di gestione della sicurezza delle informazioni . Allo stesso modo, nuovi standard come la ISO/IEC 42001:2023 stanno emergendo su domini innovativi (nel caso specifico l’Intelligenza Artificiale) integrando considerazioni di governance, risk management e compliance etica. Un DPO aggiornato non può ignorare tali evoluzioni tecniche, perché anche dall’uso di sistemi AI possono derivare trattamenti di dati personali ad alto rischio (si pensi ai sistemi di sorveglianza con riconoscimento facciale, o agli algoritmi che profilano gli utenti): qui la linea tra sicurezza dei sistemi, tutela dei dati e rispetto dei diritti fondamentali si fa sottilissima e richiede conoscenze trasversali. Allo stesso tempo, un CISO lungimirante sa che le sue responsabilità oggi sfiorano anche aspetti di ethics & compliance: ad esempio, nella scelta di un fornitore cloud, oltre agli audit di sicurezza dovrà considerare clausole contrattuali di Data Protection e verificare le garanzie offerte sul trattamento dei dati (luogo di conservazione, sub-processors, certificazioni tipo EU Cloud Code of Conduct, ecc.). In breve, il perimetro delle competenze di DPO e CISO si sta ampliando e sovrapponendo: l’efficacia nel ruolo dipenderà sempre più dalla capacità di abbracciare questa complessità.
Competenze specifiche per la nuova figura professionale
Possiamo riassumere alcune delle competenze chiave richieste oggi a queste figure in evoluzione:
- DPO – Competenze tecniche indispensabili: conoscenza di base di networking e architetture IT; principi di sicurezza informatica (crittografia, access control, backup, etc.); familiarità con standard e framework di cybersecurity (ISO 27001, NIST, CIS Controls…); capacità di leggere e interpretare report tecnici (es. penetration test) valutandone l’impatto sui dati personali; nozioni di cloud computing e relative implicazioni di sicurezza; comprensione delle tecniche di attacco comuni e relative contromisure; gestione degli incidenti (incident response planning) in chiave sia privacy che security; aggiornamento su tecnologie emergenti (AI, IoT, blockchain) e relative sfide di sicurezza e privacy.
- CISO/ISM – Competenze legali e di compliance: conoscenza dei principi fondamentali del GDPR e delle leggi privacy locali; requisiti di notificazione data breach (artt. 33-34 GDPR) e procedure per il coinvolgimento del DPO; normative di settore in materia di sicurezza (es. direttiva NIS2 e decreto di recepimento nazionale, standard PCI-DSS se ambito pagamenti, requisiti AgID/ACN se PA, ecc.); linee guida e provvedimenti delle Autorità (Garante Privacy, EDPB) rilevanti per i sistemi gestiti; elementi di diritto del lavoro riguardanti il monitoraggio dei dipendenti (per implementare controlli IT leciti); concetti di base di proprietà dei dati, trasferimenti internazionali, contrattualistica privacy (es. Data Processing Agreements con fornitori); capacità di valutare implicazioni privacy di nuovi progetti e prodotti e dialogare col team legale/DPO fin dalla fase di analisi requisiti.
Naturalmente, non tutti i professionisti riusciranno a sviluppare tutte queste competenze in prima persona – ed è qui che torna importante la collaborazione di team interdisciplinari. Tuttavia, il trend è chiaro: l’era del “tecnico puro” o del “giurista puro” nel campo della sicurezza e protezione dati sta lasciando il passo all’era dell’esperto ibrido. Chi aspira a ricoprire ruoli di responsabilità in questi ambiti deve investire nella propria formazione a 360 gradi, uscendo dalla comfort zone disciplinare.
Incidenti informatici e data protection: lezioni da casi reali
La necessità di questo nuovo equilibrio tra privacy e cyber risk appare evidente analizzando alcuni casi reali di attacchi informatici e le conseguenti azioni delle autorità di controllo. In Europa (e in Italia in particolare) abbiamo avuto negli ultimi anni diversi episodi emblematici che mostrano come una violazione di sicurezza possa tradursi rapidamente in una violazione di dati personali e in pesanti sanzioni se l’organizzazione non era preparata adeguatamente su entrambi i fronti.
Emblematico è il caso Postel S.p.A. del 2024: qui non parliamo di un attacco imprevedibile, bensì di una vulnerabilità nota su un server aziendale, ignorata per quasi un anno, che ha portato a un attacco ransomware con esfiltrazione di dati di circa 25.000 persone (dipendenti, ex dipendenti, clienti e altri). Il Garante Privacy ha inflitto una sanzione esemplare di 900.000 euro a Postel, evidenziando che la società non aveva adottato misure tecniche e organizzative adeguate a tutela dei dati personali, in quanto aveva colpevolmente trascurato di correggere una falla di sicurezza già segnalata in precedenza. Oltre alla multa, il provvedimento ha imposto all’azienda di effettuare un’analisi straordinaria delle vulnerabilità e predisporre un piano di misure correttive . Questo caso è illuminante perché mostra come gli obblighi di accountability si traducano in aspettative concrete: un’azienda che gestisce dati personali deve avere processi di vulnerability management efficaci e documentati. Dalla prospettiva del DPO, ciò significa porsi domande incisive durante le attività di compliance: “Abbiamo un registro aggiornato delle vulnerabilità dei sistemi che trattano dati personali? Sono state assegnate priorità e tempistiche di risoluzione? C’è evidenza che i team IT abbiano sanato i punti deboli critici?”. Se queste domande fossero state fatte in Postel, forse la vulnerabilità non sarebbe rimasta aperta così a lungo.
Dalla prospettiva del CISO, il caso Postel sottolinea l’importanza di allineare le pratiche di sicurezza agli obblighi normativi: non basta conoscere tecnicamente i problemi, bisogna anche dare loro il giusto rilievo in ottica di compliance e rischio legale. Una falla “nota e segnalata” non risolta per 12 mesi denota probabilmente un deficit di governance: magari i tecnici lo sapevano, ma la direzione non è stata informata con il necessario allarme, o le priorità sono state indirizzate altrove. Un approccio integrato privacy-sicurezza tende ad evitare ciò, perché il DPO – avendo il compito di assicurare la conformità all’art. 32 GDPR – avrebbe preteso evidenza dell’aggiornamento dei sistemi e delle patch critiche. In altre parole, la cultura dell’accountability promossa dal GDPR e da NIS2 significa anche questo: fare le domande giuste, documentare le decisioni e intervenire proattivamente per chiudere i gap di sicurezza prima che diventino brecce sfruttabili.
Oltre ai casi di sanzioni, va citata l’importanza delle linee guida ufficiali emanate da organi come l’EDPB, l’ENISA e l’ACN/AgID. Ad esempio, le Guidelines on Personal data breach notification dell’EDPB forniscono esempi pratici su come valutare la gravità di un incidente e le azioni attese, mentre l’ENISA ha pubblicato raccomandazioni sulla cooperazione tra team di sicurezza (CSIRT) e Autorità privacy in caso di incidenti cross-border. In Italia, l’AgID prima e ora l’ACN hanno emesso linee guida per la sicurezza nelle PA e standard minimi da rispettare (la Circolare AgID n.2/2017 sulle misure minime di sicurezza ICT per la PA ne è un esempio ), evidenziando sempre la necessità di proteggere i dati personali trattati.
Anche le Linee guida EDPB 04/2022 sul ruolo del DPO (richiamando le precedenti WP243) enfatizzano che il DPO dovrebbe avere accesso alle funzioni di sicurezza dell’informazione e svolgere un ruolo di raccordo. Insomma, norme e best practice convergono nell’indicare che solo attraverso un governo integrato di privacy e cybersecurity si può far fronte efficacemente ai rischi odierni.
Il framework europeo e la formalizzazione del ruolo del Cyber Legal, Policy & Compliance Officer
Con l’adozione della Direttiva NIS2 e l’implementazione del Regolamento (UE) 2024/2690, l’ENISA ha formalizzato il ruolo del Cyber Legal, Policy & Compliance Officer all’interno dell’European Cybersecurity Skills Framework (ECSF), assegnandogli una funzione chiave nell’allineare gli adempimenti legali alla gestione della sicurezza informatica. Questa figura professionale rappresenta l’evoluzione naturale del giurista esperto in compliance, in grado oggi di contribuire attivamente alla cyber resilience aziendale.
Nel documento ENISA del giugno 2025, il Cyber Legal, Policy & Compliance Officer è incaricato di:
- Tradurre gli obblighi normativi NIS2 in policy operative;
- Supportare la gestione dei rischi cyber con valutazioni d’impatto normative;
- Supervisionare la corretta applicazione degli obblighi di notifica (art. 23 NIS2), redigendo report coerenti con le indicazioni di CSIRT e autorità nazionali;
- Collaborare attivamente con il CISO e il DPO, garantendo la coerenza tra i piani di sicurezza e i principi di data protection e legal compliance;
- Fornire formazione normativa e presidiare i flussi di comunicazione legale in caso di incidente.
Nel modello operativo presentato da ENISA, questa figura affianca il CISO nella gestione strategica della conformità, diventando un perno organizzativo tra la funzione legale, il top management e i team tecnici. Nella prassi, si tratta spesso di un’evoluzione del Legal Officer interno o del consulente compliance che ha integrato nella propria formazione competenze in materia di cybersecurity, incident response, notifiche e reporting normativo.
Nella mia esperienza sul campo, questo ruolo è determinante per garantire un risk-based approach veramente integrato, soprattutto in realtà di medie dimensioni dove le competenze sono distribuite e le risorse limitate. La presenza di un Cyber Legal Officer consente di prevenire quegli scollamenti – troppo frequenti – tra policy formali e soluzioni tecniche, e rafforza il principio di accountability come leva strategica, non solo normativa.
Verso il “Cyber Legal, Policy & Compliance Officer”
Gli scenari e i ragionamenti sopra esposti conducono a una riflessione finale: sta emergendo la figura del professionista ibrido che potremmo definire Cyber Legal, Policy & Compliance Officer. Si tratta di un ruolo strategico, a cavallo tra il DPO e il CISO, in grado di comprendere tanto le sfide tecniche della cybersecurity quanto le implicazioni legali e organizzative. Questo professionista ibrido non sostituisce necessariamente le due figure tradizionali, ma ne incarna una evoluzione: un po’ come un direttore d’orchestra che deve conoscere bene tutti gli strumenti (privacy, sicurezza, rischio, compliance) per armonizzarli in una governance efficace.
Il Cyber Legal, Policy & Compliance Officer ideale possiede infatti un set di competenze composito e trasversale:
- Conoscenza normativa approfondita: GDPR e normativa privacy nazionale, Direttiva NIS2 e relativi decreti attuativi, standard internazionali (ISO/IEC 27001, 27701, ecc.), oltre a eventuali normative di settore (es. regolamenti finanziari, sanitari, etc.). Sa individuare i riferimenti giuridici applicabili a ogni situazione e mantenersi aggiornato sulle nuove linee guida di EDPB, ENISA, ACN, ecc.
- Competenza tecnica di cybersecurity: padronanza dei concetti chiave di sicurezza informatica (minacce, vulnerabilità, incident response, crittografia, architetture di rete sicure, cloud security, ecc.), familiarità con gli strumenti tecnologici di protezione e rilevazione (firewall, IDS/IPS, SIEM, DLP, etc.), capacità di dialogare con i team IT e comprendere le loro sfide operative.
- Visione di risk management e organizzativa: approccio integrato alla valutazione dei rischi, considerando sia l’impatto sui dati personali sia l’impatto sulla continuità operativa e sul business. Abilità nel disegnare politiche e procedure che uniscano i requisiti delle diverse normative (es. policy di sicurezza che tengano conto anche dei principi privacy). Capacità di change management: saper promuovere in azienda una cultura condivisa su sicurezza e privacy, ottenendo il buy-in del top management e formando i dipendenti.
- Capacità comunicative e di negoziazione: fondamentale per dialogare efficacemente con interlocutori eterogenei – dal consiglio di amministrazione (spiegando con autorevolezza rischi e obblighi in termini comprensibili e legati agli obiettivi di business), ai tecnici IT (con cui entrare nel merito delle soluzioni), fino alle Autorità in caso di ispezioni o notifiche (predisponendo report chiari e completi). Deve saper tradurre i requisiti legali in controlli tecnici e viceversa spiegare ai legali le necessità tecniche.
Questa figura potrebbe emergere formalmente in futuro? In alcuni contesti, già sta accadendo. Ad esempio, alcune aziende hanno unito le funzioni creando un Chief Privacy and Security Officer, oppure hanno assegnato al DPO deleghe più ampie sulla sicurezza delle informazioni. Tuttavia, l’adozione generalizzata di un ruolo unico incontra ancora ostacoli normativi (il già citato tema del conflitto di interessi del DPO) e pratici (difficile trovare individui che abbiano in egual misura esperienza legale e tecnica). Più realisticamente, l’evoluzione sarà graduale: vedremo team integrati, uffici “Cyber Compliance” dove lavorano fianco a fianco giuristi ICT e specialisti di sicurezza, con il DPO e il CISO come figure di riferimento che operano in tandem. L’importante è la direzione: rompere i silos, creare ponti tra le discipline e formare i professionisti del domani con un curriculum misto.
Dal punto di vista strategico, le organizzazioni dovrebbero già ora porsi alcune domande critiche: la nostra struttura attuale facilita la collaborazione tra chi si occupa di privacy e chi si occupa di sicurezza? I nostri responsabili hanno competenze sufficienti per capire anche gli aspetti “altri” (tecnici o legali)? Abbiamo definito processi unificati per gestione rischi e incidenti, che soddisfino sia il GDPR sia la NIS2? Se la risposta a una di queste domande è negativa, è il momento di agire: valutare una riorganizzazione, investire in formazione incrociata, oppure ricorrere a consulenti con profilo ibrido che possano aiutare a colmare il gap. La posta in gioco è alta: da un lato evitare sanzioni e danni reputazionali, dall’altro costruire una resilienza digitale che diventi anche fattore competitivo (clienti e partner si fidano più volentieri di chi dimostra maturità su questi temi).
In conclusione, GDPR & NIS2 rappresentano il simbolo di un nuovo equilibrio tra privacy e cyber risk. Il messaggio chiave per imprese e enti è che la compliance integrata non è più una scelta opzionale, ma una necessità dettata sia dal legislatore che dallo scenario di minaccia. Chi ha vissuto questa evoluzione sul campo sa che non è un percorso semplice: richiede cambio di mentalità, abbattimento di barriere culturali interne e continuo aggiornamento. Eppure, è un percorso obbligato per navigare nel mondo digitale odierno in modo sicuro e responsabile.
Prepararsi all’avvento del Data Protection & Cybersecurity Officer oppure del Cyber Legal, Policy & Compliance Officer – o comunque formare team affiatati di DPO & CISO – significa investire sul futuro della propria organizzazione, rendendola capace di affrontare con successo le sfide di domani. La provocazione finale che lancio al lettore sia esso un decision-maker aziendale o un professionista del settore, è questa: siete pronti a ripensare il vostro assetto organizzativo e il vostro bagaglio di competenze alla luce di questa convergenza tra cybersecurity e privacy? Chi raccoglierà questa sfida avrà un vantaggio nel nuovo ecosistema digitale, dove sicurezza e protezione dei dati saranno sempre più inseparabili e determinanti per il successo.
