Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

compliance

Dal rischio alla resilienza: come unificare NIS2, GDPR e modello 231

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Adottare un modello integrato compliance NIS2, GDPR e 231 consente di trasformare obblighi eterogenei in un sistema unico e coerente di gestione del rischio. Si favorisce così una visione sinergica tra sicurezza, protezione dei dati e responsabilità amministrativa

Pubblicato il 5 set 2025
Angelo Jannone

Presidente di Intelligence Inside S.A. ed ex colonnello ROS

misure sicurezza base nis 2 Relazione ACN 2024 cybersecurity aziende europee Fondi UE per la cybersecurity compliance NIS2 GDPR 231; Misure ACN Piano cyber italiano

Nel panorama normativo europeo e nazionale si moltiplicano gli obblighi a carico delle imprese in materia di protezione dei dati personali, sicurezza informatica e responsabilità amministrativa.

Questa stratificazione regolatoria, se non affrontata con una logica di sistema, rischia di generare inefficienze, ridondanze di controllo e confusione nei ruoli e nelle responsabilità.

Direttiva Nis2 e Gdpr, come garantire la compliance

Ma dietro questa frammentazione si cela un’opportunità: quella di integrare le diverse anime della compliance in un unico modello coeso, orientato alla resilienza organizzativa e non solo al mero adempimento formale.

Le tre direttrici regolatorie: cosa prevedono e dove si sovrappongono

La convergenza tra GDPR, Direttiva NIS2 e D.Lgs. 231/2001 può rappresentare il punto di partenza per una nuova cultura ed un approccio alla gestione del rischio di impresa, una cultura in cui privacy, sicurezza e prevenzione dei reati non siano più compartimenti stagni, ma elementi interdipendenti di un unico ecosistema di controllo.

GDPR, il modello organizzativo privacy come base di partenza

Il Gdpr Regolamento UE 2016/679 impone alle organizzazioni pubbliche e private di adottare misure tecniche e organizzative adeguate per garantire la protezione dei dati personali, secondo alcuni principi chiave, ossia una chiara perimetrazione delle responsabilità (accountability) ed una valutazione del rischio per i dati ab origine di qualunque progetto, ovvero privacy by design e by default.

Non si tratta solo di una gestione documentale e procedurale, ma di un sistema articolato di risk management, con impatti anche sul piano informatico, organizzativo e giuridico, tanto da parlarsi di un modello organizzativo privacy,

Direttiva NIS2: nuovi obblighi, settori coinvolti e responsabilità

La Direttiva NIS2, (UE 2022/2555) recepita in Italia – vi è da aggiungere con una certa farraginosità – con il Decreto Legislativo 4 settembre 2024, n. 138, estende il campo di applicazione a un numero molto più ampio di soggetti rispetto alla precedente NIS, introducendo un netto cambio di passo.

Gli obblighi, su cui è chiamata a vigilare l’Agenzia per la Cybersicurezza Nazionale intanto, che dovrà definirà a breve i precisi criteri di identificazione dei soggetti essenziali e dei soggetti importanti, oltre alla lista dei fornitori critici e le modalità di gestione dei relativi rapporti, (In assenza di linee guida formali, si fa riferimento all’art. 26 D.Lgs. 65/2024), riguardano non solo gli operatori di servizi essenziali, ma anche un’ampia gamma di settori critici, analiticamente elencati negli allegati 1-4 del decreto 138/24, tra cui energia, trasporti, banche, salute, approvvigionamento idrico, amministrazione pubblica, industria spaziale, servizi ICT, infrastrutture digitali e produzione di prodotti farmaceutici.

Gli interventi richiesti includono:

  • la governance e il risk management della sicurezza informatica,
  • la gestione degli incidenti, dei mancati incidenti (near miss) e la comunicazione obbligatoria delle violazioni;
  • l’impiego “sicuro” della supply chain e, soprattutto, dei fornitori di servizi ICT.

Il principio guida è la proporzionalità del rischio, con una forte attenzione alla resilienza operativa e alla capacità di risposta.

Più precisamente, la direttiva, come si è detto, distingue tra soggetti essenziali, ovvero settori ad alta criticità, e soggetti importanti, ossia altri settori ad alta criticità, includendo tra questi anche i fornitori dei settori critici, quando la fornitura è rilevante per il settore critico.

Per la prima volta viene introdotta una diretta responsabilità del top management delle aziende e dei vertici delle pubbliche amministrazioni, in materia di cybersecurity.

La direttiva invitava gli Stati membri sono tenuti a prevedere sanzioni effettive, proporzionate e dissuasive per la mancata conformità alla direttiva. Ed il decreto contempla un regime sanzionatori calibrato anche sul fatturato globale della società, oltre a sanzioni economiche significative nel caso delle Pubbliche Amministrazioni, con conseguenze responsabilità erariali.

In sintesi, la NIS2 rappresenta un passo importante per la cybersecurity a livello europeo, imponendo nuove responsabilità e obblighi alle organizzazioni per proteggere le infrastrutture digitali critiche e rafforzare la resilienza contro le minacce informatiche.

La responsabilità amministrativa e i reati informatici nella 231

Il D.Lgs. 231/2001 rappresenta un modello unico nel suo genere: non impone obblighi preventivi, ma attribuisce responsabilità alle società che non si dotano di un sistema idoneo a prevenire reati commessi nell’interesse o a vantaggio dell’ente. Negli ultimi anni, il perimetro dei reati presupposto si è ampliato fino a includere, con l’art.24 bis, una serie di delitti informatici, tra cui:

  • l’accesso abusivo a sistemi informatici,
  • il danneggiamento di dati e sistemi.
  • le frodi informatiche

L’integrazione tra modello 231 e presidi di sicurezza informatica e privacy è oggi imprescindibile. Anzi: l’adozione di presidi di sicurezza informatica, delle norme in materia di trattamento dei dati personali e la loro efficacia, sono gli elementi sui quali si può basare un giudizio positivo di idoneità ed efficace attuazione del Modello Organizzativo, facilitando la prova della elusione fraudolenta del modello stesso.

Ruoli, coordinamento e rischio di sovrapposizione

L’integrazione tra GDPR, NIS2 e Modello 231 non può prescindere da una mappatura puntuale delle funzioni coinvolte nella gestione del rischio. Tre sono i presidi fondamentali:

  • Il Data Protection Officer (DPO), figura prevista dall’art. 37 del GDPR, con compiti di sorveglianza sulla conformità normativa in materia di protezione dei dati, consulenza e interfaccia con l’Autorità Garante;
  • Il Chief Information Security Officer (CISO) o il Security Officer, responsabile della sicurezza logica e fisica dei sistemi informativi, oggi chiamato a presidiare anche gli obblighi previsti dalla NIS2, incluse le misure di sicurezza tecnico-organizzative, la gestione degli incidenti, la cybersecurity della supply chain e la continuità operativa;
  • L’Organismo di Vigilanza (OdV) ex art. 6 del D.Lgs. 231/2001, con funzione di vigilanza sull’efficacia e sull’attuazione del modello di prevenzione dei reati. Il suo ruolo si estende anche alla verifica dei presidi di sicurezza informatica, laddove siano stati inclusi tra i rischi rilevanti nel risk assessment 231.

Rischi di sovrapposizione o conflitto

Il rischio principale, in assenza di un coordinamento strutturato, è quello di sovrapposizioni funzionali e ridondanza nei presidi di controlli: le valutazioni d’impatto privacy (DPIA) non coordinate con le analisi di rischio ICT e la gap analisys dei reati informatici, comunicazioni separate in caso di data breach, controlli duplicati o contraddittori.

Peggio ancora, una gestione non integrata può generare vuoti di presidio nei flussi informativi verso i vertici, mettendo a rischio la reattività dell’Ente in caso di incidente.

Serve quindi una cabina di regia capace di armonizzare ruoli, compiti e flussi di comunicazione. In alcune realtà, questo obiettivo di efficienza e razionalizzazione, è stato affrontato attraverso l’introduzione di un Comitato Rischi o Comitato Compliance interfunzionale, che coinvolga DPO, CISO, OdV, direzione legale e internal audit. In altri casi, la chiave è la revisione del modello organizzativo, per inserire procedure comuni di gestione degli incidenti, criteri condivisi di valutazione del rischio e sistemi informativi integrati (ad es. GRC tools con moduli privacy, sicurezza e 231).

Mappare i rischi trasversali in un sistema integrato

Molti rischi oggi non sono più confinabili a una singola area normativa. Un attacco informatico che comporti la compromissione di dati personali può generare una violazione del GDPR, un fallimento delle misure richieste dalla NIS2, e – se si accerta negligenza organizzativa ed una complicità interna – anche una responsabilità dell’ente ai sensi del D.Lgs. 231/2001. È quindi fondamentale sviluppare una mappa dei rischi integrata, che tenga conto:

  • dei reati presupposto 231 di natura informatica (es. art. 615-ter, 640-ter c.p.);
  • delle minacce informatiche e delle vulnerabilità rilevanti ai fini della NIS2;
  • degli impatti su dati personali e libertà fondamentali delle persone fisiche (GDPR).

Ma anche il tema delle responsabilità sulla filiera della supply chain, va affrontato in maniera integrata, anche con gli altri sistemi di gestione della qualità. Ciò suggerisce l’inserimento nel comitato, anche del quality manager.

Controlli, audit e reporting: verso la compliance proattiva

Un approccio integrato richiede anche controlli interni sinergici, documentati e tracciabili. Le procedure dovrebbero prevedere:

  • un registro unico degli incidenti che alimenti contemporaneamente il registro data breach (GDPR), l’eventuale report all’autorità NIS e l’informativa all’OdV;
  • degli audit periodici con check-list comuni che verifichino l’efficacia delle misure privacy, sicurezza e 231;
  • la formazione integrata su tematiche di sicurezza, protezione dati e anticorruzione, calibrata in funzione dei rischi reali.

Coordinamento e reporting verso OdV e vertici aziendali

L’Organismo di Vigilanza gioca un ruolo cruciale come crocevia informativo e di presidio. In molte organizzazioni, l’OdV prevede flussi informativi periodici da DPO e CISO, ma spesso si limita a un’attività di archiviazione passiva. Al contrario, un modello evoluto deve prevedere:

  • uno scambio attivo e strutturato di informazioni, con cadenze e criteri definiti, mediante audizioni ed approfondimenti;
  • delle valutazioni di impatto integrate (es. DPIA + analisi di rischio NIS2 + mappatura rischio reato);
  • le segnalazioni whistleblowing gestite in modo trasversale e protetto, anche per rischi digitali e violazioni di sicurezza.

Razionalizzazione dei controlli e semplificazione operativa

Uno dei benefici più immediati dell’integrazione tra GDPR, NIS2 e Modello 231 è la razionalizzazione dei controlli. In molte organizzazioni, gli stessi processi vengono valutati separatamente da DPO, CISO e OdV, con duplicazione di sforzi, audit e documentazione. Un approccio integrato consente di:

  • eliminare sovrapposizioni nelle attività di mappatura e valutazione dei rischi;
  • uniformare le policy (es. data retention, gestione degli accessi, sicurezza logica) attribuendo loro anche la valenza di protocolli 231 ;
  • consolidare le evidenze documentali richieste in caso di ispezioni o contenziosi.

Il risultato è una semplificazione operativa, ma anche un maggiore allineamento tra compliance normativa e business continuity.

Risposta coordinata agli incidenti e obblighi multi-norma

Un data breach, un ransomware o una perdita di disponibilità dei sistemi non sono solo problemi tecnici: rappresentano eventi che attivano obblighi simultanei su più fronti normativi. Se ogni funzione agisce in modo isolato, si rischiano:

  • ritardi nelle notifiche obbligatorie (entro 24/72 ore),
  • errori nella qualificazione dell’incidente,
  • mancanza di coordinamento nella risposta interna.

Un modello integrato consente invece una gestione coordinata, tempestiva e completa degli eventi critici, con un flusso unico che alimenta sia il registro dei data breach (art. 33 GDPR), sia il sistema di notifica NIS2 (art. 23 Direttiva UE 2022/2555), sia l’informativa all’Organismo di Vigilanza in caso di ipotesi di reato o colpa organizzativa.

Compliance integrata come elemento competitivo e strategico

Oltre a proteggere l’Ente da sanzioni e danni reputazionali, un sistema integrato di compliance e sicurezza può diventare elemento differenziante nel rapporto con clienti, PA e partner, specie in ambito B2B e nei settori ad alta intensità regolatoria.

In particolare:

  • nei bandi pubblici e negli appalti strategici, la presenza di un Modello 231 aggiornato e integrato con presidi di cybersecurity e privacy, dovrebbe essere sempre previsto quale elemento di vantaggio competitivo;
  • nelle due diligence (es. M&A, ESG, PNRR), i sistemi integrati sono sicuramente premiati in termini di affidabilità e maturità organizzativa;
  • nella rendicontazione non finanziaria e nella governance ESG, la capacità di presidiare i rischi digitali e normativi, anche con riferimento alla supply chain che deve essere conosciuta, è sempre più centrale.

Come osservato in recenti analisi pubblicate su questa rivista (vds “NIS2 e governance: perché serve una convergenza con i modelli 231”, 2024), la compliance può e deve essere riletta come parte integrante della strategia d’impresa e come elemento essenziale nella catena del valore.

Verso una gerarchia interna della compliance: modello ISO, 231 e NIS2

L’epoca della compliance “a silos” è finita. Le minacce odierne – cyber attacchi, furti di dati, disservizi ICT, manipolazioni interne – colpiscono in modo trasversale i sistemi informativi, la reputazione, la sicurezza e la sostenibilità dell’ente. Serve un cambio di passo: un modello integrato, nel quale privacy, sicurezza, qualità e prevenzione dei reati non siano più ambiti autonomi, ma componenti sinergiche di un ecosistema unico.

Questa visione integrata trova già una solida base nei sistemi ISO, che richiedono da anni un’analisi unificata dei rischi: la ISO 9001 per la qualità e la gestione fornitori (vendor rating), la ISO 27001 per la sicurezza delle informazioni, la ISO 37301 per la compliance e la ISO 37001 per l’anticorruzione. Tutti questi sistemi riconoscono due principi fondamentali:

  • ogni evento può impattare più aree di rischio (es. reputazionale, normativo, operativo);
    • ogni controllo può contribuire a mitigare più rischi (es. un audit interno su un fornitore può prevenire sia violazioni 231, sia vulnerabilità NIS2).

In questo quadro, la Direttiva NIS2 si va configurando come un nuovo sistema di compliance “orizzontale”, non limitato alla sola IT security, ma funzionale alla protezione complessiva dell’organizzazione. In molte realtà sarà destinata a integrarsi con i sistemi di gestione esistenti, posizionandosi sotto il Modello 231 come elemento di presidio operativo, analogo ai sistemi ISO. In altri termini: si sta delineando una vera e propria “gerarchia delle fonti del diritto interno” all’ente, dove la compliance tecnica (GDPR, NIS2, ISO) alimenta e sostiene la compliance strategica (231 e governance ESG).

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

J
Angelo Jannone
Presidente di Intelligence Inside S.A. ed ex colonnello ROS
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Google vaultgemma; furto documenti; indipendenza garanti privacy

  • l'analisi

    Potere e responsabilità nella cultura della protezione dei dati: la relazione annuale 2024 del Garante privacy

    15 Lug 2025

    di Anna Cataleta

    Condividi
  • CIA e AI; Ai cybersecurity

  • la guida

    AI per la cybersecurity, ecco come proteggersi dalle minacce informatiche

    16 Mag 2025

    di Federica Maria Rita Livelli

    Condividi
  • sistemi di age verification inclusione digitale IA nel welfare; social giovani

  • normativa

    Age verification: strategie efficaci per la protezione dei minori online

    17 Mar 2025

    di Fabia Cairoli

    Condividi