La necessità di adottare un approccio integrato fra sicurezza informatica e data protection è una tematica di particolare rilievo soprattutto per le infrastrutture critiche in ragione della sensibilità delle informazioni e per l’impatto significativo nei confronti degli interessati.
A differenza delle strategie di sicurezza attuate su base volontaria, nel caso delle infrastrutture critiche che rientrano nell’ambito di applicazione della NIS 2 le strategie di sicurezza informatica non sono attuate su base volontaria ma devono seguire una logica di accountability rispetto agli adempimenti richiesti dalla normativa che investono principalmente gli aspetti di governance.
Considerata tale premessa, dunque, è corretto chiedersi quale possa essere il ruolo che il DPO può – o meglio: deve – assumere nella gestione di tali obblighi nell’ipotesi di un’organizzazione o già precedentemente soggetta alla Direttiva NIS o che altrimenti si troverà ad essere destinataria degli obblighi della NIS 2. Bisogna infatti considerare che i costituiti o costituendi “gruppi di lavoro NIS” per la programmazione degli interventi da attuare all’interno delle organizzazioni non possono prescindere dal coinvolgere il DPO in ragione dell’impatto che le nuove procedure e la riorganizzazione comporteranno anche nella gestione degli adempimenti in materia di protezione dei dati personali.
Infrastrutture critiche e data protection
Sebbene in ragione della propria funzione il DPO non possa mai essere un soggetto attuatore degli adeguamenti richiesti dalla norma, certamente se ne può fare promotore pur rimanendo nella propria posizione di terzietà ed indipendenza affiancando e supportando altri soggetti che avranno un ruolo di responsabilità nello svolgere gli adempimenti richiesti. Più che essere un soggetto meramente responsivo alle richieste da parte dei vertici aziendali o di soggetti da questi delegati, quali un advisor o un CISO, il DPO deve attenzionare che le specifiche garanzie adottate a tutela degli interessati vengano mantenute nel nuovo assetto organizzativo. Ad esempio, che venga mantenuta una proporzionalità fra le esigenze di maggiore sicurezza interna e il diritto alla protezione dei dati personali degli operatori.
Particolarmente emblematico nella ricerca di un corretto equilibrio fra esigenze di sicurezza e di tutela degli interessati è infatti l’ambito dei controlli interni di sicurezza, i quali inevitabilmente pongono gli operatori nel ruolo di subire determinate attività di trattamento dei propri dati personali che devono comunque rispettare tutte le garanzie del GDPR e i limiti, se del caso, dell’art. 4 dello Statuto dei Lavoratori.
In questo caso è proprio il gruppo di lavoro NIS che deve svolgere un’opera di bilanciamento e avvalersi della consulenza del DPO dovendone tenere conto e, se del caso, motivare eventuali scelte difformi rispetto al parere fornito. Insomma: occorre sempre tenere conto che l’esigenza di aumentare la sicurezza dell’infrastruttura la quale ha naturalmente come conseguenza un generale rafforzamento della protezione dei dati personali di alcune categorie di interessati, non vada a compromettere in modo significativo le altre categorie di interessati coinvolte.
Da qui, l’esigenza continua anche nell’attività di sorveglianza successiva del DPO di ricercare delle alternative di controllo parimenti efficaci ma meno invasive per profondità e persistenza.
L’intervento del DPO nella gestione del rischio
Le misure di gestione del rischio richieste dalla NIS 2 riguardano «misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.» (art. 21 Dir. 2022/2555), nonché gli obblighi di segnalazione all’ACN in quanto struttura CSIRT per l’Italia. Già nella fase preliminare di analisi e valutazione dei rischi il contributo del DPO può fornire un apporto considerevole per quanto riguarda la gravità degli impatti nei confronti delle persone fisiche in quanto egli stesso già è chiamato a ragionare secondo un approccio risk-based per lo svolgimento dei propri compiti[1]. Non solo: nelle proprie valutazioni dovrà considerare, qualora l’organizzazione sia stata inserita fra le infrastrutture critiche, quali nuove minacce emergenti possono essere configurate in ragione del contesto esterno.
La fase successiva di implementazione e controllo delle misure, poi, richiede necessariamente una cooperazione da parte del DPO in quanto le politiche e le singole procedure operative rientrano già nelle aree di sua competenza in quanto coinvolgono inevitabilmente anche delle attività di trattamento di dati personali. Se non di interessati esterni, quanto meno degli operatori interni, come precedentemente evidenziato.
Un’organizzazione che già ha affrontato un percorso di adeguamento al GDPR, infatti, si troverà ad affrontare alcuni aspetti in materia di sicurezza già noti in attuazione delle prescrizioni di cui all’art. 32 GDPR, che però vengono richiamati e rafforzati dalla NIS 2:
- le politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- una valutazione di efficacia delle misure adottate e le verifiche di sicurezza della supply chain;
- la gestione degli incidenti che tenga conto della continuità operativa e degli obblighi di notifica;
- l’impiego di tecnologie di sicurezza quali ad esempio crittografia o cifratura o soluzioni di autenticazione a più fattori;
- la gestione delle risorse umane.
L’accortezza del DPO sarà dunque accogliere un riesame di politiche e procedure già esistenti, tenendo conto del campo di applicazione e, se del caso, la predisposizione di un modello organizzativo della sicurezza maggiormente approfondito. Gli interventi minimi necessari dovranno riguardare un’analisi dei ruoli e delle responsabilità, procedure e delle istruzioni operative redatte e da redigere anche per formalizzazione delle prassi consolidate, un censimento delle tecnologie presenti e il coinvolgimento di tutti gli operatori che intervengono sui sistemi informatici. Diventa importante però non dimenticare che gli aspetti di sicurezza delle informazioni di cui si occupa il DPO riguardano i dati personali comunque trattati su qualsiasi supporto anche al di fuori dei sistemi informatici, così da non cadere nell’errore ritenere esaurita ogni esigenza nello svolgimento dei soli adempimenti della NIS 2, a conferma dell’esigenza di provvedere ad un approccio integrato e non sostitutivo.
L’apporto del DPO alle misure tecniche e organizzative di sicurezza
Nella selezione ed implementazione delle misure di sicurezza, siano esse tecniche o organizzative, il DPO è chiamato a svolgere il proprio ruolo di consulenza, informazione e successiva sorveglianza con l’unico limite del mantenere la propria posizione di terzietà ed evitare ogni conflitto d’interessi, anche potenziale. Deve essere chiaro però che per quanto il suo parere abbia un rilievo significativo, la decisione finale è comunque rimessa all’organizzazione, la quale è il soggetto responsabile nella determinazione dei mezzi del trattamento.
L’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete, compresa la gestione delle vulnerabilità, è un’attività posta in evidenza dalla NIS 2 ma che già rientra nelle best practices di sicurezza e dunque fra i compiti del DPO, in quanto l’art. 32 GDPR richiama, fra i criteri di cui tenere conto, anche quello dello stato dell’arte e dunque degli standard di settore applicabili e disponibili. Anche nella gestione della sicurezza organizzativa, il DPO già interviene sul fattore umano e dunque può contribuire tanto all’implementazione quanto al controllo delle prescrizioni specifiche riguardanti le pratiche di igiene informatica di base e formazione in materia di cibersicurezza e la sicurezza delle risorse umane.
Diventa così evidente che la funzione del DPO deve essere vista come un elemento estremamente utile per le organizzazioni che si troveranno a dover affrontare gli adempimenti della NIS 2, le quali ove non rientrino in un obbligo di designazione potrebbero ben valutare una designazione facoltativa nell’ottica di conferire maggiore efficacia alla propria accountability. Bisogna però considerare che può costituire un valido fattore di successo non solo se è adeguatamente coinvolto. Occorre pertanto che venga inserito all’interno dei gruppi di lavoro e dei flussi informativi, ma soprattutto che sappia agire di iniziativa, sollecitando e assumendo un ruolo proattivo.
Per quanto riguarda le eventuali esigenze di formazione ulteriore di un DPO già presente, emergenti dal nuovo contesto normativo e degli scenari di rischio, è bene infine ricordare che sta all’organizzazione provvedere a fornire le risorse necessarie per svolgere i compiti, ivi incluso il ricorso ad ulteriori professionalità, e a mantenere la propria conoscenza specialistica[2].
Note
[1] Art. 39 par. 2 GDPR.
[2] Art. 38 par. 2 GDPR.
