L’entrata in vigore del D.Lgs. 4 settembre 2024, n. 138, che attua in Italia la Direttiva (UE) 2022/2555 (NIS2), introduce un nuovo assetto di vigilanza nel quale l’Agenzia per la Cybersicurezza Nazionale (ACN) assume poteri di supervisione, controllo e ispezione nei confronti dei soggetti essenziali e importanti. Tale evoluzione normativa si innesta su un contesto regolatorio già caratterizzato dalla presenza dell’Autorità Garante per la protezione dei dati personali, cui il Regolamento (UE) 2016/679 attribuisce poteri istruttori e sanzionatori particolarmente incisivi.
Il risultato è la progressiva emersione di un sistema di vigilanza multilivello nel quale le organizzazioni possono essere chiamate a dimostrare la propria conformità tanto rispetto agli obblighi di cybersecurity quanto rispetto alle norme in materia di protezione dei dati personali. Se da un lato il D.Lgs. 138/2024 attribuisce all’ACN il compito di verificare l’adozione delle misure di gestione del rischio e di resilienza delle reti e dei sistemi informativi, dall’altro il GDPR, agli artt. 57 e 58, conferisce alle autorità di controllo poteri di indagine che includono accesso alla documentazione, richieste di informazioni e ispezioni presso le sedi dei titolari e dei responsabili del trattamento.
Indice degli argomenti
Come si coordinano ACN e Garante Privacy nella nuova vigilanza
In tale contesto, la cooperazione con le autorità di controllo non può essere considerata un evento occasionale o meramente reattivo. Essa deve essere preparata attraverso procedure interne strutturate, capaci di coordinare la produzione di evidenze tecniche, giuridiche e organizzative. La crescente convergenza tra cybersecurity e data protection rende infatti sempre più probabile che le verifiche ispettive richiedano una lettura integrata delle politiche di sicurezza, delle analisi di rischio, dei registri dei trattamenti e dei processi di gestione degli incidenti.
Ne deriva la necessità di sviluppare modelli organizzativi in grado di affrontare in modo coerente e coordinato le richieste provenienti da autorità diverse ma portatrici di finalità convergenti: garantire la sicurezza delle infrastrutture digitali e la tutela dei diritti fondamentali delle persone.
Il quadro dei poteri ispettivi e delle verifiche regolatorie
Il nuovo quadro regolatorio delineato dal D.Lgs. 4 settembre 2024, n. 138, recante attuazione della Direttiva (UE) 2022/2555 (NIS2), introduce nel sistema italiano un rafforzamento significativo dei poteri di vigilanza in materia di sicurezza delle reti e dei sistemi informativi. L’Agenzia per la Cybersicurezza Nazionale (ACN), quale autorità competente designata per l’attuazione della direttiva, è chiamata a esercitare funzioni di supervisione e controllo nei confronti dei soggetti essenziali e importanti, verificando l’effettiva adozione delle misure di gestione del rischio e di resilienza previste dalla normativa.
Il decreto attribuisce all’Agenzia poteri ispettivi e di verifica che comprendono la richiesta di informazioni, l’accesso alla documentazione rilevante ai fini della sicurezza dei sistemi informativi e la possibilità di svolgere attività di accertamento presso le organizzazioni soggette agli obblighi NIS2. In linea con l’impostazione della direttiva europea, tali poteri sono finalizzati non soltanto a verificare l’esistenza formale delle misure di sicurezza, ma anche a valutarne l’effettiva efficacia operativa, con particolare riferimento alla gestione del rischio, alla continuità dei servizi, alla sicurezza della supply chain e alle procedure di gestione degli incidenti.
Parallelamente, il Regolamento (UE) 2016/679 attribuisce alle autorità di controllo nazionali competenze di vigilanza in materia di protezione dei dati personali e, per quanto disposto dal Regolamento, conferisce ampi poteri di indagine e di intervento. Tra questi rientrano la possibilità di richiedere informazioni ai titolari e ai responsabili del trattamento, di ottenere accesso a tutta la documentazione necessaria per l’esercizio delle proprie funzioni e di effettuare verifiche ispettive presso le sedi delle organizzazioni interessate.
L’esperienza applicativa maturata negli ultimi anni dimostra come le attività ispettive dell’Autorità Garante si concentrino spesso su elementi documentali e organizzativi che coincidono con quelli richiesti anche nel contesto della sicurezza informatica: analisi dei rischi, politiche di sicurezza, registri dei trattamenti, procedure di gestione dei data breach, controlli sugli accessi ai sistemi e gestione dei fornitori. In questo senso, le verifiche privacy hanno già contribuito a consolidare nelle organizzazioni una cultura della documentazione e della tracciabilità delle misure adottate.
L’introduzione del framework NIS2 determina quindi una significativa convergenza tra i sistemi di vigilanza. Le ispezioni dell’ACN e quelle del Garante Privacy si fondano su presupposti normativi differenti, ma tendono a richiedere evidenze in larga parte sovrapponibili: politiche di sicurezza formalizzate, analisi di rischio aggiornate, modelli organizzativi documentati e dimostrazione dell’effettiva implementazione delle misure tecniche e organizzative.
Per le organizzazioni soggette a tali regimi, ciò comporta l’emergere di un sistema di controllo multilivello nel quale la capacità di produrre evidenze coerenti assume un ruolo centrale. La documentazione predisposta per dimostrare la conformità alle misure di sicurezza previste dal D.Lgs. 138/2024 può infatti assumere rilievo anche nel contesto delle verifiche privacy, in particolare con riferimento agli obblighi di sicurezza del trattamento previsti dall’art. 32 GDPR e al principio di responsabilizzazione sancito dal Regolamento.
La crescente convergenza tra cybersecurity e protezione dei dati personali si riflette dunque anche sul piano della vigilanza pubblica. Le organizzazioni sono chiamate a confrontarsi con autorità diverse ma portatrici di esigenze regolatorie complementari, che richiedono un approccio coordinato alla gestione della sicurezza delle informazioni e alla tutela dei diritti degli interessati.
Perché ACN e Garante Privacy chiedono evidenze sempre più simili
La coesistenza dei poteri di vigilanza dell’Agenzia per la Cybersicurezza Nazionale e del Garante per la protezione dei dati personali determina, sul piano operativo, una crescente convergenza nelle evidenze documentali richieste alle organizzazioni. Pur muovendo da presupposti normativi differenti, le attività ispettive condotte nell’ambito della sicurezza cibernetica e quelle svolte nel contesto della protezione dei dati personali tendono infatti a interrogare gli stessi presidi organizzativi e gli stessi processi di governance del rischio.
Nel contesto delle verifiche previste dal D.Lgs. 138/2024, l’ACN è chiamata a valutare l’adozione e l’effettiva implementazione delle misure tecniche, operative e organizzative volte alla gestione dei rischi per la sicurezza delle reti e dei sistemi informativi. Tali verifiche si concentrano tipicamente su elementi quali l’esistenza di un processo strutturato di risk management, la mappatura dei processi critici e degli asset ICT, le politiche di sicurezza adottate, i piani di continuità operativa e le procedure di gestione e notifica degli incidenti. A ciò si aggiungono, in linea con l’impostazione della Direttiva NIS2, le misure relative alla sicurezza della supply chain e alla gestione dei fornitori ICT.
Analogamente, nelle attività istruttorie svolte ai sensi del GDPR, l’Autorità Garante richiede frequentemente la produzione di documentazione che consenta di dimostrare l’adozione di misure tecniche e organizzative adeguate ai sensi dell’art. 32 del regolamento. Tra i documenti tipicamente oggetto di verifica rientrano il Registro delle attività di trattamento ex art. 30 GDPR, le analisi dei rischi relative ai trattamenti di dati personali, le eventuali valutazioni d’impatto sulla protezione dei dati (DPIA) previste dall’art. 35, le politiche di sicurezza informatica, le procedure di gestione dei data breach e le evidenze relative ai controlli effettuati sui fornitori che operano quali responsabili del trattamento ai sensi dell’art. 28.
La comparazione tra i due ambiti di vigilanza mostra come molte delle evidenze richieste siano sostanzialmente coincidenti o comunque strettamente correlate. La mappatura dei sistemi e dei processi che costituisce la base delle analisi di rischio in ambito NIS2 rappresenta, al contempo, il presupposto per una corretta tenuta del Registro dei trattamenti. Le politiche di sicurezza adottate per garantire la resilienza dei sistemi informativi costituiscono, allo stesso tempo, elementi rilevanti per dimostrare l’adeguatezza delle misure di sicurezza previste dall’art. 32 GDPR. Analogamente, i processi di gestione degli incidenti di sicurezza e di notifica alle autorità competenti presentano inevitabili punti di contatto con gli obblighi di notifica delle violazioni dei dati personali previsti dagli artt. 33 e 34 del regolamento.
In tale prospettiva, la preparazione alle verifiche ispettive non può essere costruita attraverso sistemi documentali separati, uno destinato alla cybersecurity e uno alla protezione dei dati personali. Un simile approccio rischia infatti di generare incoerenze tra le evidenze prodotte, oltre a moltiplicare gli oneri organizzativi senza produrre un reale rafforzamento della governance del rischio. Al contrario, la convergenza delle richieste ispettive suggerisce l’opportunità di costruire un corpus documentale integrato, nel quale analisi dei rischi, politiche di sicurezza, registri dei trattamenti e procedure operative siano progettati sin dall’origine per rispondere a un quadro regolatorio sempre più interconnesso.
La capacità di dimostrare coerenza tra le diverse componenti della documentazione aziendale diventa così un elemento centrale della preparedness ispettiva. Non si tratta soltanto di predisporre documenti formalmente corretti, ma di garantire che le analisi di rischio, le misure di sicurezza e i processi organizzativi descritti siano tra loro allineati e riflettano in modo veritiero il funzionamento dell’organizzazione. In un contesto nel quale la vigilanza pubblica si articola su più livelli regolatori, la coerenza delle evidenze documentali rappresenta uno dei principali indicatori della maturità complessiva del sistema di governance del rischio digitale.
Buone prassi organizzative per una governance GDPR-NIS2 unitaria
Una best practice organizzativa che sta progressivamente emergendo nelle organizzazioni soggette a molteplici regimi regolatori europei consiste nella definizione di una procedura interna unitaria dedicata alla gestione delle interazioni con le autorità di controllo. In contesti caratterizzati dalla contemporanea applicazione di discipline quali il Regolamento (UE) 2016/679, la normativa di attuazione della Direttiva (UE) 2022/2555 (NIS2), nonché i più recenti strumenti normativi in materia di dati e intelligenza artificiale, le organizzazioni si trovano infatti a dover gestire un numero crescente di interlocuzioni istituzionali: richieste di informazioni, verifiche documentali, reclami degli interessati, notifiche di incidente, attività ispettive e procedimenti sanzionatori. L’assenza di un modello organizzativo strutturato rischia in tali circostanze di generare risposte frammentate, incoerenze documentali e difficoltà nel coordinare le diverse funzioni aziendali coinvolte.
Un punto di ingresso unico per le comunicazioni
Per tale ragione, alcune organizzazioni stanno sviluppando procedure interne che disciplinano in modo sistematico l’intero ciclo di cooperazione con le autorità. Tali procedure individuano anzitutto un punto di ingresso formale per le comunicazioni istituzionali, spesso coincidente con i canali ufficiali di protocollo o con le caselle di posta elettronica certificata dedicate, assicurando che ogni richiesta proveniente dalle autorità competenti venga tempestivamente registrata e presa in carico. A partire da tale momento si attiva un processo organizzativo che coinvolge un gruppo di lavoro multidisciplinare incaricato di analizzare la richiesta ricevuta, qualificare il tipo di procedimento e coordinare le attività necessarie alla predisposizione del riscontro.
Il gruppo di lavoro e il coordinamento delle funzioni
All’interno di tali modelli, la gestione delle interlocuzioni con le autorità non viene affidata a una singola funzione aziendale, ma si fonda su una collaborazione strutturata tra competenze diverse. Tipicamente, il processo coinvolge le funzioni legali e di compliance, il responsabile della protezione dei dati personali, le strutture di cybersecurity e sicurezza delle informazioni, nonché le unità operative responsabili dei sistemi informativi, della continuità operativa e della gestione dei fornitori. In presenza di richieste particolarmente complesse, il gruppo di lavoro può inoltre avvalersi del contributo di ulteriori funzioni aziendali o di consulenti esterni, al fine di garantire un riscontro completo e coerente con le evidenze tecniche disponibili.
La gestione delle richieste documentali e dei reclami
Un elemento particolarmente rilevante di tali procedure riguarda la gestione delle richieste di informazioni e di esibizione documentale. Le autorità di controllo, sia nel contesto della protezione dei dati personali sia in quello della sicurezza delle reti e dei sistemi informativi, dispongono infatti di ampi poteri istruttori che consentono loro di richiedere informazioni, documentazione e chiarimenti alle organizzazioni sottoposte a vigilanza. Le procedure interne più evolute prevedono quindi una fase preliminare di verifica della legittimità e della portata della richiesta ricevuta, seguita dall’individuazione delle informazioni da raccogliere e dalla definizione di un processo interno di consolidamento delle risposte. In tale fase assume particolare importanza la capacità di coordinare contributi provenienti da diverse funzioni aziendali, assicurando che la documentazione prodotta sia coerente, completa e conforme alle tempistiche indicate dall’autorità.
Un ulteriore ambito disciplinato da tali modelli organizzativi riguarda la gestione dei reclami e delle segnalazioni. Nel contesto della protezione dei dati personali, gli interessati possono presentare reclami alle autorità di controllo qualora ritengano che un trattamento violi la normativa applicabile. Le procedure interne prevedono quindi meccanismi di monitoraggio delle comunicazioni ricevute, nonché processi di analisi delle contestazioni formulate e di predisposizione delle eventuali controdeduzioni. Analogamente, nel contesto della cybersecurity e delle normative digitali emergenti, possono verificarsi situazioni in cui l’autorità avvia autonomamente attività istruttorie o richiede chiarimenti a seguito di segnalazioni o eventi rilevanti. Anche in tali circostanze, la disponibilità di un processo strutturato consente di gestire in modo ordinato la raccolta delle informazioni e la predisposizione delle risposte.
La preparazione delle ispezioni e il follow-up interno
Particolare attenzione viene inoltre dedicata alla preparazione e alla gestione delle attività ispettive. Le ispezioni rappresentano uno degli strumenti principali attraverso cui le autorità verificano l’effettiva implementazione delle misure tecniche e organizzative dichiarate dalle organizzazioni. Le procedure di cooperazione più avanzate prevedono quindi la definizione preventiva di un gruppo interno incaricato di gestire l’interazione con il personale ispettivo, nonché l’individuazione delle funzioni aziendali che devono essere coinvolte nel corso delle verifiche. Vengono inoltre disciplinate le attività preparatorie che devono essere svolte in caso di preavviso di ispezione, come la verifica della disponibilità della documentazione rilevante, la predisposizione di ambienti idonei allo svolgimento delle verifiche e l’organizzazione dei flussi informativi interni necessari per fornire tempestivamente le evidenze richieste.
Le procedure interne più strutturate includono anche indicazioni relative alla gestione della fase successiva alle attività ispettive o alle richieste di informazioni. In tale contesto vengono disciplinate le attività di follow-up, che possono comprendere la trasmissione di documentazione integrativa, la predisposizione di eventuali memorie difensive o l’implementazione di misure correttive richieste dall’autorità competente. L’obiettivo di tali attività non è soltanto quello di rispondere alle richieste provenienti dalle autorità, ma anche di integrare gli esiti delle verifiche all’interno dei processi interni di gestione del rischio e di miglioramento continuo.
Ruoli, responsabilità e accountability
Un ulteriore elemento qualificante di queste best practice organizzative consiste nella formalizzazione delle responsabilità interne e dei flussi decisionali. Le procedure individuano infatti con chiarezza le funzioni incaricate di coordinare le interlocuzioni con le autorità, definiscono i livelli di approvazione delle risposte ufficiali e disciplinano le modalità attraverso cui le informazioni devono essere raccolte e consolidate. Tale formalizzazione contribuisce a ridurre il rischio di comunicazioni non coordinate o di risposte incomplete, rafforzando al contempo la capacità dell’organizzazione di dimostrare la propria accountability.
Nel loro insieme, tali modelli procedurali rappresentano un esempio concreto di come le organizzazioni possano affrontare in modo unitario la crescente complessità del quadro regolatorio europeo. In conclusione, la definizione di una procedura strutturata di cooperazione con le autorità consente di trasformare un insieme eterogeneo di obblighi normativi in un processo organizzativo coerente, capace di garantire tempestività, coerenza e tracciabilità nelle relazioni istituzionali.
