Governance aziendale in ottica multi compliance
Il Caffè Digitale


L’evoluzione del contesto digitale e tecnologico degli ultimi anni ha indotto il legislatore a muoversi rapidamente per rispondere alle nuove sfide che hanno visto le organizzazioni impegnate sul fronte della sicurezza informatica, della protezione dei dati personali e nell’uso dell’intelligenza artificiale.
In un mercato sempre più digitalizzato e connesso l’introduzione e l’aggiornamento di normative di matrice legal-tech hanno richiesto alle aziende un cambio di paradigma e l’adozione di una nuova visione, basata su un approccio integrato.
La necessità di regolamentazioni più stringenti, connesse all’incremento esponenziale dell’uso dei dati, dell’intelligenza artificiale e delle infrastrutture digitali critiche, si è tradotta nelle quattro macro-normative di cui sotto:
- GDPR: a tutela dei dati personali e della privacy degli interessati
- NIS2: per la sicurezza informatica delle organizzazioni e delle infrastrutture critiche
- AI ACT: per un utilizzo etico e responsabile dei sistemi di AI
- D.Lgs. 231/2001: finalizzata alla governance aziendale e alla prevenzione dei reati informatici e aziendali
L’approccio normativo adottato dall’Unione Europea negli ultimi anni ha reso ben evidente che la compliance non deve ormai più essere affrontata in maniera frammentata, ma richiede una logica trasversale, capace di garantire la conformità a più regolamenti in modo multidisciplinare.
Adottare una visione multi-compliance significa trarre il massimo beneficio dalle sinergie tra queste regolamentazioni per migliorare l’efficienza e costruire un modello di gestione coerente ed omogeneo.
Il primo passo consiste nell’individuazione dei principi in comune tra i diversi impianti normativi per semplificare l’implementazione e ridurre sforzi e risorse, sia in termini di risorse coinvolte che di investimenti. Vediamo nel concreto alcuni comuni denominatori, senza la pretesa di essere esaustivi. In ambito di sicurezza informatica e tutela dei dati personali, il GDPR e la Direttiva NIS2 presentano una significativa convergenza, prevedendo entrambi l’adozione di misure tecniche e organizzative avanzate volte a garantire la protezione dei dati e la resilienza dei sistemi informativi critici. Inoltre, l’approccio alla gestione del rischio richiesto dalla NIS2 alle entità soggette può essere armonizzato con le prescrizioni del GDPR, consentendo alle organizzazioni di sviluppare un modello integrato di sicurezza e protezione dei dati coerente con entrambe le normative. Per quanto riguarda il binomio AI e trattamento dati, l’AI Act obbliga le organizzazioni al rispetto della trasparenza e della governance dei dati facendo eco ai principi del GDPR ed al contempo, come richiesto dal D.Lgs. 231/2001, i sistemi di IA ad alto rischio devono soddisfare i principi di sicurezza e accountability. L’approccio risk-based è invece un aspetto condiviso sia dalla NIS2 che dal Regolamento sull’AI. Spostandoci sul fronte della governance e della responsabilità legale, il D.Lgs. 231/2001 impone alle aziende l’adozione di un Modello Organizzativo per prevenire reati, tra cui quelli informatici e connessi alla violazione dei dati (GDPR) e concorda sia con la NIS2 che con il GDPR nell’attribuzione di responsabilità diretta del top management nella gestione della sicurezza.
Sebbene la nostra overview offra una rassegna sintetica e non fornisca dettagli specifici sui punti comuni alle normative, quanto detto è sufficiente per comprendere come – nonostante nascano con obiettivi differenti – i vari impianti si intersecano in diversi ambiti, rendendo inevitabile un approccio integrato che coinvolga sia le competenze tecniche sia quelle legali.
L’integrazione tra le diverse normative non rappresenta solo un processo di compliance, ma anche una sfida organizzativa che coinvolge vari comparti aziendali: IT, ufficio legale, compliance, CISO sono chiamati a collaborare e a mettere a fattor comune le proprie competenze per garantire una protezione efficace del patrimonio informativo e per ridurre il livello di rischio di esposizione a contenziosi e sanzioni.
L’implementazione di una strategia pluridisciplinare si basa essenzialmente su quattro punti chiave, quattro attività che si traducono nella:
- definizione dei processi di governance e dei ruoli di responsabilità: la definizione delle procedure di risk management, audit e accountability passa necessariamente dalla creazione di un team che coinvolga i responsabili delle diverse direzioni coinvolte (DPO, CISO, Compliance, OdV).
- Gestione del rischio: adottare framework di risk management integrati e prevedere sistemi di monitoraggio unici.
- Integrazione delle misure di sicurezza informatica con quelle di protezione dei dati, garantendo al contempo la conformità dei sistemi di intelligenza artificiale con le disposizioni dell’AI Act.
- Progettazione di piani di formazione, con sessioni periodiche su privacy, sicurezza e responsabilità aziendale. Al tempo stesso è necessario incoraggiare la cultura delle cybersecurity all’interno dell’organizzazione.
