In molte aziende italiane, il DPO (Data Protection Officer) e il CISO (Chief Information Security Officer) operano in silos separati. Il DPO si occupa di privacy, il CISO di sicurezza informatica — quando c'e un CISO, perche in molte PMI il ruolo nemmeno esiste. Con la NIS2, questa separazione non e piu sostenibile.
La direttiva introduce il concetto di punto di contatto NIS2, una figura che deve interfacciarsi con l'ACN e gestire gli obblighi di compliance. Chi ricopre questo ruolo? E come si relaziona con DPO e CISO? Le risposte non sono scontate.
Il DPO: ruolo e competenze
Il DPO e la figura introdotta dal GDPR per vigilare sulla protezione dei dati personali. E obbligatorio per enti pubblici, aziende che trattano dati su larga scala e aziende che trattano dati sensibili. Il DPO ha competenze prevalentemente giuridiche e normative, con una conoscenza delle tecnologie sufficiente a comprendere i rischi ma non a gestirli tecnicamente.
Il CISO: ruolo e competenze
Il CISO e il responsabile della sicurezza delle informazioni. A differenza del DPO, non e un ruolo normato da una legge specifica, ma la NIS2 lo rende di fatto necessario. Il CISO ha competenze prevalentemente tecniche: gestione delle infrastrutture di sicurezza, incident response, vulnerability management, security architecture. In Italia, il ruolo del CISO e ancora poco diffuso nelle PMI — spesso le sue funzioni sono svolte dal responsabile IT.
Il punto di contatto NIS2
La NIS2 introduce una nuova figura: il punto di contatto, che deve essere registrato sulla piattaforma ACN ed e il referente per tutte le comunicazioni con l'autorita. Chi deve essere? La normativa non lo specifica — puo essere il CISO, il DPO, il responsabile IT o un'altra figura designata. La scelta dipende dalle competenze disponibili e dalla struttura organizzativa.
| Aspetto | DPO | CISO | Punto contatto NIS2 |
|---|---|---|---|
| Base normativa | GDPR (obbligatorio) | Best practice (raccomandato) | NIS2 (obbligatorio) |
| Focus | Dati personali | Sicurezza informatica | Compliance NIS2 |
| Competenze | Giuridiche + tech base | Tecniche + governance | Miste |
| Indipendenza | Obbligatoria | Consigliata | Non specificata |
| Autorita di riferimento | Garante Privacy | ACN (indiretto) | ACN (diretto) |
Modelli organizzativi
Nelle grandi organizzazioni, DPO, CISO e punto di contatto NIS2 sono generalmente tre persone diverse che collaborano. Nelle PMI, spesso due o tutti e tre i ruoli convergono sulla stessa persona. Entrambi i modelli possono funzionare, a condizione che le competenze necessarie siano coperte e che la collaborazione sia formalizzata.
Un modello che funziona bene per le medie imprese: il CISO come punto di contatto NIS2 (ha le competenze tecniche per interagire con l'ACN), il DPO per la compliance privacy, e una procedura formalizzata di coordinamento tra i due per la gestione degli incidenti che coinvolgono dati personali.
La responsabilita degli organi direttivi
Un punto fondamentale della NIS2: la responsabilita ultima non e del DPO, del CISO o del punto di contatto. E degli organi direttivi. Il CdA deve approvare le misure, supervisionare l'implementazione e seguire la formazione. DPO e CISO sono esecutori e consulenti, non decisori. Questa e una novita culturale importante per molte aziende italiane dove il CdA delega completamente la sicurezza.