Security Manager e DPO nell’era NIS-2

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, CSO e DPO, membro del comitato tecnico-scientifico del CESPIS, Centro Studi Prevenzione, Investigazione e Sicurezza

Sono passati quasi quarant’anni da quando il sociologo tedesco Ulrich Beck pubblicò La Società del Rischio, un testo che analizzava una realtà ancora oggi attualissima: viviamo in una società globale del rischio, impegnata in un processo di “modernizzazione della modernizzazione”. Beck distingueva tra una prima e una seconda modernità, descrivendone le implicazioni e i rischi, e ponendo l’accento sulle minacce che possono derivare da un’evoluzione non governata dei processi sociali, economici e tecnologici. L’incertezza è da sempre una costante della condizione umana: significa non sapere, non riuscire a prevedere o prevenire eventi potenzialmente dannosi. Da questa incertezza nasce la sensazione di insicurezza, che rappresenta oggi il centro della vita quotidiana di ogni individuo. Poiché il rischio non può essere eliminato, va compreso e anticipato.

L^’analisi di Beck si applica perfettamente anche al rischio informatico e a quello fisico, due dimensioni che nella nostra società digitale e interconnessa si fondono in un unico scenario complesso. Le infrastrutture dipendono sempre più da reti di dati, processi automatizzati e sistemi di comunicazione vulnerabili a minacce che evolvono di pari passo con la tecnologia. L’esperienza del COVID-19 ha reso ancora più evidente la fragilità dei modelli tradizionali di sicurezza, sia pubblici sia aziendali, rivelando le vulnerabilità della transizione digitale e dello smart working.

Un po’ di lessico

In italiano il termine sicurezza comprende tre dimensioni distinte in ambito anglosassone - security, safety ed emergency - e indica “la condizione di ciò che è sicuro, capace di prevenire o attenuare i rischi derivanti da minacce che sfruttano vulnerabilità per causare danni”. Una gestione attenta e integrata di questi aspetti consente di ridurre la distanza tra sicurezza ideale e sicurezza reale.

NIS-2 = fisico + cyber

Nella società digitalizzata post NIS-1, la sfida principale per le organizzazioni sarà realizzare una integrazione effettiva tra physical e cyber security. La prima NIS aveva evidenziato limiti importanti: scarsa resilienza informatica, assenza di coordinamento tra Stati e imprese, e bassa consapevolezza delle minacce cyber. Dal 16 ottobre 2024, con l’entrata in vigore della NIS-2, il quadro cambia radicalmente. La nuova normativa introduce la fusione obbligatoria tra protezione fisica e logica, con l’obiettivo di difendere in modo coordinato tutte le risorse aziendali, tangibili e intangibili. L’art. 21 stabilisce i requisiti di conformità alla cybersecurity: la sicurezza fisica si occuperà della protezione di strutture e persone (controllo accessi, videosorveglianza, sistemi antintrusione, difese passive) mentre la sicurezza logica proteggerà dati e reti (crittografia, firewall, intrusion detection), in linea con il GDPR.

Il Security Manager

La NIS-2 non ridefinisce solo i processi di sicurezza, ma anche le figure manageriali coinvolte: DPO, CISO e Security Manager. Non si tratterà più di gestire semplici procedure, ma di governare strategie integrate di difesa e innovazione, capaci di rispondere a minacce fisiche e digitali in modo sinergico. La nuova direttiva segna un passaggio epocale: la sicurezza cessa di essere una funzione di supporto e assume un ruolo strategico e trasversale all’interno delle organizzazioni. Mentre la NIS-1 ragionava in termini di budget e performance a breve termine, la NIS-2 introduce infatti la logica della resilienza, della pianificazione di lungo periodo e della difesa sistemica. Per affrontare questa trasformazione, serviranno competenze aggiornate e un cambio di mentalità in tutta la filiera della sicurezza.

Il “Punto di Contatto”

La NIS2 introduce inoltre il concetto di Punto di Contatto, previsto dal D.Lgs. 138/2024, che fungerà da collegamento operativo con l’Agenzia per la Cybersicurezza Nazionale. Secondo l’ENISA, “l’accesso fisico rappresenta la maggiore backdoor”: per questo la gestione del rischio deve essere olistica e comprendere entrambi gli ambiti di sicurezza. Due figure professionali rispondono perfettamente a questo approccio integrato: il Security Manager, riconosciuto dalla norma UNI 10459:2017, responsabile della sicurezza fisica e organizzativa, e il Data Protection Officer, definito dalla UNI-CEI-EN 17740:2024, esperto della protezione dei dati personali.

Pur con specializzazioni differenti, queste due figure condividono obiettivi convergenti: garantire continuità operativa, segregazione delle responsabilità e corretto bilanciamento tra protezione e controllo.

All’interno delle Infrastrutture Critiche, le normative prevedono varie figure professionali obbligatorie o volontarie, come l’RSPP (D.Lgs. 81/2008), il DPO e lo stesso Security Manager, quest’ultimo cogente in alcune normative settoriali (UNI 10891:2000, DM 154/2009, DM 269/2010). In tale contesto, proprio Security Manager e DPO appaiono i candidati ideali per ricoprire il ruolo di Punto di Contatto NIS-2, in grado di coordinare sicurezza, protezione dati e compliance normativa in modo integrato e documentato.

Verso una sicurezza certificata e competente

La figura del Security Manager rappresenta l’interfaccia operativa della sicurezza aziendale: collabora con Autorità Giudiziaria, Forze di Polizia e Prefetture per garantire standard elevati di protezione. Accanto a lui, il DPO tutela la privacy e la conformità normativa, ma di fatto opera anch’egli nel campo della security, soprattutto nella gestione dei dati classificati o sensibili.

I due ruoli condividono competenze strategiche: gestione dei rischi critici, analisi forense, contrasto agli attacchi informatici, governance delle informazioni e comunicazione istituzionale.

Insieme, costituiscono il nucleo della sicurezza integrata, quella che la NIS-2 intende rendere finalmente operativa. Resta ora una domanda aperta: la politica avrà il coraggio e la lungimiranza di rendere obbligatorie queste due figure all’interno delle infrastrutture critiche pubbliche e private?

Sarebbe il passo decisivo per garantire, una volta per tutte, un Punto di Contatto certo, competente e certificato, a tutela della sicurezza nazionale e aziendale.