NIS2: apporto del DPO nella formazione di cyber security

di Stefano Gazzella - Privacy Officer, Data Protection Officer, Responsabile Comitato Scientifico Assoinfluencer 

In questo numero di secsolution magazine dedicato all’impatto della NIS2 sul settore della sicurezza fisica, ospitiamo un interessante contributo sull’apporto del DPO nell’ambito degli obblighi di formazione, in parte già contemplati dal GDPR, imposti dalla Direttiva. La parola a Stefano Gazzella.

La NIS 2 inserisce la formazione come un obbligo dei soggetti essenziali ed importanti sia a livello di governance che del personale operativo (art. 20), nonché come misura di gestione dei rischi di cibersicurezza (art. 21). La norma prevede che i destinatari siano tanto i membri degli organi di amministrazione e direttivi, tanto il personale, indicando anche i contenuti minimi di tale adempimento, ovverosia le pratiche di igiene informatica di base e i fondamenti di cibersicurezza, con particolare attenzione a minacce informatiche, phishing e tecniche di ingegneria sociale. L’obiettivo evidente è quello di intervenire per aumentare la cultura di sicurezza cyber all’interno dell’organizzazione attraverso una maggiore consapevolezza dei rischi e un empowerment, potendone prevedere e stimare le conseguenze. La formazione è infatti in grado di intervenire sulle vulnerabilità proprie del fattore umano, quali possono essere inconsapevolezza, incuria, disattenzione o violazione delle procedure consentendo l’adozione sistematica e proattiva di comportamenti sicuri e andando a migliorare la capacità di reagire ad un incidente.

Cosa diceva il GDPR

Il GDPR aveva già previsto la sensibilizzazione e formazione del personale come misura organizzativa per mitigare le minacce derivanti dal comportamento degli operatori, in totale armonia e coerenza con le previsioni della NIS 2, la cui adozione deve essere valutata secondo criteri di adeguatezza nel garantire preventivamente tanto la conformità alle prescrizioni normative in materia di protezione dei dati personali, quanto la sicurezza dei trattamenti svolti. Nelle istruttorie del Garante Privacy, relative anche ad ipotesi di data breach, la formazione del personale ha sempre rappresentato uno degli elementi che viene valutato a favore del titolare sia nel caso in cui sia stata svolta prima delle contestazioni, sia come espressione di un approccio di tipo lesson learned da parte dell’organizzazione, per ridurre la probabilità che si vada a ripetere una violazione analoga.

E il DPO cosa può fare?

È bene ricordare, inoltre, che, nel fornire una descrizione dei compiti del DPO, l’art. 39 par. 1 lett. b) GDPR prevede espressamente che l’attività di sorveglianza debba comprendere anche l’osservanza delle politiche «in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo». Il coinvolgimento del DPO nella formazione è pertanto inevitabile, dal momento che è una questione riguardante la protezione dei dati personali e che incide sul livello di sicurezza dei trattamenti svolti. Tale coinvolgimento non può però limitarsi esclusivamente ad un intervento di alto livello e gestionale, in cui c’è un apporto consulenziale o un audit delle politiche adottate al fine di valutarne l’adeguatezza, ma deve investire anche il piano operativo. Il DPO può infatti intervenire direttamente nell’azione formativa potendo andare così a svolgere il proprio compito di «informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento» come previsto dall’art. 39 par. 1 lett. a) GDPR.

Un approccio di processo

Considerata la sua particolare rilevanza nella gestione multirischio, la formazione non deve inoltre essere affrontata come un adempimento una tantum o meramente formale, bensì richiede un approccio di processo.
Per questo motivo il DPO deve intervenire in sinergia con altri soggetti quali ad esempio il CISO – che è e rimane l’owner della gestione della sicurezza dell’organizzazione e il rispetto della NIS 2 – oltre che con le funzioni IT e HR per la fase di progettazione e svolgimento dell’azione formativa. Ad esempio: per la divisione in gruppi omogenei, la preparazione dei programmi, o la previsione di test di apprendimento.

Verifiche privacy-compliant

Infine, dal momento che è necessario svolgere una fase di controllo successivo per valutare e rendicontare l’efficacia dell’azione formativa svolta, tale verifica viene rimessa alla decisione dell’organizzazione, che dunque potrà prevedere test, esercitazioni, o anche simulazioni di incidenti ed attacchi. Tutte queste attività dovranno però essere condotte nel rispetto dei diritti degli operatori quali soggetti interessati, e di conseguenza il DPO può fornire un apporto utile di advisoring per il perseguimento di obiettivi di miglioramento interno, ad esempio indicando l’obbligo o l’opportunità di svolgere una DPIA, l’utilizzo di modalità alternative che prevedano dati anonimizzati o pseudonimizzati, verificare la sussistenza e il corretto impiego della base del legittimo interesse. Inoltre, può coadiuvare l’organizzazione nella selezione di modalità di trattamento non eccessivamente pervasive o sproporzionate, o che non vadano a violare norme giuslavoristiche comportando di conseguenza l’illiceità delle attività di trattamento.