La conformità alla Direttiva NIS 2 e al GDPR è, prima di tutto, una questione di governance.

Le organizzazioni che presidiano processi critici devono necessariamente strutturarsi secondo una logica di comando analoga a quella militare - fondata sulla distinzione tra livello strategico e livello operativo - al fine di poter applicare i meccanismi di responsabilità e di governo del rischio previsti proprio dalla Direttiva NIS 2 e dal GDPR.

Al vertice, gli organi di amministrazione e direttivi definiscono la visione strategica, assumendosi la responsabilità delle scelte, mentre a valle, il management traduce tali indirizzi in azione.

Questo articolo analizza il ruolo centrale del livello strategico nella protezione dei dati e nella sicurezza cibernetica, mostrando come il Legislatore unionale abbia recepito in modo esplicito questo modello basato sulla separazione tra comando e operatività.

 

 

 

La domanda giusta non è “cosa fare” ma “chi decide”

Quando un’organizzazione è chiamata a rendere i propri processi conformi ai requisiti della NIS 2 o del GDPR, l’attenzione si concentra quasi sempre sugli strumenti. Così, si discute di misure, controlli e soluzioni tecnologiche, come se la conformità dipendesse soprattutto da dotazioni o competenze tecniche.

Eppure, prima ancora di chiedersi “cosa fare”, sarebbe necessario porsi una domanda chiave, spesso evitata perché scomoda: chi decide?

Le organizzazioni che presidiano processi critici si trovano in una condizione di esposizione permanente al rischio, nella quale ogni scelta produce effetti concreti e, talvolta, irreversibili.

In questi contesti un solo tipo di architettura può funzionare: quella che distingue il livello strategico dal livello operativo.

Si tratta di una necessità funzionale che oggi si è tradotta in un requisito giuridico preciso, incorporato nell’art. 23 del D.Lgs. 138/2024 (c.d. Decreto NIS 2) che colloca la responsabilità della gestione dei rischi a livello strategico.

 

 

Il livello strategico come luogo del comando

La responsabilità della costruzione di un sistema di protezione degli asset di un’organizzazione si colloca a livello strategico. Qui si concentra lo spazio del comando, occupato dagli organi di amministrazione e direttivi - Consiglio di Amministrazione, amministratore delegato, direzione generale, C-Level -.

In questo ambito prende forma la visione che viene tradotta in indirizzi strategici vincolanti e trasformata in missione organizzativa. Sono decisioni vere, destinate a orientare l’intera struttura organizzativa su:

• quale rischio è accettabile;

• cosa merita protezione prioritaria;

• come devono essere governati i sistemi informativi, le reti e i dati;

• dove inizia e dove finisce la responsabilità.

Quando questo livello strategico manca o resta implicito, l’organizzazione perde il proprio baricentro e le funzioni operative iniziano a muoversi in modo disallineato, producendo documenti, procedure e controlli che, pur apparendo formalmente corretti, non rispondono a un disegno unitario.

Il risultato è un sistema frammentato, incapace di reggere la pressione dei rischi in continua evoluzione.

La necessità che il governo dei processi sia fondato su politiche deliberate al livello apicale non rappresenta un approccio meramente formale ma, anzi, è una prassi consolidata e raccomandata dai principali standard internazionali in materia di sicurezza delle informazioni. La ISO/IEC 27001:2022, infatti, chiede all’Alta Direzione (Top Management) di:

• definire una politica per la sicurezza delle informazioni coerente con il contesto e con gli obiettivi strategici (clausola 5.2);

• dimostrare leadership e impegno diretto nella definizione, approvazione e supporto del sistema di gestione (clausola 5.1);

• attribuire ruoli, responsabilità e autorità in modo chiaro e formalizzato (clausola 5.3).

 

 

Con la NIS 2 il comando diventa obbligo

La Direttiva NIS 2 ha reso esplicita la logica che si sta descrivendo.

L’articolo 23 del D. Lgs. 138/2024 che ha recepito la Direttiva NIS 2 nell’Ordinamento nazionale e i requisiti operativi stabiliti dall’Agenzia per la Cybersicurezza Nazionale (ACN) con determinazione n. 379907 del 18.12.2025, attribuiscono agli organi di amministrazione e direttivi dei soggetti essenziali e importanti la responsabilità di:

• definire le politiche di gestione del rischio cibernetico;

• approvare i piani di attuazione;

• vigilare sull’efficacia del sistema.

Il comando, dunque, non è più una scelta organizzativa tra le tante ma un dovere che non può essere delegato. La correlata responsabilità non è delegabile e non può essere trasferita ai manager del livello operativo.

Il principio che ne deriva è semplice e rigoroso: chi governa l’organizzazione deve governare anche i rischi.

Così, con la NIS 2, la sicurezza cibernetica smette di essere una funzione tecnica e assume la sua natura reale di responsabilità di comando.

A questa responsabilità si collega, in modo diretto, anche un adempimento fondamentale: l’applicazione dell’articolo 30 del D.Lgs. 138/2024, che impone ai soggetti essenziali e importanti di elencare, descrivere e classificare le attività e i servizi rilevanti per la sicurezza delle reti e dei sistemi informativi.

Si tratta di un obbligo che non può essere rimandato, perché già nelle prossime settimane molte organizzazioni dovranno avviare e completare questo lavoro entro il 30 giugno 2026.

L’articolo 30 impone di realizzare una mappatura ragionata delle attività che costituiscono l’ossatura critica dell’organizzazione da comunicare all’ACN tramite la piattaforma di condivisione delle informazioni. In sostanza, la norma richiede di:

• comprendere cosa va presidiato con priorità;

• quali processi sono essenziali;

• quali servizi espongono a maggior rischio;

• quali asset devono essere protetti con misure rafforzate.

Questo adempimento rappresenta un passaggio strategico: non si può governare ciò che non si conosce con esattezza e senza questa consapevolezza, ogni politica di sicurezza rischia di restare astratta, ogni piano operativo rischia di fallire.

In questo quadro, la sicurezza cibernetica si conferma come una questione di comando, di visione e di responsabilità. Un ambito in cui il vertice decide, l’organizzazione conosce e solo così diventa capace di proteggere i propri sistemi informativi e le proprie reti.

 

Il GDPR: le politiche come comando scritto

Il GDPR non utilizza un linguaggio militare ma ne assume pienamente la logica e lo fa attraverso la struttura delle sue norme, in particolare quando introduce il concetto di politiche interne del titolare del trattamento.

Il Considerando 78 e l’articolo 24, paragrafo 2, collocano le politiche interne del titolare al centro del meccanismo di responsabilizzazione, chiarendo che sono atti necessari a dimostrare la conformità ai principi di protezione dei dati personali. Sono quindi atti di rilevanza strategica e, in ragione di questa loro particolare natura, espressione diretta della volontà del vertice organizzativo.

Le politiche interne del titolare del trattamento consentono di provare che:

• esiste una visione organizzativa sul trattamento dei dati personali;

• tale visione è formalizzata, conosciuta e comunicata internamente ed è riesaminata e aggiornata nel tempo.

Una politica aggiornata, coerente e applicata racconta una storia precisa: quella di un’organizzazione che sa cosa sta facendo.

In questo senso, le politiche del titolare del trattamento funzionano come vere e proprie fonti interne del diritto privacy, perché determinano come l’organizzazione interpreta e applica i principi e i requisiti stabiliti dal GDPR.

Quando queste politiche non esistono o non sono approvate dal vertice, il sistema di protezione dei dati personali può anche continuare a produrre documenti e procedure ma, non avendo una direzione da seguire, diventa di fatto ingovernabile.

 

 

Visione, coerenza e il ruolo del DPO

All’interno di questa architettura, il Data Protection Officer (DPO) svolge una funzione spesso fraintesa. L’articolo 39, paragrafo 1, lettera b) del GDPR gli affida non solo la sorveglianza dell’osservanza della normativa di settore ma anche quella delle politiche del titolare.

Questo significa che il DPO non controlla soltanto la correttezza formale dei trattamenti ma è chiamato anche a verificare la coerenza tra decisioni strategiche e pratiche operative.

Il DPO diventa così un presidio di legalità organizzativa, capace di:

• rendere visibili i vuoti decisionali;

• segnalare le distanze tra ciò che viene dichiarato e ciò che viene fatto;

• riportare al vertice organizzativo la responsabilità che gli è propria.

Il DPO diventa così anche un custode della coerenza del sistema.

 

 

Quando il comando manca

Quando il comando manca, l’organizzazione continua ad apparire attiva: i documenti si moltiplicano, le procedure vengono adottate e le riunioni si susseguono. Tuttavia, il sistema si muove senza una direzione comune.

In assenza di una decisione strategica chiara, le regole nascono per reazione e così accade che:

• ogni funzione presidia il proprio spazio;

• ogni responsabile protegge il proprio perimetro;

• ogni processo costruisce soluzioni limitate.

Il risultato non è maggiore sicurezza ma un accumulo disordinato di misure che non si integrano e che, anzi, finiscono per indebolirsi a vicenda.

Senza un indirizzo univoco, anche le decisioni operative divergono.

La responsabilità, così, si frammenta fino a dissolversi.

Queste criticità diventano evidenti quando si verifica un incidente di sicurezza. In quei momenti l’organizzazione si muove ma non decide: le attività si moltiplicano mentre il comando manca.

È il segno di una conformità solo formale che funziona sulla carta ma non nella realtà operativa.

Così, il sistema sembra reggere finché non viene messo sotto pressione; al primo evento significativo emerge con chiarezza l’assenza di una vera catena di comando.

NIS 2 e GDPR sono stati concepiti per evitare esattamente questo esito. Non funzionano come semplici elenchi di misure ma come vere norme di governo; infatti, prima di indicare cosa fare, chiariscono chi deve decidere. Perché un sistema, anche se imperfetto, resta governabile solo quando il comando è chiaro; se invece il comando manca, nessuna procedura può garantire una protezione reale né una conformità sostanziale.

 

Conclusioni

A questo punto il quadro è chiaro. La conformità alla NIS 2 e al GDPR non nasce da buone procedure né da tecnologie ben selezionate. È il risultato di un sistema di decisioni e di responsabilità che parte dal vertice e prende forma attraverso il management.

Il livello strategico è il luogo in cui il vertice definisce le politiche, assume le responsabilità e stabilisce quali rischi sono accettabili e quali no.

Senza questa base, nessuna struttura operativa può funzionare in modo coerente perché quando manca il comando, le attività procedono senza una guida e così le decisioni si disperdono, le procedure si moltiplicano senza logica e la responsabilità si indebolisce.

Il sistema può anche apparire attivo, ma in realtà resta esposto, fragile e puramente reattivo.

Quando invece il vertice esercita il proprio ruolo, l’intera organizzazione trova un punto di riferimento. I piani operativi hanno una direzione, i controlli seguono una logica, le persone sanno cosa devono fare e perché lo fanno.

Nel prossimo articolo l’analisi si sposterà su questo secondo livello per comprendere come gli indirizzi strategici vengano tradotti in piani, processi, controlli e sistemi di gestione, e perché l’operatività, pur essendo essenziale, non può né deve sostituirsi al comando.