La separazione tra protezione dei dati personali e sicurezza cibernetica rappresenta oggi una finzione organizzativa che indebolisce il governo del rischio digitale. Nella realtà operativa, dati e sistemi condividono la stessa esposizione alle minacce e ricadono nella medesima sfera di responsabilità del vertice.

Letti in modo coordinato, GDPR e NIS 2 non descrivono ambiti distinti ma convergono verso l'integrazione tra livello strategico e livello operativo dentro un unico sistema di gestione. Un sistema nel quale le decisioni del vertice si traducono in processi strutturati, controlli effettivi e responsabilità chiaramente attribuite, secondo una logica di tracciabilità e coerenza.

Questo terzo articolo, che conclude la trilogia dedicata all'architettura decisionale per una protezione digitale autentica, dimostra perché l'integrazione tra governance strategica, attuazione operativa e modello organizzativo rappresenti una necessità giuridica e organizzativa. La conformità futura richiede un assetto unitario capace di governare in modo coordinato dati personali, infrastrutture digitali e rischio, dentro un'unica struttura di responsabilità.*

Leggi anche: NIS2 e GDPR: governance strategica e compliance (primo articolo della trilogia) e GDPR e NIS2: dalla strategia all'operatività (secondo articolo).

 

Verso un'unica visione: quando due norme convergono nello stesso sistema di governo

Con questo terzo contributo si chiude la trilogia dedicata all'architettura decisionale richiesta da GDPR e NIS 2.

Il primo articolo ha chiarito il ruolo del livello strategico, sede delle scelte fondamentali e dell'assunzione consapevole della responsabilità.

Il secondo ha analizzato il livello operativo, chiamato a dare attuazione concreta a quelle decisioni attraverso processi strutturati, controlli effettivi e azioni verificabili nel tempo.

Il quadro ora è completo:

• da una parte si colloca chi orienta l'organizzazione e definisce la soglia di rischio accettabile;
• dall'altra chi traduce quell'indirizzo in strutture capaci di funzionare con continuità.

A questo punto emerge una questione decisiva: ha ancora senso considerare la conformità al GDPR e alla NIS 2 come percorsi distinti, affidati a logiche separate?

Per anni la divisione è apparsa quasi naturale.

La protezione dei dati personali veniva collocata nell'area giuridica, associata a informative, clausole contrattuali, registri e adempimenti formali mentre la cybersecurity veniva ricondotta alla dimensione tecnica, affidata agli specialisti delle infrastrutture e dei sistemi.

Coesistevano due diversi linguaggi, due ambiti professionali, due filiere decisionali.

Questa impostazione oggi mostra tutti i suoi limiti perché:

• una vulnerabilità tecnica può trasformarsi immediatamente in una violazione di dati personali, con effetti giuridici rilevanti;
• i medesimi processi digitali incidono contemporaneamente sulla sicurezza delle reti e sulla protezione dei diritti fondamentali;
• le due normative si rivolgono agli stessi organi di vertice e insistono sul medesimo spazio di responsabilità organizzativa.

La realtà operativa impone quindi una lettura integrata: GDPR e NIS 2 convergono in un unico sistema di governo del rischio digitale, nel quale protezione dei dati, sicurezza dei sistemi e gestione strategica delle minacce costituiscono componenti di una stessa architettura.

Non si tratta di accostare due modelli ma di riconoscere che l'organizzazione è una sola, il rischio è unico e la responsabilità è unitaria.

Solo in questa consapevolezza può evidentemente prendere forma una visione coerente, capace di integrare diritto, tecnologia e governance dentro un unico sistema di comando e controllo.

 

Dati e infrastrutture digitali: un'unica superficie di rischio

Ogni processo critico oggi si sviluppa attraverso un'infrastruttura digitale.

La maggior parte delle organizzazioni opera dentro sistemi informativi che concentrano dati, decisioni, operazioni e responsabilità. La dimensione tecnologica non è un supporto esterno ma l'ambiente stesso in cui si realizza l'attività organizzativa.

Ogni sistema tratta dati: sia dati personali sia informazioni strategiche per il business come, ad esempio, know-how, dati industriali, flussi finanziari, informazioni commerciali, patrimonio reputazionale.

Allo stesso tempo, ogni dato esiste solo dentro un sistema che lo conserva, lo elabora, lo trasmette e lo protegge.

Il dato, quindi, non è un'entità astratta ma vive dentro infrastrutture che ne consentono l'utilizzo.

Ne consegue che l'interdipendenza tra dati e sistemi rende strutturalmente artificiale ogni separazione tra protezione del dato e protezione del sistema o della rete.

In concreto, nella realtà operativa esiste un'unica superficie esposta al rischio; per cui, quando il sistema è vulnerabile, i dati diventano immediatamente esposti e quando i dati non sono adeguatamente protetti, il sistema perde affidabilità e integrità.

In questo quadro si collocano le due normative che disciplinano il governo del rischio digitale da prospettive convergenti:

• da un lato, il GDPR che protegge le persone e i loro diritti fondamentali, mettendo in sicurezza i dati personali, perché da essi possono derivare potere, controllo, discriminazione ed effetti sulla libertà e sulla dignità;
• dall'altro, la NIS 2 che rafforza sicurezza, continuità e resilienza dei sistemi dai quali dipendono servizi essenziali, infrastrutture critiche e stabilità economica.

Le due prospettive si incontrano nella pratica organizzativa: dati e sistemi si sostengono reciprocamente e condividono la stessa esposizione al rischio.

Per questa ragione anche la risposta deve essere unitaria. Se il rischio è uno, la governance non può frammentarsi.

 

Chi governa deve dimostrare

Il principio che attraversa GDPR e NIS 2 è uno solo: responsabilità.

Una responsabilità che:

• appartiene al vertice;
• si manifesta nella qualità delle scelte;
• si misura nella capacità di renderne conto.

Nel GDPR assume la forma dell'accountability prevista dagli artt. 5, par. 2 e 24.

Nella NIS 2 diventa responsabilità diretta degli organi di amministrazione e direttivi, ai quali l'art. 23 del Decreto NIS impone di approvare, vigilare e orientare.

In entrambi i casi non è ammessa una delega meramente formale.

Ne consegue che non basta adottare misure tecniche o organizzative ma occorre dimostrare perché quelle misure sono state scelte.

La responsabilità si manifesta nel processo che precede l'adozione delle misure. In particolare, rilevano:

• i rischi analizzati;
• le alternative considerate;
• i criteri adottati per decidere;
• le modalità con cui sono state attribuite le responsabilità.

Così, una misura vale solo se rappresenta l'esito documentato di una decisione consapevole.

Da questo punto di vista emerge la funzione del sistema di gestione che non è un insieme di carte ma la struttura che rende visibile il nesso tra rischio valutato e misura adottata, tra decisione strategica e attuazione operativa.

È qui che GDPR e NIS 2 si incontrano davvero.

Cambiano le categorie normative, ma resta identico il principio: governare significa decidere con metodo e poter dimostrare ciò che si è deciso e come lo si è realizzato.

 

Quando la responsabilità diventa sistema

Se governare significa assumere decisioni consapevoli e poterle dimostrare, la responsabilità non può restare un principio enunciato né dipendere dall'iniziativa individuale. Deve essere strutturata, resa stabile e organizzata nel tempo.

Una decisione è davvero responsabile solo quando si inserisce in un assetto che la rende coerente con le altre scelte, tracciabile, verificabile e migliorabile.

Questo presuppone una struttura, cioè un'organizzazione della responsabilità.

In termini tecnici, tale organizzazione è ciò che le norme ISO qualificano come sistema di gestione. La norma UNI EN ISO 19011:2018 "Linee guida per audit di sistemi di gestione", lo definisce un insieme di elementi correlati o interagenti finalizzati a stabilire politiche, obiettivi e processi per conseguirli. Non è quindi un documento ma una struttura dinamica di elementi che operano in modo coordinato.

Nel contesto della protezione dei dati e della cybersicurezza, il sistema di gestione comprende politiche deliberate dal vertice, obiettivi definiti, ruoli attribuiti, processi attivati, procedure applicate, controlli eseguiti, verifiche svolte e azioni correttive adottate.

È il funzionamento effettivo dell'organizzazione quando governa il rischio e vive nelle decisioni e nella loro attuazione.

In questo intreccio tra strategia e operatività la responsabilità assume consistenza e diventa metodo.

Ora, affinché tale metodo sia effettivo, le responsabilità devono essere attribuite con precisione. Deve, quindi, risultare inequivoco chi decide, chi riceve deleghe, chi attua, chi controlla e a chi ciascun livello risponde.

Senza questa chiarezza l'assetto si disarticola e perde capacità di governo.

Da questa esigenza prende forma il modello organizzativo che non coincide con il sistema di gestione, anche se spesso i due termini vengono usati in modo improprio come sinonimi.

Il modello organizzativo rappresenta la sua formalizzazione ordinata: è l'insieme strutturato dei documenti che fissano le regole interne e rendono visibile l'assetto di governo. Comprende politiche, regolamenti, procedure, atti di nomina, registri, analisi dei rischi e linee guida operative.

Se il sistema di gestione è il funzionamento concreto dell'organizzazione nel tempo, cioè il modo in cui ogni giorno analizza i rischi, assume decisioni, attua misure e verifica risultati, il modello organizzativo è l'architettura che rende questo funzionamento leggibile e verificabile.

Il sistema è dinamico perché vive nei processi, nelle scelte operative e nei controlli quotidiani.

Il modello, invece, è prevalentemente statico perché prende forma nei documenti che descrivono ruoli, regole e responsabilità.

E ancora, il sistema di gestione è l'esercizio effettivo della responsabilità mentre il modello organizzativo è la sua configurazione formale, ciò che consente di comprenderla, valutarla e sottoporla ad audit.

Il modello viene aggiornato quando cambiano norme, tecnologie, servizi o rischi.

Il sistema, invece, opera ogni giorno, perché coincide con il modo in cui l'organizzazione governa in concreto le proprie attività.

Letti alla luce dell'accountability, GDPR e NIS 2 convergono in questa costruzione:

• il vertice decide e risponde;
• il sistema di gestione assicura l'attuazione coerente;
• il modello organizzativo garantisce la tracciabilità e la dimostrabilità.

In questa integrazione la responsabilità diventa governo organizzato.

 

Un sistema che si misura nelle decisioni

Il valore di un sistema di gestione si ritrova nella qualità delle decisioni che riesce a orientare.

Un sistema è reale quando guida in modo stabile l'analisi dei rischi, definisce le priorità, disciplina l'adozione delle misure e mantiene coerenza tra indirizzo strategico e attuazione operativa.

La sua solidità dipende dall'allineamento costante tra ciò che il vertice decide e ciò che la struttura organizzativa realizza.

Il modello organizzativo rende possibile questo funzionamento, perché definisce la catena delle responsabilità e i poteri necessari per esercitarle. Stabilisce chi decide, chi attua, chi controlla e a chi ciascun livello deve rispondere.

In tale quadro, senza un'architettura chiara delle responsabilità, il sistema non è governabile; senza un sistema effettivamente operante, il modello resta una costruzione formale.

In un assetto integrato tra GDPR e NIS 2, rafforzato dalla Determinazione ACN 127437 del 13 aprile 2026, il funzionamento deve evolvere con il mutare delle minacce, mentre la struttura documentale deve aggiornarsi quando cambiano contesto normativo, organizzazione o tecnologia. Il primo assicura continuità operativa mentre la seconda garantisce coerenza strutturale.

Il sistema di gestione può indebolirsi quando le responsabilità si confondono, le decisioni non sono esplicitate e le funzioni si sovrappongono.

In queste condizioni anche se la documentazione è completa il governo è evidentemente assente. Quando si rompe l'allineamento tra decisione, esecuzione e controllo, anche un modello formalmente impeccabile, inevitabilmente, perde efficacia.

 

Conclusioni: governare senza limitarsi a rispettare

GDPR e NIS 2 non si limitano a richiedere adempimenti ma impongono governo.

Quindi non basta esibire politiche ben redatte, deleghe sottoscritte o registri aggiornati. Occorre dimostrare che:

• esiste una direzione chiara;
• le decisioni derivano da analisi consapevoli;
• le responsabilità sono leggibili lungo l'intera catena organizzativa;
• l'azione operativa è coerente con quanto deliberato.

Governare significa poter dimostrare che ogni scelta ha un fondamento e che ogni controllo si inserisce in un disegno complessivo. Per questo motivo, il modello organizzativo integrato tra NIS 2 e GDPR diventa la condizione di credibilità della conformità, perché rende visibile e verificabile il sistema di gestione che lo anima.

Qui converge l'intera riflessione: GDPR e NIS 2 orientano verso un unico obiettivo, costruire un'organizzazione capace di integrare strategia e operatività, protezione dei dati e sicurezza dei sistemi e delle reti.

Non un'organizzazione che si limita a rispettare le regole, ma una struttura capace di governare il rischio in modo consapevole e continuativo.

Alla fine, la differenza non sta tra GDPR e NIS 2 ma tra chi governa il rischio e chi lo subisce.

Le norme offrono l'architettura. L'organizzazione decide se abitarla davvero.