In un mondo sempre più connesso, le violazioni della sicurezza possono avere gravi conseguenze sociali, finanziarie e produttive. Per questo, l’Unione Europea ha introdotto normative rigorose per garantire la cibersicurezza.
La direttiva NIS 2 migliora la sicurezza delle reti e dei sistemi informativi, richiedendo misure di sicurezza avanzate e gestione proattiva dei rischi. Il DORA assicura la resilienza digitale, soprattutto nel settore finanziario, garantendo prontezza nella risposta agli incidenti informatici. Il GDPR impone norme severe per la protezione dei dati personali, obbligando le organizzazioni a gestirli in modo sicuro.
In questo contesto, le autorità di vigilanza svolgono un ruolo fondamentale. Esse sono incaricate di eseguire sistematiche ispezioni e indagini in loco per assicurarsi che le organizzazioni rispettino le citate normative.
I poteri di controllo e di indagine sono attribuiti alle stesse autorità dalle seguenti norme:
- art. 32, paragrafi 2 e 4 della Direttiva UE 2022/2555 (NIS 2);
- art. 50, paragrafo 2 del Regolamento UE 2022/2554 (DORA);
- art. 58, paragrafo 1 del Regolamento UE 2016/679 (GDPR).
Questo articolo propone una riflessione sui punti salienti di una procedura che dovrebbe essere predisposta per consentire alle organizzazioni di essere pronte ad affrontare ispezioni e indagini in loco, fornendo linee di azione adeguate a gestire tutte le operazioni di controllo da parte delle autorità competenti.
Ovviamente, quanto proposto potrebbe dover tener conto di quanto richiedono gli articoli sopra citati in relazione all’attività di ispezione.
Indice degli argomenti
Procedura per la gestione di ispezioni e indagini in loco
È quindi auspicabile che all’interno di ogni organizzazione pubblica o privata destinataria delle citate normative di rango unionale venga definita, implementata ed eventualmente verificata per l’adeguatezza – a intervalli – una procedura che definisca i compiti e le responsabilità nel caso di presenza di soggetti terzi o altri controlli, in accordo a quanto previsto dagli artt. 32 della NIS 2, 50 del DORA e 58 del GDPR.
Tale procedura, di fatto, ha valenza anche per quanto riguarda ispezioni in generale condotte da soggetti terzi e per terze parti anche per gli audit sia interni che quelli di 2^ e 3^ parte.
I contenuti che vengono qui proposti si basano sul “ciclo di vita” dell’ispezione.
Sono, inoltre, riportate anche delle indicazioni sul fronte del comportamento che i soggetti coinvolti dovrebbero tenere. Ciò anche se tali aspetti sono più oggetto di formazione e sensibilizzazione che di procedura.
Tra gli elementi da considerare, in particolare per quelle organizzazioni più esposte, vi è anche l’opportunità di simulare – ad intervalli – ispezioni, coinvolgendo eventualmente soggetti terzi indipendenti. Tale misura dovrebbe essere supportata e promossa dallo stesso DPO.
Infine, non va dimenticato che l’ispezione è la punta dell’iceberg; la parte rilevante – cioè le misure poste in atto per garantire il presidio degli aspetti di sicurezza – sono attività che devono essere svolte e controllate quotidianamente e non possono essere recuperate nel corso di una ispezione.
Le indicazioni per la procedura qui proposte potrebbero richiamare o addirittura essere integrate con la procedura che normalmente è prevista nell’applicazione del D.lgs. 231/2001. Nell’ambito di tale particolare ecosistema, in genere, viene specificamente regolamentato questo aspetto.
Comunque, la formalizzazione di tale procedura, anche laddove non sia già presente un’integrazione, aiuta certamente l’organizzazione a definire modalità di comportamento nel caso di ispezione da parte di soggetti terzi.
Il “ciclo di vita” dell’ispezione
Vediamo allora di seguito le indicazioni che la procedura dovrebbe riportare, ispirate al “ciclo di vita dell’ispezione.
Prepararsi all’ispezione
Prepararsi a ricevere ed a gestire un controllo sistematico è un’azione basilare per poter sostenere efficacemente un’ispezione dell’autorità competente.
Quindi, lo ripetiamo, bisognerebbe predisporre una procedura mirata che potrebbe essere predisposta prendendo spunto dai suggerimenti posti in questo articolo, attraverso la previsione dei seguenti adempimenti, che sono funzionali a preparare l’intera organizzazione a sostenere un’ispezione dell’autorità competente:
- Simulare – a intervalli – ispezioni (avvalendosi anche di soggetti terzi) per essere più sereni nel caso in cui si verifichi l’evento. Tali simulazioni possono avere valenza anche di attività formativa. In alternativa, possono essere organizzati uno o più incontri per rendere consapevoli le persone sui comportamenti da adottare durante le ispezioni. In ogni caso tali simulazioni servono anche a verificare la consapevolezza e la capacità dei collaboratori di reperire velocemente la documentazione (cartacea ed elettronica) nonché di valutare la qualità delle risposte fornite in relazione a scelte effettuate dall’organizzazione. Le simulazioni dovrebbero essere documentate. È bene conservare copia di tale documentazione per dare conto ai vari soggetti (ispettori, DPO ecc.) delle azioni eseguite le quali, peraltro, costituiscono applicazione di quanto prescritto dall’art.32, paragrafo 1 lettera d) del GDPR.
- Dare immediato corso ad azioni correttive laddove emergessero delle criticità nel corso delle simulazioni.
- Rivalutare – ad intervalli – i criteri di archiviazione e di naming degli archivi cartacei ed elettronici per garantire una rapida rintracciabilità e verificare ad intervalli la completezza della documentazione.
- Nel caso in cui il ruolo di qualche figura critica per l’ispezione (es. Referente Privacy o CISO) fosse in capo ad una persona esterna, non presente in organigramma, rivalutare la sua presenza in organigramma in modo da dargli «titolo» per intervenire in posizione paritaria (verificare anche le responsabilità in capo alla funzione) nel corso di una ispezione.
L’avvio dell’ispezione: la comunicazione
La procedura dovrebbe prevedere che dal primo momento in cui è noto che verrà condotta un’ispezione vengano posti in essere i seguenti adempimenti:
- avvisare immediatamente dell’ispezione: il C-Level, il DPO (se nominato), i referenti dell’ufficio legale, compliance, lo Studio di consulenza (ove se ne sia fatto ricorso), il responsabile ICT, il CISO ed altri soggetti, come ad esempio consulenti critici, che possono essere eventualmente coinvolti dall’evento, per essere disponibili durante tutto il periodo previsto (raccogliete eventuali indisponibilità);
- individuare il “process owner” cioè la persona o la funzione che deve coordinare tutte le attività durante l’ispezione. Andrebbe pianificata anche la presenza di una seconda persona sempre presente durante l’ispezione per dare garanzia di continuità;
- valutare l’opportunità di avvisare anche eventuali contitolari o società controllate, laddove l’ispezione abbia ad oggetto un trattamento in contitolarità o eseguito da società controllate. Tale aspetto potrebbe assumere rilievi diversi nel caso di perimetro di ispezione in applicazione della NIS 2 piuttosto che del GDPR;
- considerare le eventuali indisponibilità dei soggetti critici (quali personale interno o rappresentanti dei fornitori) coinvolti – o potenzialmente coinvolti – durante l’ispezione e definire misure alternative;
- effettuare un kick-off con i soggetti coinvolti per ripassare punti salienti della documentazione, le motivazioni adottate, l’organizzazione della giornata, i ruoli assunti e quant’altro possa essere funzionale alla buona riuscita dell’evento;
- organizzare la postazione di lavoro rendendo facilmente accessibili i documenti che probabilmente verranno consultati/richiesti;
- verificare di avere a disposizione tutte le chiavi/badge e gli accessi per non interrompere l’ispezione perdendo tempo nella ricerca.
Attenzione: ovviamente, tali misure sono impraticabili o solo parzialmente praticabili nel caso di ispezione senza preavviso, assume quindi ancora più rilevanza la fase di simulazione di cui al punto precedente.
L’accoglienza degli ispettori
Quando giungono gli ispettori presso l’organizzazione dovrebbe esserne verificata l’identità e la qualifica.
Se vi è disponibilità da parte degli ispettori, è utile effettuare una breve presentazione dell’organizzazione mirata in relazione all’oggetto dell’ispezione.
Durante l’ispezione
Nel corso dell’ispezione bisognerebbe:
- rispettare e far rispettare la puntualità e, durante la verifica, non farsi distrarre da elementi esterni. È, anzi, opportuno e fortemente consigliato non rispondere a telefonate o messaggi e non guardare la posta elettronica;
- è fortemente consigliato che almeno una delle persone individuate per la gestione dell’ispezione sia presente per tutto il tempo in modo da coordinare i lavori e fare da punto di riferimento sia all’interno dell’organizzazione che per gli ispettori;
- quando un argomento è esaurito bisognerebbe subito riporre la documentazione cartacea che è stata mostrata ed i file consultati. La scrivania/l’area di lavoro deve essere sempre in ordine per evitare perdite di documenti e di tempo (possono inficiare la qualità delle attività in corso e dare un’impressione negativa);
- a fine giornata (per ispezioni che si protraggono su più giorni) è consigliabile che venga predisposto un report interno di cosa è successo, allegando anche copia del verbale e, ove possibile, il piano per il giorno successivo.
L’attenta gestione dei contenuti
La procedura dovrebbe anche prevedere almeno le seguenti modalità di gestione dei contenuti:
- dimostrarsi collaborativi e non reticenti;
- dimostrare professionalità: ascoltare le domande e rispondere in modo pertinente senza divagare o distogliere l’attenzione dal focus dell’ispezione. Bisognerebbe evitare commenti e giudizi limitandosi ai fatti. Bisognerebbe anche evitare di riportare informazioni non richieste a meno che queste non contribuiscano a chiarire un concetto o risolvere un dubbio dell’ispettore. È opportuno anche non essere accondiscendenti dando le risposte che il soggetto incaricato dall’ispezione vorrebbe ricevere;
- fornire sempre una motivazione delle scelte effettuate dall’organizzazione e chiedere – quando è necessario – il supporto dei colleghi;
- rilasciare sempre informazioni veritiere e corrette (nel dubbio, è bene non rispondere! Tenere questo comportamento è certamente meglio che dare informazioni false o approssimative);
- non far perdere tempo e pazienza all’ispettore (sebbene questi sia comunque sempre allenato a gestire il contesto dell’audit);
- non fare della “dietrologia” rispetto alle domande dell’ispettore («… Mi sta chiedendo questa cosa perché mi vuole mettere in difficoltà …»);
- a fronte di una domanda che non è stata compresa non bisogna rispondere. È necessario invece chiedere chiarimenti. L’intervistatore ha il dovere di porre le domande in modo chiaro e di sforzarsi di comprendere il linguaggio dell’organizzazione e non il contrario. In ogni caso, se l’ispettore dovesse dimostrare un atteggiamento poco collaborativo, sarebbe bene segnalare sempre la difficoltà;
- i dubbi, che possono emergere nel corso dell’audit, devono sempre essere esplicitati con gli ispettori i quali sono preparati a rispondere. Se le risposte non aiutano è opportuno chiedere aiuto ad un collega del Team, al Responsabile privacy, al DPO;
- verbalizzare quello che avviene durante l’ispezione e, quando possibile, le dichiarazioni di cui si desidera lasciare traccia. È anche consigliabile riservarsi di verificare la correttezza di quanto dichiarato. Inoltre, è bene che le dichiarazioni poste a verbale siano vagliate da un legale interno della società o da un consulente esterno in modo da verificare che non si rivelino controproducenti o contraddittorie;
- a prescindere dalla verbalizzazione, nell’interlocuzione con gli ispettori, ove non si sia certi di un’affermazione o di presentare il documento corretto o nella versione corretta è bene, per quanto possibile, attendere e riservarsi di rispondere successivamente;
- gli eventuali rilievi che potrebbero emergere nel corso dell’ispezione vanno sempre affrontati in modo propositivo presi come opportunità di riflessione, per quanto ciò non sia facilmente accettabile. Comunque, forme di resistenza pretestuose possono solo rendere tutto il processo più complesso.
La gestione della documentazione
Nel corso della procedura sarà sicuramente esaminata della documentazione. A tal riguardo la procedura dovrebbe prevedere che:
- gli ispettori dovrebbero visionare gli originali dei documenti e possono richiedere di accedere a versioni elettroniche degli stessi;
- non venga mai rilasciata documentazione in originale ma solo copie, fatti salvi i casi di sequestro specificamente previsti dalle norme. È consigliato farsi siglare le copie e fare una copia dei documenti siglati e consegnati (ev. anche tramite PEC laddove sono stati consegnati documenti in formato elettronico);
- venga presa nota di tutti i documenti (inclusi anche banche dati, archivi, software) visionati dagli ispettori e delle informazioni richieste e fornite e dei documenti a loro consegnati;
- in caso di richiesta di documentazione riservata, siano anonimizzate o cancellate preliminarmente le parti che non si desidera mettere a disposizione dell’Autorità (per esempio, i termini economici di un accordo) a meno che tali aspetti non siano di interesse per gli ispettori; in ogni caso tale azione va concordata con gli ispettori.
La verbalizzazione
Al momento della verbalizzazione è bene prevedere di:
- specificare le dichiarazioni che si richiede che vengano verbalizzate;
- verificare la correttezza di quanto dichiarato;
- sottoporre le dichiarazioni poste a verbale al vaglio di un legale interno della società o in sua mancanza di un consulente, in modo da verificare che le stesse dichiarazioni non risultino controproducenti o contraddittorie;
- una volta che è stato predisposto, farsi rilasciare copia del verbale;
- prevedere la presenza di almeno in due persone nei momenti salienti dell’ispezione;
- leggere attentamente il verbale (meglio se da parte di due persone diverse) e segnalare eventuali difformità rilevate.
Dopo l’ispezione
Infine, la procedura dovrebbe prevedere che al termine dell’ispezione:
- sia dato corso, nei tempi e nei modi previsti alle misure richieste dagli ispettori al termine o al ricevimento del verbale, con le eventuali note, se ciò non è contestuale alla chiusura della verifica;
- sia predisposta una breve memoria che tracci i passaggi fondamentali dell’ispezione, da trasmettere al vertice dell’organizzazione ed alle altre funzioni coinvolte/interessate;
- siano definite, documentate e messe in atto tutte le azioni per elidere le eventuali non conformità rilevate e, in forza del principio di proporzionalità, (eventualmente) sanzionate;
- siano definite e documentate anche le azioni correttive volte ad eliminare la causa del problema eventualmente rilevato e anche nel caso in cui lo stesso problema potrebbe essere ricorrente anche in altri trattamenti;
- nel caso in cui l’ispezione sia stata eseguita in più sedi o reparti, venga verificata la presenza di eventuali analoghi punti di debolezza anche in altri contesti.
Conclusioni
La preparazione e la gestione efficace di un’ispezione richiedono un impegno significativo, una conoscenza approfondita delle norme e dei processi aziendali e un approccio proattivo.
In questo primo articolo, abbiamo evidenziato come una preparazione adeguata degli aspetti tecnici e operativi permetta alle organizzazioni di gestire in modo efficace e sereno momenti particolarmente critici, come le ispezioni o le indagini condotte in loco dalle autorità competenti.
È, però, altrettanto fondamentale prestare attenzione agli aspetti psicologici e relazionali durante l’interazione con gli ispettori.
Questi elementi, insieme al buon senso, devono sempre guidare le azioni e le decisioni del personale dell’organizzazione durante l’intero processo dell’ispezione. In un prossimo articolo tratteremo questo tema complementare.