Nel contesto attuale, segnato da una crescente complessità normativa e da minacce informatiche sempre più evolute, la gestione del rischio non può più essere affidata a singole figure né confinata entro compartimenti funzionali separati.
Il rischio non si governa più in solitudine. Né con il silenzio operativo. Occorre collaborazione. Ma non una collaborazione episodica o fondata sulla sola disponibilità individuale: è necessario un modello cooperativo solido e strutturato.
La sinergia tra il DPO e il CISO non rappresenta più una scelta facoltativa, bensì un’esigenza imprescindibile. Tuttavia, tale collaborazione non può ridursi a incontri sporadici o a relazioni informali: deve evolvere in un metodo di lavoro sistematico, tracciabile e continuativo, in grado di trasformare lo scambio di informazioni in un vero e proprio flusso organizzativo formalizzato.
Ecco come il rapporto tra queste due figure chiave dovrà svilupparsi, evolvendo da semplice interazione occasionale a processo strutturato, integrato stabilmente nella governance dell’organizzazione.
Indice degli argomenti
Scambio informativo: renderlo sistematico per renderlo efficace
Un’organizzazione matura non si affida all’improvvisazione. Per garantire un’efficace collaborazione tra DPO e CISO, è necessario definire un piano di interazione strutturato, documentato e verificabile.
Cyber-sicurezza avanzata: manuale per la protezione dei dati critici
Dal dialogo alla procedura
Questo piano deve prevedere incontri regolari, con una cadenza almeno semestrale, e riunioni straordinarie in caso di eventi significativi come incidenti di sicurezza, adozione di nuove tecnologie, modifiche infrastrutturali, outsourcing di processi critici o aggiornamenti normativi.
Modalità: formalizzazione e tracciabilità
Ogni incontro dovrebbe essere formalizzato attraverso la redazione di un verbale, curato almeno dal DPO, che contenga una sintesi delle informazioni condivise, i rilievi tecnici e normativi emersi, le misure concordate e i follow-up previsti.
Questo processo non è un mero atto di burocrazia, ma una prova tangibile di un presidio integrato, che garantisce accountability e tracciabilità.
Tutto questo è accountability. Non un atto di burocrazia, ma la prova tangibile di un presidio integrato.
Comfort tecnico: il ruolo del CISO nella valutazione del DPO
Ogni valutazione giuridica sul rischio legato al trattamento dei dati necessita di un fondamento tecnico solido.
In questo contesto, il CISO diventa un partner operativo essenziale per il DPO, poiché fornisce supporto in situazioni critiche come la conduzione di una DPIA per un nuovo sistema tecnologico, una TIA per il trasferimento extra-UE dei dati, una LIA per trattamenti basati su legittimo interesse, o nella scelta di un fornitore o di un tool AI.
Cosa offre il CISO
Il CISO fornisce una descrizione dettagliata delle misure tecniche e organizzative, una valutazione del rischio residuo, l’identificazione di limiti o criticità strutturali e proposte di mitigazione.
Questo supporto consente al DPO di redigere valutazioni più solide, difendibili e allineate al reale stato dell’infrastruttura, trasformando la stima del rischio in una misurazione accurata.
DPO e CISO: formazione, primo strumento di difesa condiviso
La Direttiva NIS 2 impone la formazione dei collaboratori in materia di cyber security, mentre il GDPR richiede la formazione degli autorizzati al trattamento dei dati.
Obbligo comune, responsabilità convergente
La ISO/IEC 27001:2022, inoltre, chiede che il personale sappia riconoscere anche i segnali deboli. Questi obblighi normativi implicano la necessità di un piano formativo integrato, multilivello e dinamico.
Progettazione del piano formativo
DPO e CISO dovrebbero collaborare per:
- definire i contenuti (tecnici, normativi, comportamentali);
- scegliere le modalità (eLearning, workshop, simulazioni);
- identificare i momenti chiave (on-boarding, off-boarding, post-incidente, aggiornamenti ciclici);
- garantire misurabilità e tracciabilità della formazione.
Per DPO e CISO, solo una formazione congiunta può produrre una consapevolezza reale, una cultura aziendale condivisa e una difesa attiva.
Verso una collaborazione permanente: istituzionalizzazione della cooperazione
La cooperazione tra DPO e CISO non può essere lasciata al caso. Deve essere istituzionalizzata attraverso strumenti come:
- il registro delle interazioni DPO – CISO: per documentare ogni scambio rilevante;
- la partecipazione congiunta a comitati: per garantire sicurezza, gestione dei rischi, innovazione, compliance;
- l’inserimento nei flussi di progetto: perché privacy e security by design devono iniziare insieme e sono parte, con pari dignità, di un insieme più ampio;
- l’allineamento nei cicli di audit: sinergia nei controlli interni, nella gestione dei fornitori, nelle verifiche di terza parte.
Collaborare non significa “parlarsi ogni tanto”. Significa camminare insieme, dalla progettazione alla verifica.
La macchina della resilienza si costruisce a due mani
Il DPO ha la responsabilità della compliance. Il CISO quella della sicurezza. Ma , oggi, nessuno dei due può fare bene il proprio lavoro senza l’altro.
Lo scambio informativo, il supporto tecnico e la formazione congiunta non sono attività accessorie. Sono ingranaggi essenziali della macchina della resilienza organizzativa.
Chi vuole davvero governare la complessità digitale, proteggere dati, sistemi e reputazione, deve investire in una collaborazione strutturata e continuativa tra queste due figure.
Nel prossimo articolo, affronteremo uno degli strumenti più avanzati di questa integrazione: gli audit congiunti tra DPO e CISO, veri laboratori operativi dove si misura l’efficacia della governance.
Perché sicurezza e conformità non sono obiettivi separati. Sono l’esito di un lavoro fatto insieme, ogni giorno.
Sicurezza IT e minaccia cybersecurity: Report 2024 dell'osservatorio del Politecnico di Milano
