Molte organizzazioni hanno affrontato GDPR, NIS2 e DORA come tre mondi distinti: progetti diversi, consulenti diversi, insiemi di documenti che convivono senza mai incontrarsi. Sulla carta può sembrare un approccio ordinato, ma nella realtà è una frammentazione che aumenta l’esposizione al rischio.

La normativa europea, invece, sta andando con decisione in una direzione opposta: l’integrazione della governance del rischio digitale. Continuare a trattare privacy, cybersecurity e resilienza operativa come compartimenti stagni non è più solo inefficiente, è pericoloso.

La fine dei compartimenti stagni: verso una convergenza del rischio digitale

GDPR, NIS2 e DORA nascono da ambiti differenti, ma rispondono alla stessa esigenza di fondo: governare le conseguenze dell’uso massivo delle tecnologie digitali.

Il GDPR tutela i diritti delle persone quando i dati vengono trattati, la NIS2 tutela la continuità e la sicurezza dei sistemi e dei servizi essenziali, il DORA tutela la resilienza operativa digitale nel settore finanziario e regolato. Cambia il perimetro, non la sostanza: il rischio sistemico generato dal digitale. È per questo che non ha più senso leggerle come normative separate in quanto osservano lo stesso problema da angolazioni diverse.

Gestione degli incidenti e terze parti: il banco di prova della governance integrata

Il punto in cui questa convergenza diventa evidente non è teorico, ma estremamente concreto: l’incidente. Un attacco informatico, un errore umano, un malfunzionamento tecnologico o un fornitore compromesso possono generare contemporaneamente una violazione di dati personali rilevante per il GDPR, un incidente di sicurezza significativo ai sensi della NIS2 e un’interruzione di servizi critici rilevante per il DORA. Gestirli come eventi distinti significa reagire tre volte allo stesso fatto, spesso in modo disallineato e contraddittorio.

È in questi contesti che emergono le incoerenze organizzative: chi deve essere informato per primo, entro quali tempi, chi decide se notificare, cosa comunicare all’esterno, come documentare le scelte fatte. Se le funzioni non dialogano, le risposte sono diverse, talvolta incompatibili. Il rischio non è soltanto normativo, ma operativo e reputazionale. E un’azienda che comunica in modo contraddittorio durante una crisi perde controllo prima ancora di perdere dati o sistemi.

Coordinare GDPR, NIS2 e DORA non significa appiattirli o confonderli. Significa governarli da un unico punto di vista strategico. Occorre distinguere ciò che è specifico di ciascuna normativa – obblighi di notifica, soggetti coinvolti, tempistiche, perimetri – da ciò che è comune: i processi decisionali, la valutazione del rischio, la gestione degli incidenti, il rapporto con i fornitori, la capacità di dimostrare di aver agito in modo consapevole. Serve una regia centrale che permetta a queste normative di parlare la stessa lingua.

Il terreno su cui questa integrazione è più evidente è quello dei fornitori e delle terze parti. Cloud, software, piattaforme di marketing, strumenti di intelligenza artificiale, servizi di assistenza. L’azienda oggi vive in una rete di soggetti esterni. Tutte e tre le normative dicono, in modi diversi, la stessa cosa: il rischio non finisce dove finisce il contratto. Valutare i fornitori critici, controllare i rischi esterni, saper intervenire in caso di incidente e mantenere una responsabilità che non si esaurisce con una clausola contrattuale è oggi uno degli snodi centrali della governance digitale.

Un altro errore ricorrente è rispondere con documenti separati: una policy privacy, una policy sicurezza, una policy di continuità operativa. Ma durante un incidente reale nessuno apre tre policy diverse. Serve un processo unico, con ruoli chiari, flussi decisionali definiti e responsabilità esplicite.  Le autorità non chiedono organizzazioni perfette, chiedono organizzazioni governate, coerenti, capaci di spiegare perché hanno fatto una scelta, anche quando quella scelta non è stata ideale.

In questo scenario il ruolo del management diventa centrale. NIS2 e DORA hanno reso esplicito ciò che il GDPR già implicava: la responsabilità non si ferma ai tecnici o ai responsabili di funzione, ma sale verso l’alto. Il vertice aziendale non può limitarsi a “sapere che esistono” queste normative. Deve assicurarsi che dialoghino tra loro e che le decisioni critiche vengano prese in modo informato. Quando GDPR, NIS2 e DORA non si parlano, il problema non è tecnologico, è di leadership. E prescindiamo per il momento dall’ancora non compreso art. 2086 CC.

La vera maturità normativa non consiste nel moltiplicare gli adempimenti, ma nel costruire una sola mappa del rischio digitale. Il GDPR misura l’impatto sui diritti delle persone, la NIS2 misura la tenuta dei sistemi e delle infrastrutture, il DORA misura la capacità dell’organizzazione di resistere nel tempo e sotto pressione. Separati, sono obblighi. Integrati, diventano strategia. Chi continua a gestirli come compartimenti stagni resta vulnerabile; chi li coordina costruisce controllo, fiducia e continuità.