Mappatura dei flussi di dati RoPA per GDPR, NIS2 e DORA
Sono le 09:10 di un martedì e CISO, DPO, responsabile acquisti e direttore operations partecipano alla stessa videochiamata, ma non stanno esaminando le stesse evidenze.
Il DPO dispone di un registro delle attività di trattamento, o RoPA, che elenca onboarding dei clienti, elaborazione delle retribuzioni dei dipendenti, ticket di supporto e analytics di marketing. Il CISO dispone di un inventario degli asset cloud. L’ufficio acquisti dispone dei contratti con i fornitori. Le operations hanno un foglio di calcolo sulla continuità operativa. La funzione finance ha il registro delle informazioni DORA. Nessuno riesce a rispondere alla domanda integrata più elementare dell’autorità di vigilanza:
Se questo servizio di onboarding dei pagamenti non è disponibile, quali sistemi, fornitori, categorie di dati, sub-responsabili, trasferimenti transfrontalieri di dati e funzioni aziendali critiche risultano interessati?
Questa domanda è il vero test di conformità del 2026.
GDPR continua a richiedere registrazioni responsabili ai sensi di Article 30. NIS2 ha trasformato la cibersicurezza in un tema di responsabilità degli organi di gestione per soggetti essenziali e importanti. DORA richiede agli enti finanziari di fornire evidenze su dipendenze ICT, funzioni critiche o importanti, accordi con terze parti ICT, classificazione degli incidenti e test di resilienza. ISO/IEC 27001:2022 fornisce la struttura del sistema di gestione per tenere insieme questi elementi, ma solo se RoPA e mappatura dei flussi di dati sono trattate come evidenze vive di governance, non come fogli di calcolo del team privacy.
In Clarysec osserviamo lo stesso schema nelle aziende SaaS, fintech, cloud, MSP e B2B technology in rapida crescita. Dispongono di documentazione sufficiente per rispondere a un questionario, ma non di evidenze connesse sufficienti per superare un riesame di vigilanza, un incidente cyber, un fallimento del fornitore o un audit interno. Il problema raramente è la mancanza di informazioni. È la mancanza di connessione.
La soluzione consiste nel rendere RoPA e mappatura dei flussi di dati il livello comune di evidenze per tutela della privacy, resilienza cyber, gestione dei fornitori, governance cloud e continuità operativa.
Perché RoPA e mappatura dei flussi di dati sono diventate un tema di governance nel 2026
La RoPA veniva spesso considerata un artefatto privacy. Le mappe dei flussi di dati venivano spesso costruite durante una DPIA, una migrazione cloud o un riesame dell’architettura di sicurezza, per poi essere lasciate invecchiare. Questo approccio non funziona più.
GDPR si applica ampiamente al trattamento dei dati personali nel contesto di uno stabilimento nell’UE, e anche a molti titolari del trattamento o responsabili del trattamento non UE che offrono beni o servizi a persone fisiche nell’UE, oppure ne monitorano il comportamento. I dati personali comprendono le informazioni relative a una persona identificata o identificabile. Il trattamento include raccolta, archiviazione, uso, comunicazione, limitazione, cancellazione e distruzione. Un titolare del trattamento determina finalità e mezzi, mentre un responsabile del trattamento agisce per conto di un titolare del trattamento.
Una RoPA non è quindi soltanto un elenco di banche dati. È una registrazione di finalità aziendali, categorie di dati, ruoli, destinatari, periodi di conservazione, misure di sicurezza e dipendenze internazionali.
NIS2 aggiunge una prospettiva di resilienza dei servizi. Porta nel campo di applicazione molte organizzazioni di medie e grandi dimensioni in settori ad alta criticità e in altri settori critici, tra cui infrastrutture digitali, fornitori di servizi di cloud computing, fornitori di servizi di data center, reti di distribuzione dei contenuti, prestatori di servizi fiduciari, fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico, fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti. L’Annex I include anche banche e infrastrutture dei mercati finanziari. Alcuni soggetti possono rientrare nel perimetro indipendentemente dalle dimensioni, inclusi determinati fornitori DNS, TLD, servizi fiduciari e comunicazioni pubbliche, nonché soggetti la cui interruzione potrebbe incidere in modo significativo sulla sicurezza pubblica, sulla salute pubblica, sul rischio sistemico o su attività sociali ed economiche critiche.
NIS2 Article 21 richiede misure tecniche, operative e organizzative proporzionate per i sistemi informativi e di rete utilizzati per le attività operative o per l’erogazione dei servizi. Le aree minime includono analisi dei rischi, politiche di sicurezza, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, sviluppo sicuro, valutazione dell’efficacia, igiene cyber, crittografia, sicurezza HR, controllo degli accessi, gestione degli asset e autenticazione.
Per un soggetto NIS2, una RoPA priva della vista sulle dipendenze di servizio è incompleta. Un incidente significativo deve essere compreso in termini di impatto sul servizio, interruzione operativa, destinatari interessati, fornitori e implicazioni transfrontaliere.
DORA rafforza lo stesso punto per gli enti finanziari. Si applica dal 17 gennaio 2025 e stabilisce requisiti uniformi per la gestione del rischio ICT, la segnalazione di gravi incidenti connessi all’ICT, i test di resilienza operativa digitale, la condivisione di informazioni sulle minacce cyber e sulle vulnerabilità, il rischio ICT di terze parti e gli accordi contrattuali con fornitori terzi di servizi ICT. DORA definisce i servizi ICT in modo ampio come servizi digitali e di dati forniti tramite sistemi ICT su base continuativa. Definisce una funzione critica o importante come una funzione la cui interruzione comprometterebbe in modo sostanziale la performance finanziaria, la continuità dei servizi o gli obblighi di conformità.
Per gli enti finanziari identificati anche nell’ambito del recepimento nazionale di NIS2, DORA è trattato come l’atto giuridico settoriale dell’Unione per requisiti equivalenti in materia di rischio ICT, segnalazione degli incidenti, test, condivisione delle informazioni e rischio di terze parti. In pratica, una fintech non può costruire un set di evidenze per la privacy, un altro per DORA e un altro ancora per NIS2. Ha bisogno di un unico livello di governance dei dati consapevole delle dipendenze.
Quel livello è RoPA più mappatura dei flussi di dati.
ISO/IEC 27001:2022 è la struttura portante
ISO/IEC 27001:2022 è progettata per questo tipo di integrazione. Stabilisce un Sistema di gestione della sicurezza delle informazioni (SGSI) scalabile, concepito per preservare riservatezza, integrità e disponibilità attraverso la gestione del rischio. Lo standard è pensato per essere integrato nei processi dell’organizzazione e dimensionato in base alle esigenze, alle dimensioni e alla struttura dell’organizzazione.
Il punto di partenza non è lo strumento di diagrammazione. È il campo di applicazione.
Le clausole 4.1-4.4 di ISO/IEC 27001:2022 richiedono all’organizzazione di definire contesto, parti interessate, campo di applicazione del SGSI e processi interagenti. Il campo di applicazione deve considerare obblighi legali, normativi e contrattuali, oltre a interfacce e dipendenze tra attività interne e attività svolte da altre organizzazioni. Per RoPA e mappatura dei flussi di dati, ciò significa che il campo di applicazione del SGSI deve includere esplicitamente piattaforme cloud esternalizzate, prestatori di servizi di pagamento, provider di identità, strumenti di supporto, fornitori di servizi di sicurezza gestiti e integrazioni SaaS critiche per l’attività.
Le clausole 5.1-5.3 rendono la leadership responsabile di politica, risorse, assegnazione dei ruoli e reporting. Ciò rispecchia l’impostazione di NIS2 Article 20, che richiede agli organi di gestione di approvare le misure di gestione dei rischi di cibersicurezza, vigilare sull’attuazione e seguire formazione. È inoltre allineato a DORA Article 5, che attribuisce all’organo di gestione la responsabilità ultima per il rischio ICT e la vigilanza su politiche, strategia di resilienza, piani di continuità, piani di audit, servizi ICT di terze parti e canali di segnalazione degli incidenti gravi.
Le clausole 6.1.1-6.1.3 forniscono il motore di pianificazione: identificare i rischi per riservatezza, integrità e disponibilità, assegnare i titolari del rischio, analizzare conseguenze e probabilità, selezionare le opzioni di trattamento, confrontare i controlli con l’Annex A, produrre la Dichiarazione di Applicabilità e ottenere l’approvazione del titolare del rischio.
È qui che la RoPA diventa operativa. Ogni attività di trattamento e ogni flusso di dati dovrebbero collegarsi a rischi, controlli, fornitori, asset e servizi critici. In caso contrario, resterà un inventario privacy che non può supportare risposta agli incidenti, test di resilienza o decisioni sul rischio dei fornitori.
Il Zenith Blueprint: roadmap in 30 passaggi per auditor di Clarysec rende questo approccio pratico nella fase di Gestione del rischio, Step 9, Identificazione di asset, minacce e vulnerabilità:
Per ciascun asset, registrare i dettagli principali: Nome/Descrizione, Proprietario, Ubicazione e Classificazione (sensibilità). Ad esempio, un asset potrebbe essere “Database clienti – di proprietà del Dipartimento IT – ospitato su AWS – contiene dati personali e finanziari (sensibilità elevata)”.
Lo stesso Step 9 aggiunge l’intuizione chiave per la conformità: gli asset contenenti dati personali dovrebbero essere contrassegnati per la rilevanza GDPR, e gli asset dei servizi critici dovrebbero essere annotati per la potenziale applicabilità NIS2 se l’organizzazione opera in un settore regolamentato. Questo è il ponte tra RoPA, inventario degli asset e mappatura delle dipendenze dei servizi critici.
Cosa deve contenere una RoPA pronta per l’audit
Una RoPA solida non deve essere complicata, ma deve essere connessa.
GDPR Article 5 richiede che i dati personali siano trattati in modo lecito, corretto e trasparente, raccolti per finalità determinate e legittime, limitati a quanto necessario, mantenuti esatti, conservati solo per il tempo necessario e protetti tramite misure tecniche e organizzative adeguate. Article 5(2) richiede al titolare del trattamento di essere responsabile della conformità e in grado di dimostrarla.
Article 6 richiede una base giuridica, come consenso, necessità contrattuale, obbligo legale, interessi vitali, compito di interesse pubblico o interessi legittimi. Se il trattamento avviene per una nuova finalità, la compatibilità deve essere valutata considerando finalità originaria e nuova, contesto della raccolta, sensibilità, conseguenze per gli interessati e misure di sicurezza quali cifratura o pseudonimizzazione. Article 9 aggiunge regole più rigorose per categorie particolari di dati personali, inclusi dati sanitari, dati biometrici utilizzati per l’identificazione univoca e altre categorie sensibili.
Il set di politiche PMI di Clarysec traduce questo principio in un requisito operativo. La Politica di protezione dei dati e privacy - PMI stabilisce:
Il Coordinatore privacy deve mantenere un registro di tutte le attività di trattamento dei dati personali, incluse categorie di dati, finalità, base giuridica e periodi di conservazione
Questo proviene dalla sezione Requisiti di governance, clausola 5.2.1. Per le organizzazioni più grandi, la Politica di protezione dei dati e privacy di Clarysec assegna direttamente la responsabilità:
Mantiene il registro delle attività di trattamento (RoPA) in conformità a GDPR Article 30.
Questa formulazione proviene da Ruoli e responsabilità, clausola 4.2.2. Il messaggio pratico è semplice: la titolarità della RoPA deve essere assegnata. Non può essere un foglio di calcolo di conformità orfano.
Una RoPA pronta per il 2026 dovrebbe includere i seguenti campi.
| Campo RoPA | Perché è rilevante | Collegamento alle evidenze |
|---|---|---|
| Nome dell’attività di trattamento | Crea una registrazione comprensibile per il business | Collegamento al proprietario del processo e al campo di applicazione del SGSI |
| Finalità e base giuridica | Supporta la responsabilizzazione GDPR | Collegamento a informativa privacy, contratto o analisi legale |
| Interessati e categorie di dati | Identifica esposizione e sensibilità | Collegamento a classificazione e regole di mascheramento |
| Indicatore di categoria particolare o dati ad alto rischio | Attiva misure di sicurezza rafforzate | Collegamento a DPIA, pseudonimizzazione e controlli degli accessi |
| Sistemi e applicazioni | Collega la privacy agli asset ICT | Collegamento a inventario degli asset e gestione delle vulnerabilità |
| Fornitori e sub-responsabili | Mostra la catena di trattamento esterna | Collegamento a Registro dei fornitori e contratti |
| Ubicazioni e trasferimenti dei dati | Supporta il riesame della localizzazione e dei trasferimenti | Collegamento a registro dei servizi cloud e misure di sicurezza per i trasferimenti |
| Regole di conservazione e cancellazione | Supporta la limitazione della conservazione | Collegamento a piano di conservazione e cancellazione sicura |
| Dipendenza da servizio critico | Supporta l’analisi d’impatto NIS2 e DORA | Collegamento a BIA, continuità e classificazione degli incidenti |
| Controlli ed evidenze | Rende la RoPA verificabile | Collegamento a SoA, Registro dei rischi ed evidenze dei test |
Le righe finali sono ciò che sposta la RoPA dalla documentazione privacy alle evidenze di resilienza cyber. Senza sistemi, fornitori, ubicazioni, criticità e controlli, una RoPA può soddisfare una checklist ristretta di Article 30 ma fallire non appena un incidente, un’indisponibilità o un riesame di vigilanza richiede un’analisi d’impatto.
La mappatura dei flussi di dati collega privacy, cloud e servizi critici
Se la RoPA risponde a “quali trattamenti esistono e perché”, una mappa dei flussi di dati risponde a “dove si spostano i dati, chi li tratta, cosa li protegge e cosa si interrompe se il flusso si ferma”.
La Politica sul Mascheramento dei dati e la Pseudonimizzazione - PMI di Clarysec rende il requisito inequivocabile:
Deve essere creata una mappa dei flussi di dati.
Questo proviene dai Requisiti di governance, clausola 5.1.1.1. La versione enterprise, Politica sul Mascheramento dei dati e la Pseudonimizzazione, amplia l’aspettativa nella clausola 5.2.1:
Mantenere un inventario aggiornato dei sistemi e dei flussi di dati che coinvolgono dati sensibili.
La clausola 5.2.2 aggiunge:
Mappare dove e come i dati vengono trasformati, condivisi o acceduti tra ambienti.
Auditor e autorità di vigilanza non cercano diagrammi artistici. Vogliono comprendere trasformazioni, percorsi di accesso, condivisioni, ambienti e misure di sicurezza.
Nel Zenith Blueprint, fase Controlli in azione, Step 22, Controlli organizzativi 5.1-5.18, le indicazioni sul trasferimento delle informazioni spiegano che le organizzazioni devono definire metodi di trasferimento consentiti, allinearli alla classificazione e assicurare che le parti comprendano ruoli e obblighi. Fornisce esempi come e-mail cifrata, portali sicuri, SFTP, API e consegna fisica con cifratura. Rileva inoltre che i dati personali trasferiti oltre confine devono rispettare obblighi privacy e legali, non solo preferenze interne.
Lo stesso passaggio collega il trasferimento delle informazioni a classificazione ed etichettatura, prevenzione delle perdite di dati, rapporti con i fornitori e crittografia. Questo crea un modello pratico per la mappatura dei flussi di dati:
- Identificare il sistema sorgente, ad esempio CRM, piattaforma di pagamento, HRIS o help desk.
- Identificare la categoria di dati, inclusi dati personali, dati finanziari, dati dei dipendenti, categorie particolari di dati o credenziali.
- Identificare il metodo di trasferimento, ad esempio API, SFTP, e-mail, portale sicuro, esportazione manuale o replica dei backup.
- Identificare la destinazione, inclusi sistema interno, servizio cloud, fornitore, sub-responsabile, data warehouse o archivio.
- Identificare la protezione, ad esempio cifratura, pseudonimizzazione, controllo degli accessi, registrazione, DLP o restrizione contrattuale.
- Identificare la dipendenza, incluso se il flusso supporta una funzione aziendale critica, una funzione critica o importante, un servizio essenziale o un obbligo di segnalazione degli incidenti.
Tre controlli dell’Annex A di ISO/IEC 27001:2022 sono particolarmente importanti in questo contesto. ISO/IEC 27002:2022 fornisce le indicazioni di attuazione per questi controlli:
| Controllo Annex A ISO/IEC 27001:2022 | Nome del controllo | Rilevanza per RoPA e flussi di dati |
|---|---|---|
| 5.9 | Inventario delle informazioni e degli altri asset associati | Identifica sistemi, archivi di dati, proprietari, ubicazioni e classificazioni |
| 5.14 | Trasferimento delle informazioni | Definisce come i dati vengono spostati, protetti, autorizzati e monitorati |
| 5.34 | Privacy e protezione dei dati personali identificabili | Collega la gestione dei dati personali agli obblighi privacy e alle misure di sicurezza |
Il Zenith Controls: guida alla cross-compliance di Clarysec identifica 5.9, 5.14 e 5.34 come controlli correlati al tema per questo livello di governance. Trattateli come controlli di riferimento, quindi collegateli ai controlli su fornitori, cloud, incidenti, continuità, registrazione, accessi e crittografia attraverso la Dichiarazione di Applicabilità.
Perché NIS2 e DORA richiedono più di un registro privacy
Un errore comune è costruire una RoPA tecnicamente corretta ai sensi di GDPR ma inutile per NIS2 o DORA. La differenza è la criticità del servizio.
NIS2 Article 23 richiede ai soggetti essenziali e importanti di notificare gli incidenti significativi senza ingiustificato ritardo. Il modello di segnalazione include un preallarme entro 24 ore, una notifica dell’incidente entro 72 ore e una relazione finale entro un mese. Gli incidenti significativi sono valutati in base a grave interruzione operativa, perdita finanziaria o danno materiale o immateriale ad altre persone fisiche o giuridiche. Questa valutazione dipende dalla conoscenza di servizi, destinatari, paesi, sistemi e fornitori interessati.
DORA Article 17 richiede agli enti finanziari di definire e attuare un processo di gestione degli incidenti connessi all’ICT che rilevi, gestisca e notifichi gli incidenti, registri incidenti e minacce cyber significative, identifichi le cause radice, definisca indicatori di allerta precoce, classifichi gli incidenti per gravità e criticità dei servizi interessati, assegni ruoli e crei procedure di comunicazione ed escalation. Article 18 richiede la classificazione utilizzando clienti o controparti e operazioni interessati, durata e tempi di indisponibilità, diffusione geografica, perdita di dati che incide su disponibilità, autenticità, integrità o riservatezza, criticità dei servizi interessati e impatto economico.
Non è possibile classificare rapidamente un incidente se non si conosce il flusso di dati e la catena delle dipendenze.
La Politica di continuità operativa e disaster recovery - PMI di Clarysec indica il campo di evidenza di cui le organizzazioni hanno bisogno:
servizi e sistemi prioritizzati (funzioni aziendali critiche)
Questo proviene dai Requisiti di governance, clausola 5.2.1.2. La versione enterprise della Politica di continuità operativa e disaster recovery aggiunge la dimensione delle dipendenze nella clausola 5.2.4:
Dipendenze critiche (sistemi, fornitori, personale)
Per le organizzazioni soggette a DORA, ciò deve allinearsi con funzioni critiche o importanti, servizi ICT, accordi contrattuali e strategie di uscita. DORA Article 28 richiede che il rischio ICT di terze parti sia gestito nell’ambito del quadro di riferimento per il rischio ICT. Impone un registro degli accordi contrattuali per servizi ICT, richiede due diligence precontrattuale e valutazione di criticità, rischio di concentrazione, idoneità e conflitti di interessi, e richiede strategie di uscita per i servizi ICT a supporto di funzioni critiche o importanti.
DORA Article 30 specifica le condizioni contrattuali minime ICT, incluse descrizioni dei servizi, condizioni di subappalto, ubicazioni del trattamento e dell’archiviazione dei dati, protezione dei dati, accesso, ripristino e restituzione dei dati, livelli di servizio, assistenza in caso di incidente, cooperazione con le autorità, diritti di risoluzione, diritto di audit e disposizioni di transizione o uscita.
Una RoPA che non identifica fornitori, ubicazioni, metodi di trasferimento, criticità e dipendenze di uscita non supporta le evidenze DORA.
La mappatura di fornitori, cloud e sub-responsabili è il punto in cui le evidenze spesso si interrompono
Negli audit reali, le carenze della RoPA emergono spesso come carenze sui fornitori. L’attività di trattamento dice “supporto clienti”. La mappa dei flussi di dati dice “piattaforma di supporto”. Ma nessuno sa identificare la regione di hosting, il componente aggiuntivo di trascrizione AI, il sub-responsabile per analytics, la conservazione degli allegati ai ticket, il modello di accessi amministrativi o la procedura di uscita.
La politica fornitori PMI di Clarysec crea le evidenze operative minime. La Politica di sicurezza di terze parti e fornitori - PMI stabilisce:
Deve essere mantenuto e aggiornato un Registro dei fornitori dal referente amministrativo o degli approvvigionamenti. Deve includere:
Questo proviene dai Requisiti di governance, clausola 5.4. La politica cloud aggiunge un requisito di inventario separato. La Politica di utilizzo del cloud - PMI stabilisce:
Deve essere mantenuto dal fornitore IT o dal GM un Registro dei servizi cloud. Deve registrare:
Questo proviene dai Requisiti di governance, clausola 5.3. Per il rischio di dipendenza a livello enterprise, la Politica di gestione del rischio di dipendenza dai fornitori di Clarysec è più esplicita:
Registro delle dipendenze dai fornitori: il VMO deve mantenere un registro aggiornato di tutti i fornitori critici, includendo dettagli quali servizi/prodotti forniti; se il fornitore è in regime di fornitura esclusiva; fornitori alternativi disponibili o sostituibilità; condizioni contrattuali attuali; e una valutazione dell’impatto qualora il fornitore non fosse più in grado di operare o fosse compromesso. Il registro deve identificare chiaramente i fornitori ad alta dipendenza (ad esempio quelli per i quali non esiste un’alternativa rapidamente attivabile).
Quel requisito, tratto dai Requisiti di attuazione, clausola 6.1, è esattamente ciò che collega la RoPA alla sicurezza della catena di fornitura NIS2 e al rischio ICT di terze parti DORA.
Il Zenith Blueprint, fase Controlli in azione, Step 23, Controlli organizzativi 5.19-5.37, raccomanda di compilare un elenco completo dei fornitori, classificare i fornitori in base all’accesso a sistemi, dati o controllo operativo, inserire aspettative di sicurezza nei contratti, riesaminare i subfornitori, stabilire trigger di modifica dei fornitori e costruire un processo di valutazione dei servizi cloud che copra localizzazione dei dati, modello di accesso, registrazione e cifratura.
È questo che consente a un CISO di rispondere, durante un incidente: “Quale servizio critico utilizza questo fornitore, quali dati sono stati esposti, quali clienti devono essere notificati, quale autorità di vigilanza potrebbe richiedere una segnalazione e quale fornitore alternativo o percorso di uscita esiste?”
Un esempio pratico: onboarding clienti in una fintech
Si consideri una fintech che offre onboarding per wallet digitali. I clienti caricano documenti di identità, un fornitore esegue controlli biometrici di liveness, i risultati sono archiviati in una banca dati cloud e il supporto clienti può visualizzare lo stato della verifica in uno strumento di ticketing.
Il servizio di onboarding può costituire una funzione critica o importante ai sensi di DORA perché un’interruzione incide in modo sostanziale sulla continuità dei servizi e sugli obblighi normativi. Se la società opera in un settore NIS2 o fornisce servizi ICT rilevanti, può anche far parte delle evidenze sui servizi critici.
Una mappa utile parte da un’unica registrazione collegata.
| Oggetto di evidenza | Esempio di voce | Fonte Clarysec |
|---|---|---|
| Attività RoPA | Verifica dell’identità del cliente per onboarding del wallet | Politica di protezione dei dati e privacy |
| Finalità | Verificare l’identità e prevenire le frodi | Responsabilizzazione GDPR e registrazione della base giuridica |
| Categorie di dati | Documento d’identità, selfie, risultato del controllo biometrico di liveness, recapiti | Politica di protezione dei dati e privacy |
| Indicatore dati sensibili | Dati biometrici utilizzati per la verifica dell’identità | Politica sul Mascheramento dei dati e la Pseudonimizzazione |
| Sistemi | App mobile, API del fornitore di identità, banca dati cloud, piattaforma di supporto | Inventario degli asset dello Step 9 del Zenith Blueprint |
| Flusso di dati | Dall’app all’API di identità, dall’API alla banca dati cloud, dalla banca dati alla piattaforma di supporto | Politica sul Mascheramento dei dati e la Pseudonimizzazione |
| Fornitore | Fornitore di verifica dell’identità, fornitore cloud, supporto SaaS | Politica di sicurezza di terze parti e fornitori |
| Registrazione cloud | Regione, cifratura, modello di accesso, log, conservazione | Politica di utilizzo del cloud |
| Funzione critica | Onboarding del wallet digitale | Politica di continuità operativa e disaster recovery |
| Rischio di dipendenza | Il provider di identità presenta alta dipendenza con sostituto rapido limitato | Politica di gestione del rischio di dipendenza dai fornitori |
| Controlli | inventario degli asset, trasferimento delle informazioni, privacy e protezione dei dati personali identificabili, sicurezza dei fornitori, utilizzo del cloud, registrazione, controllo degli accessi, crittografia | Zenith Controls e SoA |
| Uso in caso di incidente | Classificare clienti interessati, indisponibilità, perdita di dati e criticità del servizio | Evidenze sugli incidenti DORA e NIS2 |
Ora aggiungiamo la tracciabilità del trattamento del rischio secondo ISO/IEC 27001:2022.
Nel Zenith Blueprint, fase Gestione del rischio, Step 13, Pianificazione del trattamento del rischio e Dichiarazione di Applicabilità, Clarysec descrive la SoA come un documento ponte che collega valutazione del rischio e trattamento ai controlli effettivi. Raccomanda di mappare i controlli sui rischi e di inserire riferimenti incrociati a normative quali GDPR, NIS2 o DORA nel Registro dei rischi o nelle note della SoA, dove pertinente.
Per l’esempio di onboarding, lo scenario di rischio potrebbe essere: “Indisponibilità o compromissione del fornitore di verifica dell’identità interrompe l’onboarding ed espone dati biometrici di identità”. I controlli di trattamento potrebbero includere due diligence sui fornitori, notifica contrattuale degli incidenti, cifratura, controllo degli accessi, registrazione, backup e ripristino, minimizzazione dei dati, pseudonimizzazione, monitoraggio, pianificazione dell’uscita e playbook di risposta agli incidenti.
La nota della SoA può indicare che il set di controlli supporta responsabilizzazione GDPR, sicurezza della catena di fornitura e preparazione agli incidenti ai sensi di NIS2 Article 21, nonché rischio ICT di terze parti DORA e resilienza delle funzioni critiche.
Questo è ciò che gli auditor cercano: tracciabilità.
Mappatura cross-compliance: un livello di evidenze, molte domande
RoPA e mappatura dei flussi di dati non sono silos di conformità separati. Supportano un insieme comune di domande trasversali a GDPR, NIS2, DORA, ISO/IEC 27001:2022, NIST CSF 2.0 e COBIT 2019.
| Quadro di riferimento | Domanda di vigilanza o audit | Evidenze RoPA e flussi di dati |
|---|---|---|
| GDPR | Potete dimostrare quali dati personali sono trattati, perché, dove, da chi e per quanto tempo? | RoPA con finalità, base giuridica, categorie, destinatari, conservazione, misure di sicurezza e trasferimenti |
| NIS2 | Quali servizi, sistemi, fornitori e flussi di dati supportano l’erogazione di servizi essenziali o importanti? | Mappa dei servizi critici collegata a sistemi, fornitori, flussi, incidenti e piani di continuità |
| DORA | Quali servizi ICT e accordi con terze parti supportano funzioni critiche o importanti? | Mappa delle dipendenze ICT collegata a fornitori, contratti, ubicazioni dei dati, classificazione degli incidenti e piani di uscita |
| ISO/IEC 27001:2022 | Rischi, controlli, informazioni documentate e responsabilità sono gestiti tramite il SGSI? | Campo di applicazione del SGSI, Registro dei rischi, inventario degli asset, SoA, politiche, audit interni e Riesame della direzione |
| NIST CSF 2.0 | Gli esiti di governance, rischio dei fornitori, gestione degli asset, protezione, rilevazione, risposta e ripristino sono compresi? | Profili attuale e target che utilizzano RoPA, registri degli asset, inventari dei fornitori ed evidenze di resilienza |
| COBIT 2019 | Obiettivi di governance, flussi informativi, titolarità, decisioni sul rischio e attività di assurance sono definiti? | Titolarità dei processi, obiettivi di controllo, qualità delle informazioni, mappatura delle dipendenze e tracce di audit |
NIST CSF 2.0 è utile come livello organizzativo. I suoi CSF Profiles supportano l’analisi dello stato attuale e dello stato target utilizzando input quali politiche, priorità di rischio, registri di impatto aziendale, requisiti, standard, pratiche, strumenti e ruoli lavorativi. La funzione GOVERN include obblighi legali, normativi, contrattuali, privacy e libertà civili, obiettivi di rischio, responsabilità della leadership, ruoli, politica, vigilanza e riesame delle prestazioni. I suoi risultati per la catena di fornitura richiedono che i fornitori siano conosciuti e prioritizzati per criticità, che i requisiti contrattuali di cibersicurezza siano integrati, che la due diligence avvenga prima dell’avvio dei rapporti, che i rischi dei fornitori siano registrati e monitorati e che i fornitori siano inclusi nella pianificazione di risposta agli incidenti e ripristino.
Questo si mappa in modo ordinato su un modello operativo RoPA Clarysec. La RoPA fornisce il contesto privacy. L’inventario degli asset fornisce il contesto tecnico. I registri dei fornitori e del cloud forniscono il contesto delle terze parti. La BIA fornisce il contesto di criticità. La SoA fornisce il contesto dei controlli.
Anche un singolo controllo dell’Annex A di ISO/IEC 27001:2022 può supportare più quadri di riferimento. Control 5.14, Trasferimento delle informazioni, è un buon esempio.
| Quadro di riferimento o standard | Requisito | Come 5.14 fornisce evidenze |
|---|---|---|
| GDPR | Article 30 RoPA e Article 32 sicurezza del trattamento | Le mappe dei flussi di dati costituiscono la base della RoPA e documentano misure di sicurezza come la cifratura in transito |
| DORA | Article 8 protezione e prevenzione, Article 28 rischio ICT di terze parti | Le mappe dei trasferimenti identificano dipendenze da servizi ICT a supporto di funzioni critiche o importanti |
| NIS2 | Article 21 misure di gestione dei rischi di cibersicurezza, inclusa la sicurezza della catena di fornitura | La tracciatura dei trasferimenti verso i fornitori supporta l’analisi del rischio della catena di fornitura per servizi essenziali e importanti |
| NIST CSF 2.0 | PR.DS-02 I dati in transito sono protetti | Le regole di trasferimento delle informazioni forniscono evidenze che i dati sono protetti mentre si spostano tra sistemi |
| ISO/IEC 27001:2022 | Annex A 5.14 Trasferimento delle informazioni | Metodi di trasferimento, responsabilità e protezioni sono definiti e attuati |
Questo è il valore di Zenith Controls come bussola cross-compliance. Aiuta le organizzazioni a spiegare perché una pratica di controllo supporta più aspettative regolatorie e di audit.
Come auditor diversi testeranno la stessa mappa
Una RoPA e una mappa dei flussi di dati mature possono soddisfare più auditor, ma ciascuno le affronterà in modo diverso.
Un auditor ISO/IEC 27001:2022 partirà da campo di applicazione, parti interessate, rischi, informazioni documentate e selezione dei controlli. Chiederà se i requisiti legali e contrattuali sono stati identificati, se dati personali e servizi critici rientrano nel campo di applicazione del SGSI, se gli asset hanno proprietari e classificazioni, se la valutazione del rischio ha considerato riservatezza, integrità e disponibilità e se la SoA giustifica i controlli applicabili.
Un auditor GDPR o un’autorità privacy partirà dalla responsabilizzazione. Verificherà se la RoPA riflette i trattamenti reali, se finalità e basi giuridiche sono documentate, se le categorie particolari di dati sono identificate, se i periodi di conservazione sono applicati, se destinatari e responsabili del trattamento sono accurati e se esistono misure di sicurezza adeguate per trasferimenti e sicurezza.
Un auditor focalizzato su NIS2 guarderà all’impatto sui servizi. Chiederà come l’organizzazione determina i servizi critici o importanti, come il management ha approvato e vigila sulle misure di rischio, come vengono considerate le vulnerabilità dei fornitori e i rischi dei prestatori di servizi, come continuità e gestione degli incidenti sono collegate e se l’organizzazione può supportare le tempistiche di 24 ore, 72 ore e relazione finale con evidenze affidabili.
Un auditor DORA guarderà alla governance del rischio ICT e alle funzioni critiche o importanti. Verificherà se l’organo di gestione ha approvato il quadro di riferimento per il rischio ICT e la strategia di resilienza, se gli accordi ICT con terze parti sono registrati, se criticità e rischio di concentrazione sono valutati, se i contratti includono le condizioni richieste, se i test coprono sistemi a supporto di funzioni critiche o importanti e se gli incidenti sono classificati utilizzando clienti interessati, transazioni, indisponibilità, geografia, perdita di dati, criticità del servizio e impatto economico.
Un valutatore NIST CSF 2.0 utilizzerà spesso i profili. Confronterà risultati attuali e target nelle funzioni GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND e RECOVER. RoPA e mappe dei flussi di dati diventano input per gestione degli obblighi legali, inventari degli asset, rischio dei fornitori, protezione dei dati, monitoraggio, comunicazioni sugli incidenti e pianificazione del ripristino.
Un auditor COBIT 2019 o in stile ISACA si concentrerà su governance, titolarità e capacità del processo. Verificherà se i flussi informativi hanno un proprietario, se i diritti decisionali sono chiari, se la propensione al rischio è applicata, se i controlli sono monitorati, se le eccezioni sono sottoposte a escalation e se le evidenze sono sufficientemente affidabili per l’assurance della direzione.
| Lente di audit | Campione probabile | Evidenze attese |
|---|---|---|
| ISO/IEC 27001:2022 | Un’attività di trattamento critica | Campo di applicazione, rischio, Proprietario dell’asset, classificazione, mappatura SoA, politiche e registrazioni operative |
| GDPR | Un processo relativo a dati personali | Voce RoPA, base giuridica, conservazione, destinatari, misure di sicurezza e registrazioni dei responsabili del trattamento |
| NIS2 | Un servizio critico | Sistemi, fornitori, dipendenze, soglie di incidente, continuità e vigilanza della direzione |
| DORA | Una funzione critica o importante | Registro dei servizi ICT, contratti, mappa delle dipendenze, test, classificazione degli incidenti e piano di uscita |
| NIST CSF 2.0 | Flusso di dati supportato da un fornitore | Profilo attuale e target, criticità del fornitore, monitoraggio, evidenze di risposta e ripristino |
| COBIT 2019 | Processo di governance | Titolarità, diritti decisionali, metriche, traccia di assurance e reportistica alla direzione |
Schemi di errore comuni
Gli errori più frequenti nella RoPA e nella mappatura dei flussi di dati sono prevedibili.
Primo, la RoPA elenca le attività di trattamento ma non i sistemi. Ciò rende impossibile collegare la responsabilizzazione GDPR con gestione delle vulnerabilità, riesame degli accessi, backup, registrazione o risposta agli incidenti.
Secondo, le mappe dei flussi di dati si fermano al primo fornitore. Non mostrano sub-responsabili, regioni cloud, accesso al supporto, strumenti di analytics, piattaforme di monitoraggio o ubicazioni dei backup.
Terzo, i piani di continuità operativa identificano i sistemi ma non i dati personali. Durante un’indisponibilità, l’organizzazione comprende la priorità di ripristino ma non l’impatto privacy.
Quarto, i registri dei fornitori raccolgono i titolari dei contratti ma non criticità, sostituibilità, categorie di dati, obblighi di notifica degli incidenti o opzioni di uscita.
Quinto, la SoA è scritta come documento di certificazione anziché come ponte dei controlli. Dice che i controlli sono applicabili, ma non spiega quale problema di evidenza GDPR, NIS2 o DORA il controllo contribuisce a risolvere.
Infine, la titolarità è frammentata. Il DPO possiede la RoPA, l’IT possiede gli asset, gli approvvigionamenti possiedono i fornitori, le operations possiedono la BIA, la finanza possiede i registri DORA e nessuno possiede la mappa integrata delle dipendenze.
L’approccio di Clarysec risolve questo problema assegnando gli oggetti di evidenza ai proprietari delle politiche e poi utilizzando gli step del Zenith Blueprint per collegare asset, rischi, controlli e tracciabilità della SoA.
Piano di attuazione in 30 giorni
Non è necessario affrontare tutto contemporaneamente. Partite dai servizi che contano di più.
Settimana 1: selezionare tre attività di trattamento critiche o ad alto rischio. Buoni candidati sono onboarding clienti, elaborazione dei pagamenti, amministrazione HR dei dipendenti, ticketing di supporto o monitoraggio di sicurezza. Per ciascuna, validare la voce RoPA rispetto a sistemi effettivi, categorie di dati, finalità, basi giuridiche e regole di conservazione.
Settimana 2: costruire le mappe dei flussi di dati per tali attività. Identificare sorgente, destinazione, metodo di trasferimento, ambiente, fornitore, sub-responsabile, ubicazione dei dati, percorso di accesso, trasformazione e punto di conservazione. Utilizzare il requisito della Politica sul Mascheramento dei dati e la Pseudonimizzazione di Clarysec per mantenere inventari di sistemi e flussi di dati che coinvolgono dati sensibili.
Settimana 3: collegare ogni flusso ad asset, fornitori, servizi cloud e funzioni aziendali critiche. Utilizzare lo Step 9 del Zenith Blueprint per titolarità e classificazione degli asset. Utilizzare i requisiti delle politiche su registro dei fornitori e registro cloud per acquisire evidenze di terze parti. Utilizzare la politica di continuità operativa per identificare servizi prioritizzati e dipendenze critiche.
Settimana 4: aggiungere tracciabilità di rischio e controlli. Per ciascun flusso, creare o aggiornare scenari di rischio. Mappare i controlli nella SoA utilizzando lo Step 13 del Zenith Blueprint. Aggiungere note per responsabilizzazione GDPR Article 30, misure di rischio NIS2 Article 21 ed evidenze sulle dipendenze ICT DORA, ove applicabile.
Poi eseguire un’esercitazione tabletop: “Indisponibilità del fornitore più esposizione dei dati in un servizio critico”. Verificate se le vostre evidenze supportano classificazione dell’incidente, decisioni di notifica, comunicazione ai clienti, comunicazione all’autorità di vigilanza e prioritizzazione del ripristino.
Alla fine dei 30 giorni, avrete un modello ripetibile per il resto dell’organizzazione.
Il metodo Clarysec: trasformare la RoPA in evidenza viva di resilienza
RoPA e mappatura dei flussi di dati non sono più solo amministrazione privacy. Sono il tessuto connettivo tra responsabilizzazione GDPR, governance dei servizi critici NIS2 ed evidenze sulle dipendenze ICT DORA.
Le organizzazioni che avranno le migliori prestazioni nel 2026 non saranno quelle con più documenti. Saranno quelle in grado di tracciare un servizio aziendale fino alle sue attività di trattamento, flussi di dati, sistemi, fornitori, regioni cloud, contratti, controlli, rischi, soglie di incidente e piani di ripristino.
Clarysec aiuta i team a costruire questa tracciabilità senza burocrazia inutile. La nostra suite di politiche assegna titolarità e requisiti di evidenza. Il Zenith Blueprint fornisce la roadmap di attuazione, inclusi identificazione degli asset, attuazione dei controlli su fornitori e cloud, e tracciabilità della SoA. Zenith Controls fornisce la bussola cross-compliance per mappare i controlli dell’Annex A di ISO/IEC 27001:2022 su aspettative privacy, resilienza, fornitori, cloud e audit.
Il prossimo passo è semplice: scegliete un servizio critico, una voce RoPA e un flusso di dati supportato da un fornitore. Mappatelo end-to-end. Se non riuscite a spiegare dati, dipendenza, controllo e impatto dell’incidente in una pagina, il vostro livello di evidenze non è pronto per il 2026.
Clarysec può aiutarvi a renderlo pronto. Esplorate il Zenith Blueprint, rafforzate la vostra governance con la Politica di protezione dei dati e privacy e la Politica di gestione del rischio di dipendenza dai fornitori, e utilizzate Zenith Controls per trasformare evidenze di conformità frammentate in un unico modello operativo pronto per l’audit.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
