Valutazioni d'impatto sul trasferimento per il cloud nel 2026
Maria, Responsabile della sicurezza delle informazioni di InnovatePay, fissava la pagina 12 del questionario di due diligence.
La sua azienda, un fornitore SaaS fintech europeo in rapida crescita, era vicina alla firma del cliente più importante: una grande banca con aspettative rigorose in materia di resilienza operativa. Il questionario non chiedeva soltanto un certificato ISO 27001, una sintesi del penetration test o un pacchetto di policy di sicurezza. Richiedeva una valutazione d’impatto sul trasferimento completa per il principale fornitore cloud statunitense di InnovatePay, il dettaglio dei sub-responsabili del trattamento, le clausole contrattuali tipo applicabili, la dichiarazione geografica dei trasferimenti di dati e la prova che le misure supplementari fossero mappate a ISO/IEC 27001:2022, NIS2 e DORA.
La funzione legale disponeva dell’addendum sul trattamento dei dati. L’ufficio Acquisti aveva il portale del fornitore. Il team di Ingegneria aveva le impostazioni delle regioni cloud. La Sicurezza aveva i diagrammi di cifratura. Il Customer Success aveva promesso “hosting UE” durante una chiamata commerciale. Nessuno poteva dimostrare immediatamente se l’accesso di supporto dall’India rientrasse nell’ambito, se l’add-on di analisi utilizzasse un sub-responsabile statunitense o se i log di errore fossero replicati tramite un fornitore globale di monitoraggio.
Questa è la realtà del 2026 per le società SaaS, i fornitori cloud, i fornitori fintech e i prestatori di servizi ICT gestiti. Una valutazione d’impatto sul trasferimento, o TIA, non è più un promemoria privacy redatto alla fine del processo di approvvigionamento. È un pacchetto di evidenze di conformità trasversale che deve spiegare dove vanno i dati personali, chi può accedervi, quale meccanismo giuridico di trasferimento si applica, quali misure supplementari riducono il rischio e in che modo l’organizzazione monitora il trasferimento nel tempo.
Per molti team, il problema non è la mancanza di impegno. È la frammentazione. Le SCC sono in un archivio contrattuale. Gli elenchi dei sub-responsabili del trattamento sono nei portali dei fornitori. Le impostazioni di localizzazione dei dati sono nella console cloud. Le decisioni di rischio sono sepolte nelle e-mail. Le evidenze di cifratura sono in Confluence. Una solida valutazione d’impatto sul trasferimento cloud collega questi frammenti in un’unica catena di evidenze sostenibile.
Perché le TIA cloud sono diventate un rischio a livello di consiglio di amministrazione
Una valutazione d’impatto sul trasferimento valuta se i dati personali trasferiti al di fuori dello Spazio economico europeo restano protetti nella pratica. La valutazione deve identificare i dati, le parti, le finalità del trattamento, i luoghi di archiviazione, i luoghi di accesso, i trasferimenti successivi, il meccanismo giuridico di trasferimento, i rischi del Paese destinatario e le misure supplementari.
Nel GDPR, il punto di partenza è ampio. Dati personali, trattamento, titolare del trattamento, responsabile del trattamento, pseudonimizzazione e violazione dei dati personali sono definiti in modo estensivo. Telemetria cloud, ticket di supporto, log di autenticazione, registrazioni di fatturazione, identificativi utente, indirizzi IP e analisi di prodotto possono tutti rientrare nell’ambito. L’accountability del GDPR ai sensi dell’Article 5 richiede alle organizzazioni di dimostrare la conformità, mentre gli obblighi del responsabile del trattamento ai sensi dell’Article 28 e le regole sui trasferimenti internazionali del Capo V dipendono dalla conoscenza esatta di quali dati si muovono, dove si muovono e chi può accedervi.
La sentenza Schrems II ha reso più chiaro l’onere operativo. La firma delle SCC non è sufficiente di per sé. Le organizzazioni devono valutare se le leggi e le prassi del Paese di destinazione possano compromettere le protezioni promesse nel contratto e applicare, ove necessario, misure supplementari.
Per le aziende cloud, la questione si complica rapidamente. Un prodotto SaaS può utilizzare un fornitore di infrastruttura, una piattaforma di supporto separata, un servizio e-mail, uno strumento di monitoraggio degli errori, una CDN, un data warehouse e una funzionalità di analisi basata su IA. Ogni fornitore può avere sub-responsabili del trattamento. Ogni sub-responsabile può introdurre un luogo di archiviazione, un luogo di accesso, un percorso di supporto operativo o un trasferimento successivo.
Per questo ISO/IEC 27001:2022, NIS2, DORA e NIST CSF 2.0 sono entrati nella discussione sulle TIA:
- GDPR richiede di verificare l’esistenza di un meccanismo di trasferimento lecito, termini appropriati per il responsabile del trattamento, controllo dei sub-responsabili del trattamento e misure supplementari efficaci.
- ISO/IEC 27001:2022 richiede di verificare se il rischio di trasferimento sia identificato, trattato, controllato, monitorato e incluso nella Dichiarazione di Applicabilità.
- NIS2 richiede che i soggetti essenziali e importanti gestiscano il rischio di cibersicurezza dei fornitori e dei prestatori di servizi con supervisione della direzione.
- DORA richiede agli enti finanziari di dimostrare la governance ICT di terze parti, le clausole contrattuali, la visibilità sul subappalto, la trasparenza delle ubicazioni, il rischio di concentrazione e la preparazione all’uscita.
- NIST CSF 2.0 aiuta a tradurre questi requisiti in esiti di governance, rischio dei fornitori, protezione, risposta e ripristino.
La conclusione pratica è semplice: una TIA deve risiedere nel SGSI, non al di fuori di esso.
Utilizzare il SGSI come hub di conformità
Gestire TIA, GDPR, DORA e NIS2 in fogli di calcolo separati crea lavoro duplicato e lacune in sede di audit. L’approccio più scalabile consiste nell’utilizzare ISO/IEC 27001:2022 come sistema di gestione che collega obblighi, rischi, controlli ed evidenze.
ISO/IEC 27001:2022 richiede alle organizzazioni di comprendere il proprio contesto, i requisiti delle parti interessate, le interfacce e le dipendenze con altre organizzazioni. Richiede inoltre una valutazione del rischio per la sicurezza delle informazioni ripetibile, un processo di trattamento del rischio, una Dichiarazione di Applicabilità ed evidenze che i controlli selezionati operino come previsto.
Questa struttura si adatta perfettamente a una TIA. Il rischio “i dati personali UE possono essere accessibili da un Paese terzo tramite un fornitore cloud o un sub-responsabile del trattamento senza misure di protezione efficaci” appartiene al Registro dei rischi. Il trattamento appartiene al Piano di trattamento del rischio. I controlli selezionati appartengono alla SoA. Gli elementi di evidenza a supporto appartengono a un indice delle evidenze.
Il Zenith Blueprint: An Auditor’s 30-Step Roadmap di Clarysec rappresenta questa relazione nella fase di Gestione dei rischi, Step 13:
La SoA è, di fatto, un documento di collegamento: collega la valutazione/il trattamento del rischio ai controlli effettivamente presenti. Completandola, si verifica anche se siano stati tralasciati controlli.
Questa frase è centrale per la preparazione della TIA. La TIA non è il controllo. È la valutazione che spiega perché i controlli sono necessari e in che modo riducono il rischio residuo del trasferimento. La SoA è il ponte che collega il rischio alla governance cloud, ai contratti con i fornitori, alla crittografia, al controllo degli accessi, al monitoraggio, alla risposta agli incidenti, alla continuità e alla conformità legale.
Iniziare dalla mappa dei trasferimenti, non dalle SCC
Molte organizzazioni avviano una TIA chiedendosi se il contratto contenga SCC. È necessario, ma non è la prima domanda. Le SCC hanno valore solo se l’organizzazione sa quali trasferimenti coprono.
Una TIA cloud pratica parte da cinque domande.
| Domanda TIA | Fonte delle evidenze | Perché interessa agli auditor |
|---|---|---|
| Quali dati personali sono trasferiti? | Registrazioni dei trattamenti, classificazione dei dati, inventario degli asset cloud, mappe dei flussi di dati | L’accountability GDPR e l’identificazione del rischio ISO 27001 richiedono asset e contesto del trattamento definiti |
| Dove sono archiviati, consultati, supportati o replicati i dati? | Registro dei servizi cloud, impostazioni di localizzazione del fornitore, dichiarazioni dei sub-responsabili del trattamento | L’analisi dei trasferimenti internazionali dipende sia dai luoghi di archiviazione sia dai luoghi di accesso |
| Chi riceve o può accedere ai dati? | Registro dei fornitori, DPA, elenco dei sub-responsabili del trattamento, registrazioni degli accessi privilegiati | La governance di responsabili e sub-responsabili del trattamento deve essere vincolante e monitorata |
| Quale meccanismo supporta il trasferimento? | SCC, decisione di adeguatezza, EU-US Data Privacy Framework ove applicabile, BCR o altra base documentata | Il Capo V del GDPR richiede un meccanismo di trasferimento valido con controlli sui trasferimenti successivi |
| Quali misure supplementari riducono il rischio residuo? | Progettazione della cifratura, titolarità delle chiavi, pseudonimizzazione, approvazioni degli accessi, registrazione, DLP, processo di gestione degli incidenti | La valutazione deve dimostrare una protezione concreta, non solo clausole su carta |
La Cloud Usage Policy-sme per PMI di Clarysec rende operativo questo approccio richiedendo un registro:
Un Registro dei servizi cloud deve essere mantenuto dal fornitore IT o dal GM. Deve registrare:
Dalla sezione “Requisiti di governance”, clausola della policy 5.3.
La stessa famiglia di clausole include un requisito di localizzazione essenziale per le TIA:
Il Paese o la regione in cui i dati sono archiviati
Dalla sezione “Requisiti di governance”, clausola della policy 5.3.4.
Per ambienti più estesi, la Cloud Usage Policy di Clarysec collega esplicitamente la governance cloud ai meccanismi di trasferimento:
Riesaminare le clausole contrattuali tipo (SCC) e i meccanismi di trasferimento ai sensi del GDPR, ove applicabile.
Dalla sezione “Ruoli e responsabilità”, clausola della policy 4.5.2.
La stessa policy aggiunge il requisito trasversale tra normative:
I trasferimenti transfrontalieri di dati devono essere conformi al Capo V del GDPR e, ove applicabile, al DORA Article 28.
Dalla sezione “Requisiti di applicazione della policy”, clausola della policy 6.6.3.
Questo cambia la conversazione sulla TIA. La domanda non è “abbiamo le SCC?”. La domanda è “quale servizio cloud, quali dati personali, quale Paese, quale percorso di accesso, quale sub-responsabile del trattamento, quale meccanismo di trasferimento, quali misure supplementari e quale rischio residuo?”.
Mappare le TIA cloud alle evidenze ISO/IEC 27001:2022
ISO/IEC 27001:2022 fornisce la struttura per dimostrare che una TIA fa parte di un ambiente di controllo operativo. Le aree di evidenza più rilevanti sono governance dei fornitori, governance cloud, obblighi legali, privacy, crittografia, controllo degli accessi, monitoraggio, risposta agli incidenti e continuità.
| Area di evidenza ISO/IEC 27001:2022 | Cosa mostrare per una TIA | Esempio di evidenza |
|---|---|---|
| Gestione dei rischi dei fornitori | La due diligence sui fornitori include il trasferimento internazionale, la localizzazione dei dati e il rischio dei sub-responsabili del trattamento | Valutazione del rischio del fornitore con sezione sui trasferimenti |
| Accordi con i fornitori | Sono definite clausole di sicurezza, privacy, audit, notifica delle violazioni, subappalto ed uscita | DPA, SCC, allegato contrattuale ICT, addendum di sicurezza |
| Catena di fornitura ICT | I fornitori a valle e le dipendenze cloud sono identificati e controllati | Registro dei sub-responsabili del trattamento ed evidenze di ribaltamento contrattuale |
| Monitoraggio dei fornitori | Le evidenze del fornitore sono riesaminate periodicamente e le modifiche attivano una rivalutazione | Riesame dei report SOC, riesame dei certificati ISO, registro delle modifiche dei sub-responsabili del trattamento |
| Servizi cloud | Acquisizione, uso, gestione ed uscita dal cloud sono disciplinati | Registro dei servizi cloud, matrice di responsabilità condivisa, piano di uscita dal cloud |
| Obblighi legali e privacy | Capo V del GDPR, obblighi del responsabile del trattamento e impegni verso i clienti sono documentati | Registro di conformità, TIA, registrazioni dei trattamenti |
| Crittografia e controllo degli accessi | Le misure supplementari sono applicate e verificate | Architettura di cifratura, impostazioni KMS, log di riesame degli accessi |
| Incidenti e continuità | Gli incidenti cloud e dei fornitori sono rilevati, segnalati, gestiti e analizzati per trarne lezioni | Runbook degli incidenti, clausole di notifica, registrazioni dei test di ripristino |
Il Zenith Controls: The Cross-Compliance Guide di Clarysec è particolarmente utile in questo contesto. In Zenith Controls, il controllo ISO/IEC 27002:2022 5.23, Information security for use of cloud services, è trattato come un controllo preventivo a supporto di riservatezza, integrità e disponibilità nei domini di governance, ecosistema e protezione. Collega l’uso del cloud ai rapporti con i fornitori, alla sicurezza degli endpoint, alla sicurezza della rete, al trasferimento delle informazioni, al mascheramento dei dati, alla prevenzione della perdita di dati, all’inventario degli asset e al ciclo di vita sicuro dello sviluppo.
Questa mappatura è rilevante perché una TIA raramente si risolve con una singola clausola legale. Spesso coinvolge accessi amministrativi al cloud, API che spostano dati tra regioni, console di supporto, log, bucket di archiviazione, piattaforme di monitoraggio e ubicazioni dei backup.
Zenith Controls mappa inoltre il controllo 5.23 a standard correlati, tra cui ISO/IEC 27017 per responsabilità condivisa cloud e tracce di audit, ISO/IEC 27018 per la protezione dei dati personali identificabili nel cloud pubblico, ISO/IEC 27701 per i requisiti di estensione privacy, ISO/IEC 27036-4 per il monitoraggio dei servizi cloud e ISO/IEC 27005 per la valutazione del rischio cloud.
Per i contratti con i fornitori, Zenith Controls copre il controllo ISO/IEC 27002:2022 5.20, Addressing information security within supplier agreements. Questo controllo trasforma i requisiti di trasferimento in impegni vincolanti. I termini del responsabile del trattamento ai sensi del GDPR Article 28, i controlli sui sub-responsabili del trattamento, le aspettative NIS2 sulla catena di fornitura e le disposizioni contrattuali del DORA Article 30 diventano tutte evidenze contrattuali.
Per la supervisione continua, il controllo ISO/IEC 27002:2022 5.22, Monitoring, review and change management of supplier services, è fondamentale. Una TIA completata durante l’onboarding può diventare obsoleta dopo che un fornitore aggiunge un sub-responsabile del trattamento, modifica le ubicazioni di supporto, cambia l’architettura di registrazione o lancia una nuova funzionalità.
Correggere il punto debole dei sub-responsabili del trattamento
Il fallimento più comune di una TIA non è l’assenza di SCC. È la conoscenza obsoleta dei sub-responsabili del trattamento.
I fornitori cloud e le piattaforme SaaS modificano frequentemente regioni di servizio, modelli di supporto, pipeline di telemetria, CDN e subappaltatori. Se una TIA dipende da un elenco di sub-responsabili del trattamento scaricato una sola volta durante l’approvvigionamento, diventerà rapidamente inaffidabile.
La Third party and supplier security policy di Clarysec affronta questo aspetto attraverso un requisito contrattuale:
L’utilizzo di subappaltatori soggetto a previo consenso scritto
Dalla sezione “Requisiti di governance”, clausola della policy 5.3.5.
La Legal and Regulatory Compliance Policy di Clarysec identifica le evidenze legali da mantenere:
Informative sui sub-responsabili del trattamento e dichiarazioni geografiche dei trasferimenti di dati
Dalla sezione “Requisiti di applicazione della policy”, clausola della policy 6.3.1.2.
Questo requisito è breve, ma spesso fa la differenza tra una TIA credibile e una incompleta. Se un’organizzazione non può produrre informative sui sub-responsabili del trattamento e dichiarazioni geografiche dei trasferimenti, non può spiegare in modo affidabile i trasferimenti successivi.
Il Zenith Blueprint, fase Controls in Action, Step 23, aggiunge l’aspettativa operativa:
Per ogni fornitore critico, identificare se utilizza subappaltatori (sub-responsabili) che possono accedere ai dati o ai sistemi. Documentare come i requisiti di sicurezza delle informazioni siano trasferiti a tali parti, tramite i termini contrattuali del fornitore o tramite clausole dirette dell’organizzazione.
In pratica, ciò significa che i fornitori ad alto rischio devono essere soggetti a un riesame annuale dei sub-responsabili del trattamento, a un processo di notifica delle modifiche, a un flusso di approvazione documentato e a una condizione di rivalutazione del rischio. Per i servizi rilevanti ai fini DORA, le stesse evidenze supportano anche l’analisi del subappalto e del rischio di concentrazione.
Rendere le misure supplementari specifiche e dimostrabili
Le misure supplementari non devono mai essere documentate come “usiamo la cifratura” senza dettaglio. Auditor e clienti enterprise chiederanno cosa è cifrato, dove viene applicata la cifratura, chi controlla le chiavi, se il personale del fornitore può accedere ai dati in chiaro, se i log contengono dati personali e come viene approvato l’accesso privilegiato.
Un pacchetto solido di misure supplementari combina misure di protezione tecniche, contrattuali, organizzative e di resilienza.
| Tipo di misura | Esempio | Evidenze TIA |
|---|---|---|
| Tecnica | Cifratura in transito, cifratura a riposo, chiavi gestite dal cliente, pseudonimizzazione, tokenizzazione, DLP, registrazione degli accessi | Diagramma architetturale, configurazione KMS, policy di cifratura, campioni di log |
| Contrattuale | SCC, DPA, approvazione dei sub-responsabili del trattamento, notifica delle violazioni, diritti di audit, restituzione e cancellazione dei dati | Accordi firmati, checklist delle clausole, mappatura contrattuale |
| Organizzativa | Flusso di lavoro per il riesame dei trasferimenti, approvazioni degli accessi, formazione del personale, cadenza di riesame dei fornitori | Procedura TIA, registrazioni di riesame degli accessi, registrazioni della formazione |
| Resilienza | Backup, ripristino, piano di uscita, strategia di fornitore alternativo, comunicazioni sugli incidenti | Test di ripristino, piano di uscita dal cloud, piano di comunicazione di crisi |
La Cryptographic Controls Policy-sme di Clarysec fornisce il riferimento:
La cifratura deve essere applicata a:
Dalla sezione “Requisiti di applicazione della policy”, clausola della policy 6.1.1.
Per una TIA, questa affermazione di policy deve diventare evidenza esplicita. La cifratura deve essere descritta per i dati personali in transito tra sistemi UE e servizi cloud di Paesi terzi, a riposo nell’archiviazione cloud e nei backup. La titolarità delle chiavi deve essere definita. Se sono utilizzate chiavi gestite dal cliente, la TIA deve spiegare se il fornitore può accedere ai dati in chiaro, quando è consentito l’accesso di supporto e come viene registrato l’accesso amministrativo.
La Third-Party and Supplier Security Policy-sme di Clarysec rafforza la garanzia sulla localizzazione:
Quando ai fornitori è richiesto di archiviare dati fuori sede, l’azienda deve ottenere garanzie in merito alla protezione dei dati, alla sicurezza fisica e alla localizzazione geografica dell’archiviazione (ad es., hosting solo UE ove richiesto dal GDPR).
Dalla sezione “Requisiti di applicazione della policy”, clausola della policy 6.2.4.
La stessa policy per PMI supporta anche la completezza contrattuale:
I contratti devono includere clausole obbligatorie relative a:
Dalla sezione “Requisiti di governance”, clausola della policy 5.3.
Per le TIA, tali clausole obbligatorie devono coprire riservatezza, misure di sicurezza, notifica delle violazioni, sub-responsabili del trattamento, diritti di audit, restituzione dei dati, cancellazione, meccanismi di trasferimento e impegni sulla localizzazione.
Costruire un pacchetto di evidenze TIA pronto per gli audit
Si consideri un fornitore europeo B2B SaaS che utilizza una piattaforma di analisi statunitense. La piattaforma acquisisce eventi di utilizzo dei clienti, ID utente, indirizzi IP e metadati di supporto. Offre hosting UE e SCC, ma il personale di supporto al di fuori dello SEE può accedere ai ticket e i log di errore possono essere trattati da un sub-responsabile del trattamento in un Paese terzo.
Un pacchetto di evidenze pratico può essere costruito in sei passaggi.
1. Creare la registrazione del trasferimento
Iniziare dal Registro dei servizi cloud richiesto dalla Cloud Usage Policy-sme. Aggiungere proprietario del servizio, finalità aziendale, categorie di dati, interessati, ruolo, regione di hosting, Paesi di accesso, ubicazioni di supporto, sub-responsabili del trattamento, meccanismo di trasferimento, misure supplementari, livello di rischio e prossima data di riesame.
Per la piattaforma di analisi, registrare che gli eventi sono ospitati nell’UE, che l’accesso di supporto può avvenire al di fuori dello SEE e che il monitoraggio degli errori crea un trasferimento successivo.
2. Allegare le evidenze contrattuali
Allegare il DPA, le SCC o altre evidenze del meccanismo di trasferimento, l’addendum di sicurezza, i termini di notifica degli incidenti e l’elenco dei sub-responsabili del trattamento. Utilizzare la clausola 4.5.2 della Cloud Usage Policy per documentare il riesame delle SCC e dei meccanismi di trasferimento. Utilizzare la clausola 5.3.5 della Third party and supplier security policy per documentare l’approvazione o il consenso sui sub-responsabili del trattamento.
Se ci si affida all’EU-US Data Privacy Framework per un fornitore, registrare ambito, stato della certificazione, copertura del servizio e meccanismo di fallback. Non presumere che copra ogni trasferimento successivo.
3. Creare lo scenario di rischio
Aggiungere il rischio al Registro dei rischi del SGSI:
“I dati personali UE trattati tramite la piattaforma di analisi possono essere accessibili da un Paese terzo da parte del supporto del fornitore o di sub-responsabili del trattamento, creando un rischio per riservatezza, conformità legale e conformità normativa.”
Assegnare proprietario, probabilità, impatto, livello di rischio intrinseco, Piano di trattamento del rischio e livello di rischio residuo. Collegarlo al Capo V del GDPR, agli impegni verso i clienti, ai controlli cloud e sui fornitori di ISO/IEC 27001:2022, al NIS2 Article 21 ove applicabile e ai DORA Articles 28, 29 e 30 per i contesti del settore finanziario.
La Risk Management Policy di Clarysec stabilisce la disciplina del trattamento:
Il Responsabile del rischio deve garantire che i trattamenti siano realistici, limitati nel tempo e mappati ai controlli dell’Allegato A di ISO/IEC 27001.
Dalla sezione “Requisiti di applicazione della policy”, clausola della policy 6.4.2.
4. Selezionare le misure supplementari
Per la piattaforma di analisi, le misure possono includere hosting UE, payload degli eventi minimizzati, identificativi pseudonimi, cifratura in transito, cifratura a riposo, accesso di supporto limitato, MFA per gli amministratori, registrazione degli accessi privilegiati, regole DLP che impediscono campi sensibili negli eventi di analisi, obblighi di notifica sui sub-responsabili del trattamento e riesame annuale delle evidenze.
Mappare queste misure ai controlli ISO/IEC 27002:2022 quali 5.14 Information transfer, 5.15 Access control, 5.20 Addressing information security within supplier agreements, 5.22 Monitoring, review and change management of supplier services, 5.23 Information security for use of cloud services, 5.31 Legal, statutory, regulatory and contractual requirements, 5.34 Privacy and protection of PII, 8.11 Data masking, 8.12 Data leakage prevention, 8.16 Monitoring activities e 8.24 Use of cryptography.
5. Definire le condizioni di riesame
Una TIA non è completa finché non sono definite le condizioni di riesame. Le condizioni devono includere un nuovo sub-responsabile del trattamento, un nuovo Paese di accesso, una nuova categoria di dati, una modifica del modello di supporto, un incidente di sicurezza, un rinnovo contrattuale, un nuovo requisito critico del cliente, una nuova classificazione DORA o una modifica rilevante dell’architettura cloud.
Qui il controllo ISO/IEC 27002:2022 5.22 diventa operativo. Riesaminare report SOC, certificati ISO, sintesi dei penetration test, comunicazioni di modifica del servizio, cronologia degli incidenti e aggiornamenti dei sub-responsabili del trattamento. Tracciare le eccezioni fino alla chiusura.
6. Aggiornare la SoA e l’indice delle evidenze
Nella Dichiarazione di Applicabilità, contrassegnare come applicabili i controlli cloud, fornitori, legali, privacy, crittografici, di accesso, monitoraggio, incidenti e continuità. Aggiungere note alla SoA quali “supporta la TIA GDPR Capo V per la piattaforma di analisi”, “supporta le evidenze contrattuali ICT di terze parti DORA” o “supporta le evidenze di sicurezza della catena di fornitura NIS2”.
Questo ultimo passaggio di indicizzazione trasforma una valutazione privacy in evidenza di conformità pronta per gli audit.
Mappare le stesse evidenze a GDPR, DORA, NIS2 e ISO 27001
Un pacchetto di evidenze TIA ben costruito deve soddisfare più prospettive di audit senza creare documentazione duplicata.
| Area di criticità | Requisito GDPR | Requisito DORA | Requisito NIS2 | Evidenza ISO/IEC 27001:2022 |
|---|---|---|---|---|
| Trasferimento internazionale di dati | Meccanismo di trasferimento del Capo V e TIA | Articles 28 e 30, evidenze su ubicazione e contratti | Article 21, sicurezza della catena di fornitura | 5.23 registro cloud, 5.14 trasferimento delle informazioni, 5.31 obblighi legali |
| Gestione dei sub-responsabili del trattamento | Article 28(2), autorizzazione scritta specifica o generale preventiva | Article 29, subappalto e rischio di concentrazione | Article 21, rischio dei fornitori e dei prestatori di servizi | 5.20 ribaltamento contrattuale, 5.21 catena di fornitura ICT, 5.22 monitoraggio |
| Misure supplementari | Article 32, sicurezza del trattamento | Article 9, protezione e prevenzione | Article 21, crittografia, controllo degli accessi e igiene informatica | 8.24 uso della crittografia, 5.15 controllo degli accessi, 8.16 attività di monitoraggio |
| Accountability e governance | Article 5(2), dimostrare la conformità | Articles 5 e 6, governance e quadro di gestione del rischio ICT | Article 20, supervisione della direzione | Clauses 5 e 6, Registro dei rischi, Piano di trattamento del rischio, SoA |
| Evidenze su incidenti e resilienza | Articles 33 e 34, notifica della violazione ove applicabile | Aspettative di segnalazione, risposta, ripristino ed uscita degli incidenti | Article 23, segnalazione degli incidenti significativi | Runbook degli incidenti, clausole di notifica, test di ripristino, piani di uscita |
DORA è particolarmente importante quando il cliente è un’entità finanziaria o il servizio supporta una catena ICT del settore finanziario. DORA si applica dal 17 gennaio 2025 e stabilisce requisiti per la gestione del rischio ICT, la segnalazione degli incidenti, i test di resilienza, la condivisione delle informazioni e il rischio ICT di terze parti. L’Article 8 richiede identificazione e classificazione degli asset ICT, dei patrimoni informativi e delle dipendenze. L’Article 28 richiede governance del rischio ICT di terze parti, registri delle informazioni, due diligence e strategie di uscita. L’Article 29 riguarda il rischio di concentrazione e di subappalto ICT. L’Article 30 richiede contratti scritti con descrizioni dei servizi, luoghi di trattamento, protezione dei dati, accesso, ripristino, restituzione dei dati, assistenza sugli incidenti, cooperazione con le autorità, diritti di risoluzione, diritti di audit e accordi di transizione.
NIS2 aggiunge la responsabilità della direzione. L’Article 20 richiede agli organi di gestione di approvare e supervisionare le misure di gestione dei rischi di cibersicurezza. L’Article 21 richiede misure tecniche, operative e organizzative adeguate e proporzionate, incluse politiche di rischio, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, acquisizione e sviluppo sicuri, valutazione dell’efficacia dei controlli, igiene informatica, crittografia, sicurezza HR, controllo degli accessi, gestione degli asset e MFA ove appropriato.
La sovrapposizione è chiara. Una TIA che identifica sub-responsabili del trattamento, luoghi di trasferimento, misure supplementari, obblighi di incidente e monitoraggio dei fornitori è anche evidenza della resilienza dei fornitori.
Come gli auditor testeranno la tua TIA
Auditor diversi pongono domande diverse, ma le evidenze devono essere riutilizzabili.
| Prospettiva dell’auditor | Domanda di audit probabile | Evidenze solide |
|---|---|---|
| Audit privacy GDPR | Puoi dimostrare il meccanismo di trasferimento, il controllo dei sub-responsabili del trattamento e le misure supplementari? | TIA, SCC, DPA, registro dei sub-responsabili del trattamento, dichiarazione di localizzazione dei dati, evidenze di cifratura e accesso |
| Audit ISO/IEC 27001:2022 | Il rischio di trasferimento è identificato, trattato, controllato e incluso nella SoA? | Registro dei rischi, Piano di trattamento del rischio, note SoA, registro cloud, registrazioni di riesame dei fornitori |
| Audit privacy ISO/IEC 27701 | Gli obblighi del responsabile del trattamento sono operativi nei servizi cloud che trattano dati personali? | Clausole DPA, supporto alle richieste degli interessati, flusso di cancellazione, processo di notifica degli incidenti |
| Riesame della preparazione NIS2 | I rischi dei fornitori e del cloud sono gestiti con misure approvate dalla direzione? | Valutazione del rischio del fornitore, riesame della direzione, policy di crittografia, registrazioni di incidenti e continuità |
| Riesame ICT di terze parti DORA | I contratti ICT, il subappalto, le ubicazioni, il monitoraggio e i piani di uscita sono controllati? | Registro dei contratti ICT, mappatura delle clausole dell’Article 30, riesame dei subappaltatori, test di uscita |
| Valutazione NIST CSF 2.0 | I rischi legali, normativi, contrattuali e dei fornitori sono governati e migliorati? | Profilo attuale e profilo target, piano delle lacune, criticità dei fornitori, tracciamento della risposta al rischio |
| Audit COBIT 2019 o stile ISACA | Esistono chiara titolarità della governance, prestazioni di processo e responsabilità sui controlli? | RACI, titolarità delle policy, KPI, KRI, gestione degli issue, reportistica al consiglio di amministrazione |
Zenith Controls fornisce una metodologia di audit pratica per queste aree. Per i servizi cloud, gli auditor cercano un registro dei servizi cloud approvati ed evidenze che l’utilizzo di cloud non autorizzato sia monitorato. Per gli accordi con i fornitori, gli auditor eseguono campionamenti contrattuali sui fornitori ad alto rischio e convalidano riservatezza, protezione dei dati, tempistiche di notifica delle violazioni, diritti di audit, approvazione dei sub-responsabili del trattamento e restituzione o distruzione dei dati. Per il monitoraggio dei fornitori, gli auditor esaminano registrazioni di riesame, report KPI, certificazioni dei fornitori, report SOC, sintesi dei penetration test, eccezioni e azioni correttive.
La lezione di audit è lineare: le evidenze devono dimostrare il funzionamento nel tempo. Una TIA firmata una volta e mai riesaminata non soddisferà un riesame serio su cloud, fornitori o resilienza.
Utilizzare NIST CSF 2.0 per spiegare il rischio TIA alla leadership
I consigli di amministrazione raramente vogliono discutere in dettaglio dei moduli SCC o delle ubicazioni di supporto cloud. Vogliono sapere se il rischio è governato, prioritizzato e in miglioramento. NIST CSF 2.0 aiuta a tradurre la TIA in linguaggio esecutivo attraverso GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND e RECOVER.
Per una TIA, la funzione GOVERN è particolarmente utile. Include requisiti legali, normativi e contrattuali, propensione al rischio, ruoli, policy, supervisione e gestione del rischio di cibersicurezza dei fornitori. Costruire un profilo attuale che mostri lo stato attuale, ad esempio un registro cloud parziale, un archivio SCC, un riesame limitato dei sub-responsabili del trattamento e nessuna cadenza definita di riesame TIA. Definire quindi un profilo target, ad esempio un inventario completo dei trasferimenti, sub-responsabili del trattamento classificati in base al rischio, meccanismi di trasferimento verificati, chiavi gestite dal cliente per dati ad alto rischio, riesami trimestrali dei fornitori critici, mappatura contrattuale pronta per DORA e piani di uscita dal cloud testati.
Il piano delle lacune diventa una tabella di marcia pratica che la direzione può finanziare e monitorare.
La checklist Clarysec per le TIA cloud nel 2026
Utilizza questa checklist per verificare se la tua valutazione d’impatto sul trasferimento è pronta per gli audit:
- Mantenere un Registro dei servizi cloud con proprietario, finalità, categorie di dati, ubicazioni, Paesi di accesso e sub-responsabili del trattamento.
- Identificare se ciascun servizio configura un rapporto di titolare del trattamento, responsabile del trattamento, sub-responsabile del trattamento o fornitore indipendente.
- Allegare DPA, SCC o altre evidenze del meccanismo di trasferimento alla registrazione del fornitore.
- Registrare l’affidamento all’EU-US Data Privacy Framework solo quando ambito e trasferimenti successivi sono verificati.
- Mantenere informative sui sub-responsabili del trattamento e dichiarazioni geografiche dei trasferimenti.
- Richiedere il previo consenso scritto o una notifica contrattuale per nuovi sub-responsabili del trattamento, in base al rischio.
- Mappare le misure supplementari a controlli tecnici specifici, non a dichiarazioni generiche.
- Dimostrare cifratura in transito, cifratura a riposo, titolarità della gestione delle chiavi e registrazione degli accessi privilegiati.
- Minimizzare, pseudonimizzare o mascherare i dati personali prima del trasferimento ove possibile.
- Definire condizioni di riesame per nuovi Paesi, nuovi sub-responsabili del trattamento, nuove categorie di dati, incidenti e modifiche contrattuali.
- Collegare ogni rischio TIA al Registro dei rischi, al Piano di trattamento del rischio e alla SoA.
- Riesaminare periodicamente le evidenze dei fornitori e tracciare le eccezioni fino alla chiusura.
- Includere nei contratti notifica degli incidenti, diritti di audit, restituzione dei dati, cancellazione e obblighi di uscita.
- Per i servizi rilevanti ai fini DORA, mappare i contratti ai requisiti ICT di terze parti, al subappalto, alle ubicazioni, al rischio di concentrazione e alla strategia di uscita.
- Segnalare alla direzione le decisioni di trasferimento ad alto rischio come parte della governance del SGSI.
Trasformare l’incertezza sui trasferimenti in evidenze pronte per gli audit
InnovatePay ha conquistato la banca perché Maria ha smesso di trattare la TIA come un documento legale dell’ultimo minuto. Il suo team ha costruito un Registro dei servizi cloud, allegato SCC e DPA, documentato i sub-responsabili del trattamento, mappato le misure supplementari ai controlli ISO/IEC 27001:2022, aggiornato il Registro dei rischi, aggiunto note alla SoA e creato condizioni di monitoraggio. Il risultato non è stato solo una risposta migliore al questionario. È stato un processo ripetibile di rischio dei fornitori.
La tua organizzazione può fare lo stesso.
Inizia con il Zenith Blueprint: An Auditor’s 30-Step Roadmap per collegare i rischi di trasferimento al Registro dei rischi, al Piano di trattamento del rischio e alla Dichiarazione di Applicabilità. Usa Zenith Controls: The Cross-Compliance Guide per mappare i controlli ISO/IEC 27002:2022 su cloud, accordi con i fornitori e monitoraggio dei fornitori a GDPR, NIS2, DORA, NIST e alle aspettative di audit. Quindi rendi operative le evidenze attraverso le policy Clarysec, come Cloud Usage Policy, Third party and supplier security policy, Legal and Regulatory Compliance Policy, Risk Management Policy e le versioni per PMI ove appropriato.
Una valutazione d’impatto sul trasferimento cloud non deve essere un’emergenza commerciale. Nel 2026 fa parte della governance cloud, dell’assurance sui fornitori, dell’accountability privacy e della resilienza operativa. Le organizzazioni che conquisteranno fiducia saranno quelle in grado di dimostrare rapidamente dove vanno i dati, chi li tratta, cosa li protegge e come il rischio è governato nel tempo.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
