Compliance & Risk Management – Novità normative e pratiche di governance dei dati e di gestione di rischi d’impresa

In questo primo numero della Newsletter Compliance & Risk Management, i professionisti della Service Line 231/Privacy di Andersen hanno declinato il tema della compliance integrata negli ambiti 231, Cybersecurity e Risk Management al fine di evidenziare l’importanza, sempre più crescente per le aziende, di creare un unico sistema di compliance in grado di ridurre i rischi, aumentando così la propria resilienza.

Il MOG 231 come fulcro del sistema di compliance integrato

In un contesto normativo in continua evoluzione, l’integrazione del Modello di Organizzazione, Gestione e Controllo ex D.Lgs.231/2001 (MOG 231) con policy aziendali, codici etici, sistemi di gestione certificati e canali di whistleblowing si traduce nella creazione di un unico framework in grado di ridurre i rischi, migliorare la governance e rafforzare la fiducia di clienti, partner e istituzioni.

Il MOG 231 non è quindi un adempimento formale, ma il fulcro di una cultura aziendale basata sull’etica e sulla responsabilità, che trasforma la compliance da obbligo a opportunità strategica per la crescita sostenibile dell’impresa.

NIS2 e IA: come rendere resiliente l’azienda in termini di privacy e cybersecurity

Se l’adeguamento alla direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, rappresenta un’opportunità concreta per garantire un livello elevato di sicurezza informatica all’interno dell’azienda, l’utilizzo dell’IA in azienda implica il rispetto delle normative in materia di intelligenza artificiale e protezione dei dati personali.

Un’integrazione consapevole tra NIS2, AI ACT e GDPR consentirebbe così di sviluppare e adottare sistemi di IA privacy compliant, capaci di garantire alti standard di sicurezza, riducendo i tempi di reazione agli attacchi. Per creare un sistema di compliance integrato, è però fondamentale adottare una strategia di governance efficace e un approccio risk based.

Questo si traduce nel valutare i rischi cyber e privacy derivanti dall’utilizzo di determinati sistemi (e strumenti) di IA, implementare delle procedure aziendali chiare e trasparenti, e alfabetizzare le persone attraverso una formazione specifica in ambito cyber.

La norma UNI 11961: il ponte tra il MOG 231 e la ISO 37301

Ulteriore esempio di integrazione normativa è la norma UNI 11961:2024. Pubblicata il 17 dicembre 2024, la norma fornisce linee guida utili e pragmatiche per integrare i Modelli 231 con il Sistema di Gestione per la Compliance secondo la UNI ISO 37301:2021 con l’obiettivo di guidare un approccio strutturato, integrato e coerente nella gestione dei rischi di non conformità.

La norma si propone infatti efficientare sia l’attività di analisi dei rischi, che gli audit interni, riducendo le duplicazioni nelle attività ispettive e, al contempo, aumentando la tracciabilità e l’accountability delle azioni di prevenzione, in una prospettiva di miglioramento continuo.