Le compliance sono legate tra loro
Spesso c’è un collegamento diretto o indiretto tra diverse normative e standard vigenti. Vediamo alcuni esempi:
In ambito di prevenzione e contrasto alla corruzione c’è una relazione tra Standard ISO 37001, i PTPCT, legge 190/2012 e d.lgs 231/2001.
In ambito sicurezza delle informazioni e protezione dei dati personali, esistono relazioni tra le norme ISO/IEC 27001, Reg. UE 2016/679 (GDPR) e Modelli Organizzativi Gestionali (MOG) ex artt. 24, 24-bis e 25-quinquies comma 1 lett. c del d.lgs 231/01.
In ambito di salute e sicurezza sul luogo di lavoro c’è una relazione tra ISO 45001, il D.Lgs 81/2008, e il D.lgs 231 (ex art. 25 septies del d.lgs 231/01).
In ambito ambientale esistono relazioni tra ISO 14001, Regolamenti EMAS, MOG ex articolo 25 undecies del d.lgs.231/01 ed il d.lgs 152/06 e s.m.i.
Se una normativa impone obblighi, un’altra offre soluzioni
Stiamo assistendo alla crescita significativa di normative che forniscono indicazioni a carattere generale - di “alto livello”, lasciando che sia l’organizzazione a individuare le soluzioni pertinenti. Tali soluzioni sono spesso offerte da altre normative.
Il GDPR all’Art. 32 impone alle organizzazioni di adottare misure tecniche e organizzative “adeguate” per garantire un livello di sicurezza commisurato al rischio, lasciando all’accountabilty dell’organizzazione di provvedervi. Il NIST Cybersecurity Framework o la ISO/IEC 27001 o le linee guida di ENISA sono 3 standard idonei a rispondere alle richieste dell’Art.32 GDPR.
Le norme facoltative diventano “quasi” obbligatorie
Sempre più frequentemente si assiste alla richiesta in fase di gara e o accreditamento, di esibire la certificazione a standard di riferimento (es. ISO 9001, ISO/IEC 27001, ISO 45001, ISO 14001, SA 8000, ecc), imponendo all'organizzazione la certificazione quale prerequisito per la partecipazione alla gara.
