Corso: La Direttiva NIS
La Direttiva NIS (Network and Information Security), finalizzata a costruire un efficace perimetro di sicurezza attorno alle reti informatiche ed ai sistemi informativi, è in vigore dallo scorso 24 giugno 2018. Nell’ottica di rafforzare e rendere più completa la difesa dell’infrastruttura informatica delle imprese, le autorità nazionali hanno elaborato le correlate Linee Guida per la gestione e notifica degli incidenti cyber. Tra i destinatari del Decreto, i 465 Operatori di Sevizi Essenziali, ovvero le strutture pubbliche e private individuate nel dicembre 2018 nei settori sanitario, finanziario, bancario, fornitura e distribuzione di acqua potabile, trasporti, energia e infrastrutture digitali, avranno tra i quattro ai dodici mesi di tempo per uniformarsi ai requisiti indicati dalla ricezione della comunicazione formale. In questo contesto, percorrendo gli step necessari all’adeguamento, il seminario approfondisce i principi fondanti la direttiva, focalizzando le figure coinvolte, i rapporti con i fornitori e le responsabilità verso l’Autorità di controllo, per concludere con valutazioni sulla gestione e prevenzione della sicurezza informatica inquadrando le interazioni con le normative vigenti correlate.
Programma
NIS, applicazione, figure coinvolte e sanzioni
- Introduzione alla NIS: ambito di applicazione e ratio
- Le definizioni normative da valutare in sede di adeguamento: reti e sistemi informativi
- Progettare l’adeguamento: le figure aziendali coinvolte, nomine e deleghe
- Responsabilità e sanzioni
I doveri verso l’Autorità e potere di controllo
- Il contesto strategico inerente alla gestione della sicurezza
- La notificazione degli incidenti e la relazioni con le procedure di Data Breach
- Obblighi informativi e di documentazione verso l’Autorità competente
- L’obbligo di riscontro probatorio per gli OSE
- I poteri delle Autorità di controllo verso le aziende
I rapporti con i Fornitori
- Come analizzare l’incidenza dei Fornitori rispetto alla NIS
- Il contratto come parametro di valutazione del Fornitore
- Che cosa prevedere nei contratti con i fornitori rispetto alla sicurezza informatica
La Sicurezza
- Obblighi di sicurezza informatica: accountability nella NIS, la valutazione del rischio, le misure tecniche ed organizzative
- Le linee guida: il recepimento da parte degli OSE e l’impatto sulla fornitura dei servizi essenziali
- Il piano nazionale per la protezione cibernetica e la sicurezza informatica
- Analisi della sicurezza e storico degli incidenti: valutazioni ed evidenze legali
- Le procedure da applicare ed il monitoraggio degli operatori
- La formazione rispetto ai rischi cyber
Le interazioni con le altre normative
- NIS e Regolamento Europeo Privacy: i punti di collegamento
- Lgs. 231 e NIS: come integrare il modello
- Monitoraggio dei log ed impatti sul controllo a distanza dei dipendenti (art. 4 Statuto dei Lavoratori)
Normativa NIS e la sua applicazione in azienda
- I termini della sicurezza – definizione
- I requisiti della sicurezza – analisi operativa
- Differenze tra audit e assessment
- Modalità di assessment
- Costruzione di un percorso sulla sicurezza
- L’applicazione del framework di sicurezza
- Tips and tricks per le minacce interne e della filiera di fornitura
Destinatari:
CIO, ICT Manager, Legal, Ufficio Compliance e figure aziendali preposte alla sicurezza delle informazioni.
Docenti:
Alessandro Cecchetti, Consultant in Diritto delle Nuove Tecnologie
Simone Rapizzi, Red Team e IT Security Engineer