Corso: La Direttiva NIS

La Direttiva NIS (Network and Information Security), finalizzata a costruire un efficace perimetro di sicurezza attorno alle reti informatiche ed ai sistemi informativi, è in vigore dallo scorso 24 giugno 2018. Nell’ottica di rafforzare e rendere più completa la difesa dell’infrastruttura informatica delle imprese, le autorità nazionali hanno elaborato le correlate Linee Guida per la gestione e notifica degli incidenti cyber. Tra i destinatari del Decreto, i 465 Operatori di Sevizi Essenziali, ovvero le strutture pubbliche e private individuate nel dicembre 2018 nei settori sanitario, finanziario, bancario, fornitura e distribuzione di acqua potabile, trasporti, energia e infrastrutture digitali, avranno tra i quattro ai dodici mesi di tempo per uniformarsi ai requisiti indicati dalla ricezione della comunicazione formale. In questo contesto, percorrendo gli step necessari all’adeguamento, il seminario approfondisce i principi fondanti la direttiva, focalizzando le figure coinvolte, i rapporti con i fornitori e le responsabilità verso l’Autorità di controllo, per concludere con valutazioni sulla gestione e prevenzione della sicurezza informatica inquadrando le interazioni con le normative vigenti correlate.

 Programma

NIS, applicazione, figure coinvolte e sanzioni

  • Introduzione alla NIS: ambito di applicazione e ratio
  • Le definizioni normative da valutare in sede di adeguamento: reti e sistemi informativi
  • Progettare l’adeguamento: le figure aziendali coinvolte, nomine e deleghe
  • Responsabilità e sanzioni

 I doveri verso l’Autorità e potere di controllo

  • Il contesto strategico inerente alla gestione della sicurezza
  • La notificazione degli incidenti e la relazioni con le procedure di Data Breach
  • Obblighi informativi e di documentazione verso l’Autorità competente
  • L’obbligo di riscontro probatorio per gli OSE
  • I poteri delle Autorità di controllo verso le aziende

 I rapporti con i Fornitori

  • Come analizzare l’incidenza dei Fornitori rispetto alla NIS
  • Il contratto come parametro di valutazione del Fornitore
  • Che cosa prevedere nei contratti con i fornitori rispetto alla sicurezza informatica

 La Sicurezza

  • Obblighi di sicurezza informatica: accountability nella NIS, la valutazione del rischio, le misure tecniche ed organizzative
  • Le linee guida: il recepimento da parte degli OSE e l’impatto sulla fornitura dei servizi essenziali
  • Il piano nazionale per la protezione cibernetica e la sicurezza informatica
  • Analisi della sicurezza e storico degli incidenti: valutazioni ed evidenze legali
  • Le procedure da applicare ed il monitoraggio degli operatori
  • La formazione rispetto ai rischi cyber

 Le interazioni con le altre normative

  • NIS e Regolamento Europeo Privacy: i punti di collegamento
  • Lgs. 231 e NIS: come integrare il modello
  • Monitoraggio dei log ed impatti sul controllo a distanza dei dipendenti (art. 4 Statuto dei Lavoratori)

Normativa NIS e la sua applicazione in azienda

  • I termini della sicurezza – definizione
  • I requisiti della sicurezza – analisi operativa
  • Differenze tra audit e assessment
  • Modalità di assessment
  • Costruzione di un percorso sulla sicurezza
  • L’applicazione del framework di sicurezza
  • Tips and tricks per le minacce interne e della filiera di fornitura

 Destinatari:

CIO, ICT Manager, Legal, Ufficio Compliance e figure aziendali preposte alla sicurezza delle informazioni.

Docenti:

Alessandro Cecchetti, Consultant in Diritto delle Nuove Tecnologie

Simone Rapizzi, Red Team e IT Security Engineer