Programma del corso
Il nuovo quadro di regole
– il dominio cibernetico
– l’aumento della superficie di attacco
– le direttive NIS 2 e CER
– il nuovo sistema istituzionale: Agenzia, CVCN, CSIRT
– i compiti specifici dell’Agenzia
– la correlazione con il Piano di ripresa e resilienza
– cybersecurity e data protection
Gli obblighi per aziende e operatori
– gli operatori inseriti nel perimetro
– l’organizzazione di un sistema di gestione in materia di compliance sulla cibersicurezza
– obblighi inerenti alla struttura organizzativa preposta alla sicurezza
– obblighi inerenti alla politica della sicurezza e gestione del rischio
– obblighi Golden Power
– obblighi inerenti al decreto NIS
– l’elenco di reti e sistemi sensibili
– l’analisi del rischio cibersecurity relativamente a componenti ICT
– la procedura sugli incidenti e il rafforzamento dei presidi di front-line per la gestione degli alert e degli eventi
– l’individuazione di personale preposto e incaricato a gestire il rischio
– le 51 misure
– coordinamento funzionale con i compliance programs 231 e con il compliance in materia di protezione dei dati personali
Domenico Ielo
Misure di sicurezza e gestione degli incidenti informatici
– la tassonomia degli incidenti
– analisi di impatto sui beni ICT
– gli indicatori di compromissione
– l’identificazione
– il rilevamento
– la risposta
Misure di sicurezza
– adozione delle misure di sicurezza
– termini e modalità di adozione delle misure
– la tutela delle informazioni
– obblighi sulla protezione fisica e logica dei dati
– obblighi di integrità delle reti e dei sistemi informativi
– obblighi di formazione
Valentina Casola
Obblighi relativi agli incidenti
– il processo di gestione dell’incidente
– obbligo di notifica degli incidenti aventi impatto sui beni ICT
– presupposto della notifica
– tempistica e canali della notifica
– la notifica volontaria degli incidenti
– la trasmissione delle notifiche
– incidenti su reti e sistemi relativi alle informazioni classificate
– l’integrazione della notifica
– i piani di attuazione delle attività per il ripristino dei beni ICT impattati dall’incidente oggetto di notifica
– il rapporto con l’Autorità giudiziaria
Mario Mazzeo
Obblighi inerenti all’approvvigionamento
– obblighi in materia di affidamento di forniture di beni e servizi
– obblighi in capo ai soggetti pubblici e coordinamento con la normativa sugli appalti pubblici
– obblighi in capo ai soggetti chiamati a indire gare nei settori speciali: imprese energetiche; imprese operanti nel settore idrico; imprese aeroportuali; imprese operanti nei trasporti; imprese operanti nel settore portuale; imprese operanti nel settore postale
– problematiche legate a subappalti
– sub-forniture e catene di approvvigionamento
Responsabilità per violazione della normativa sulla sicurezza cibernetica
– responsabilità penale, responsabilità civile, responsabilità 231, responsabilità amministrativa
– l’efficacia esimente del compliance
Domenico Ielo
Relatori
Domenico Ielo
Avvocato, Partner Ielo e Associati
Valentina Casola
Docente di Sicurezza e Affidabilità dei Sistemi Informatici
presso l’Università degli Studi di Napoli Federico II
Mario Mazzeo
Avvocato in Roma
Responsabile Protezione Dati (DPO)