NIS2 | Governance della sicurezza e responsabilità organizzative

Durata complessiva: 50 minuti

Moduli:

  • Scenario normativo e contesto strategico

  • Responsabilità del CdA e della Direzione Generale

  • Governance della sicurezza e gestione del rischio

  • Modelli organizzativi e processi operativi

  • Supervisione, reporting e miglioramento continuo

Il corso fornisce agli organi di vertice aziendale il quadro essenziale degli obblighi e delle responsabilità introdotte dalla Direttiva NIS2 e dal D.Lgs. 138/2024.

La normativa attribuisce a CdA e Direzione Generale un ruolo diretto nell’approvazione, supervisione e controllo delle misure di sicurezza informatica. Il percorso chiarisce l’impatto della NIS2 sulla governance aziendale, rafforzando il principio di accountability e la consapevolezza delle responsabilità organizzative.

  • Consiglio di Amministrazione
  • Amministratori Delegati
  • Direzione Generale
  • Dirigenti e Manager con poteri decisionali

È destinato a chi definisce strategie, assegna deleghe e supervisiona la gestione del rischio.

Al termine del corso i partecipanti saranno in grado di:

  • Comprendere il perimetro di applicazione della NIS2
  • Conoscere gli obblighi previsti dal D.Lgs. 138/2024
  • Individuare le responsabilità degli organi amministrativi
  • Integrare la gestione del rischio cyber nei processi aziendali
  • Comprendere il sistema di supervisione e reporting richiesto dalla normativa

Modulo 1 – Scenario normativo e contesto strategico: NIS2, D.Lgs. 138/2024, ruolo dell’ACN e impatto sulla governance.

Modulo 2 – Responsabilità del CdA e della Direzione Generale: Art. 23, accountability, deleghe e regime sanzionatorio.

Modulo 3 – Governance della sicurezza e gestione del rischio: Politiche di sicurezza, gestione del rischio cyber e ruolo del referente.

Modulo 4 – Modelli organizzativi e processi operativi: Misure di sicurezza, continuità operativa, notifica incidenti e supply chain.

Modulo 5 – Supervisione, reporting e miglioramento continuo: Monitoraggio, indicatori di governance e cultura della sicurezza.

Percorso Base GDPR

Durata complessiva: 2 ore

Moduli:

  • Introduzione alla privacy

  • I Soggetti del trattamento

  • I diritti degli Interessati

  • La gestione di un data breach

Si tratta del primo livello di consapevolezza che deve essere raggiunto da tutti coloro che trattano dati personali all’Interno della tua Organizzazione.
La risposta alla domanda che stai per porti è: “Si, è obbligatorio.” Il Percorso Base rappresenta la soglia minima di sicurezza imposta dal principio di accountability su cui è costruito il GDPR.

Il Percorso Base è rivolto a tutte le Persone che trattano dati personali all’interno della tua Organizzazione.
Parliamo di tutti coloro che si occupano sia di amministrazione che di risorse umane, così come di chi svolge attività di marketing, IT, customer care, logistica, legal, etc.
La domanda è: “C’è qualcuno nella tua Organizzazione che, nello svolgimento delle proprie mansioni lavorative, non viene a conoscenza nemmeno del numero di telefono o del nominativo di qualcuno?” Bene, allora queste persone possono essere escluse dal Percorso Base.

1 – Introduzione alla privacy: il GDPR con le sue definizioni, principi fondamentali, sanzioni, ambiti di applicazione.
2 – I Soggetti del trattamento: Interessato, DPO, Titolare e Responsabile del trattamento, Persone autorizzate.
3 – I diritti degli Interessati: i diritti che la tua Organizzazione deve garantire nei confronti di tutti coloro di cui tratta i dati.
4 – La gestione di un data breach: come gestire le violazioni di sicurezza, ovvero i momenti in cui i dati di cui dobbiamo avere cura sono esposti a rischi.

Percorso Base 231

Durata complessiva: 2 ore

Moduli:

  • Introduzione al D.Lgs. 231/2001

  • I criteri di attribuzione della responsabilità

  • Struttura del Modello Organizzativo. La parte generale

  • Struttura del Modello Organizzativo. La parte speciale

Si tratta del primo livello di consapevolezza che deve essere raggiunto da tutti coloro che sono destinatari del Modello di Organizzazione, Gestione e Controllo implementato ai sensi del Dlgs 231/2001

tutto il Personale destinatario del Modello di Organizzazione, Gestione e Controllo implementato ai sensi del Dlgs 231/2001

  1. Introduzione al D.lgs. 231/2001: Ambito soggettivo e oggettivo di applicazione, principi generali e sistema sanzionatorio.
  2. I criteri di attribuzione della responsabilità:  soggetti apicali e subordinati, delega di funzioni e responsabilità dell’Ente.
  3. Struttura del Modello Organizzativo Gestionale. La parte generale: codice etico, piano formativo, sistema disciplinare, Organismo di Vigilanza e whistleblowing.
  4. Struttura del Modello Organizzativo Gestionale. La parte speciale:  la mappatura delle attività “a rischio”, le attività di follow-up e l’aggiornamento del Modello di Organizzazione, Gestione e Controllo. Conclusioni.

Percorso Base – Short Track

Durata complessiva: 15 minuti

Moduli:

  • Di cosa parliamo quando parliamo di privacy?

  • Data breach: istruzioni per l’uso

Primo mattoncino di consapevolezza o rinforzo periodico rivolto a Dipendenti e Collaboratori per adempiere l’obbligo di formazione privacy

A tutte le Persone che trattano dati personali all’interno della tua Organizzazione anche per brevi periodi, Parliamo di tutti coloro che si occupano sia di amministrazione che di risorse umane, così come di chi svolge attività di marketing, IT, customer care, logistica, legal, etc.

1) Di cosa parliamo quando parliamo di privacy? Il GDPR con le sue definizioni e principi fondamentali.

2) Data breach: istruzioni per l’uso: riconoscere e gestire correttamente le violazioni di sicurezza, ovvero i momenti in cui i dati di cui dobbiamo avere cura sono esposti a rischi.

Sicurezza informatica sul luogo di lavoro

Durata complessiva: 2 ore

Moduli:

  • Sicurezza e strumenti lavorativi

  • Credenziali di autenticazione e need-to-know basis

  • E-mail e cellulari aziendali

  • Phishing come difendersi dagli attacchi

L’anello debole della catena della sicurezza è l’essere umano, tanto per cambiare, ovvero, all’interno della tua Organizzazione, i Dipendenti e Collaboratori. Certamente puoi avere adottato un corretto sistema di autenticazione assegnando ad ogni Utente un username e una password da cambiare ogni tre mesi, ma se i Dipendenti scrivono la password su un post-it appicciato al monitor o la condividono col collega, ecco che tutti gli sforzi fatti per adeguarsi al GDPR vengono di colpo azzerati.
La corretta consapevolezza da parte dei Dipendenti riguarda anche l’utilizzo esclusivamente lavorativo degli strumenti elettronici a loro assegnati così come la cura che ne devono avere e la trasparenza circa i casi in cui, il Datore di lavoro, può spingersi a controllare i contenuti delle email inviate e ricevute.
I Dipendenti, inoltre, devono collaborare nella protezione delle risorse aziendali non solo “subendo” le misure tecniche a presidio di computer e cellulari, ma anche partecipando in maniera proattiva, adottando comportamenti (a volte, vere e proprie procedure) finalizzati a proteggere i dati personali trattati nello svolgimento della loro attività lavorativa.

Il “Percorso Sicurezza informatica sul luogo di lavoro” è rivolto a tutte le Persone che trattano dati personali all’interno della tua Organizzazione mediante strumenti elettronici (computer, cellulari, tablet, etc.)
Ancora una volta la domanda è: “C’è qualcuno nella tua Organizzaione che, nello svolgimento delle proprie mansioni lavorative, non accede ad uno strumento elettronico nello svolgimento della propria mansione lavorativa?” Bene, allora queste persone possono essere escluse dal “Percorso Sicurezza informatica sul luogo di lavoro”.

1 – Sicurezza e strumenti lavorativi: le regole base per garantire un utilizzo in sicurezza degli strumenti lavorativi;
2 – Credenziali di autenticazione e need-to -know basis: il corretto impiego delle credenziali di accesso e delle autorizzazioni;
3 – E-mail e cellulari aziendali: come gestire mailbox e cellulare lavorativi;
4 – Phishing come difendersi dagli attacchi: riconoscere e difendersi dagli attacchi di phishing.

Privacy e Smart Working

Durata complessiva: 45 minuti

Moduli:

  • Inquadriamo la questione

  • Smart working e diritti dei Lavoratori

  • La protezione dei dati durante lo smart working

Formazione obbligatoria sia ai sensi del GDPR che dell’art.12 del “Protocollo nazionale sul lavoro in modalità agile” – 7 dicembre 2021

tutte le Persone che trattano dati personali all’interno della tua Organizzazione in modalità smart working

1) Inquadriamo la questione: definizioni e quadro normativo di riferimento

2) Smart working e diritti dei Lavoratori: adempimenti obbligatori del Datore di lavoro al fine di garantire il diritto dei Lavoratori alla trasparenza nei trattamenti dei dati che li riguardano.

3) La protezione dei dati durante lo smart working: prescrizioni circa l’utilizzo, la custodia e la protezione degli strumenti impiegati durante lo smart working, le cautele comportamentali da osservare compresa la gestione dei data breach.

Data Breach: istruzioni per l’uso

Durata complessiva: 30 minuti

Moduli:

  • Data breach e obblighi aziendali

  • L’indispensabile collaborazione del Personale

  • Esempi più diffusi di data breach

Il data breach è una violazione di sicurezza che deve essere gestita dall’Azienda entro 72 ore dal momento in cui ne è venuta a conoscenza.
Pertanto: la collaborazione del Personale, correttamente formato, è indispensabile nell’individuazione di un data breach.

Tutti coloro che trattano dati in Azienda devono essere in grado di individuare una violazione di sicurezza, diversamente l’Azienda non sarebbe messa nelle condizioni di rilevare e gestire tempestivamente un data breach.

Si parte con un approfondimento della definizione di data breach per poi affrontare esempi pratici di data breach al fine, anzitutto, di poterli prevenire.

Phishing: come difendersi dagli attacchi

Durata complessiva: 30 minuti

Moduli:

  • Inquadriamo il problema

  • Esempi più diffusi di data breach

  • Riconoscere e prevenire gli attacchi di phishing

Il phishing è una truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. Il phishing online si sta evolvendo a velocità impressionante attraverso mail fasulle, siti web contraffatti e link malevoli.

Il “Phishing: come difendersi dagli attacchi” è rivolto a tutte le Persone che trattano dati personali all’interno della tua Organizzazione mediante strumenti elettronici (computer, cellulari, tablet, etc.)
Ancora una volta la domanda è: “C’è qualcuno nella tua Organizzazione che, nello svolgimento delle proprie mansioni lavorative, non accede ad uno strumento elettronico nello svolgimento della propria mansione lavorativa?” Bene, allora queste persone possono essere escluse dal “Phishing: come difendersi dagli attacchi”.

Oltre ad una breve ma doverosa introduzione teorica, si parlerà delle modalità con le quali vengono sferrati attacchi di phishing e, soprattutto, come riconoscere e difendersi da tali attacchi.