Workshop pratico per capire il percorso di adeguamento al d.lgs 138/2024 che recepisce la Direttiva NIS2: dall’inquadramento come “soggetto importante” alle misure minime, fino alle clausole di sicurezza da inserire nei contratti con i fornitori. Il percorso fornisce esempi e checklist per impostare un piano di conformità entro le scadenze fissate dall’Agenzia per la Cyber Sicurezza Nazionale.

Obiettivi

• Riconoscere il proprio status (NIS2 essenziale vs importante) e le relative misure obbligatorie
• Applicare il pacchetto di misure tecnico-organizzative previsto dal d.lgs 138/2024 e dalla Determinazione ACN 164179/2025
• Gestire la sicurezza della catena di fornitura, definendo controlli, clausole contrattuali e verifiche periodiche
• Predisporre i processi di notifica degli incidenti (24 h/72 h) e il rapporto annuale ad ACN, evitando sanzioni

Destinatari

Imprese classificate o in via di classificazione come soggetti importanti ai sensi del d.lgs 138/2024.

Aziende della catena di fornitura che erogano servizi, software o componenti essenziali ai soggetti NIS2.

Figure che supervisionano processi, contratti o rischi: organi direttivi, responsabili IT/OT, qualità, protezione dati, continuità operativa.

Contenuti

• Quadro normativo
• Direttiva UE 2022/2555 e d.lgs 138/2024: ambito, definizioni, ruoli ACN e cronologia scadenze (16 ott 2024 entrata in vigore; registri e misure entro 2025-2026)
• Classificazione e criteri di soglia
• Dimensioni, settore, incidenti pregressi; differenze tra “essenziali” e “importanti”; elenco settori ampliati
• Governance e responsabilità dell’organo direttivo
• Formazione obbligatoria, deleghe, responsabilità personali e sanzioni fino al 2 % del fatturato
• Pacchetto di misure obbligatorie (37 requisiti)
• Politica di gestione del rischio, gestione incidenti, business continuity, cifratura, controllo accessi, MFA, test di sicurezza, asset inventory
• Sicurezza della catena di fornitura
• Analisi dei fornitori critici, clausole contrattuali minime, audit periodici, obblighi di notifica e diritto di recesso per non conformità
• Procedure di notifica e rapporti con ACN
• Avviso iniziale entro 24 h, rapporto dettagliato entro 72 h, relazione finale; compilazione del report annuale ACN. Roadmap di adeguamento per soggetti importanti
• Strumenti didattici
• Modello di registro incidenti, checklist contrattuale fornitori, schema di politica aziendale NIS2

Docente

Daniele Gombi, pluriennale esperienza nella consulenza in data protection e data continuity. Dal 2018 opera come Data Protection Officer per numerose aziende, supportandole negli adeguamenti normativi e nella cybersecurity. Tiene corsi e seminari su privacy, sicurezza informatica e compliance alle principali norme di riferimento.

Quota di partecipazione

250,00 € + IVA az. associate Confindustria
300,00 € + IVA az. non associate Confindustria
250,00 € partecipante privato