Corso NIS2 per imprese soggette

Dalla normativa alla maturità operativa

Destinatari

Il corso si rivolge a CEO, CISO, CIO, IT Manager.

Finalità

Al termine del corso, i partecipanti avranno una visione chiara di cosa significhi governare la sicurezza in un contesto NIS2: comprenderanno come le minacce si traducono in effetti economici e organizzativi, come distribuire responsabilità e poteri decisionali, come impostare un piano breve per le scadenze e un programma a medio periodo che tenga insieme persone, processi e tecnologie. Sapranno misurare l’avanzamento con pochi indicatori leggibili dalla Direzione, valorizzare i fornitori strategici senza caricarli di burocrazia inutile e organizzare un riesame periodico che conduca a decisioni concrete e tracciabili.

Contenuti

Modulo 1 — Scenario e responsabilità di governo (4 ore)
Partiamo dal contesto: minacce, frequenza degli incidenti, tempi di fermo e impatti tangibili su produzione, servizi e reputazione. L’obiettivo non è spaventare, ma mettere ordine: comprendere dove si generano i danni e come le scelte della Direzione possano ridurre l’esposizione. Introduciamo quindi NIS2 in modo lineare: chi rientra, cosa è richiesto, quali responsabilità ricadono su chi decide. Da qui, una prima mappa delle funzioni coinvolte (Direzione, CISO, CIO/IT, DPO, referente verso le autorità) e del perimetro decisionale: quali priorità fissare, quali livelli di tolleranza al rischio accettare, come tradurre il principio di “adeguato e proporzionato” in scelte pratiche per una realtà manifatturiera o di servizi.

Modulo 2 — Organizzazione, responsabilità e controllo (4 ore)
Nel secondo incontro si dà sostanza alla macchina di governo. Il Comitato sicurezza viene definito per mandato, composizione e frequenza, chiarendo come dialoga con la Direzione e con eventuale audit interno. Si affronta il tema delle politiche in modo essenziale: non serve un’enciclopedia, serve coerenza tra regole, approvazioni e verifiche. Tocchiamo la segnalazione degli incidenti dal punto di vista organizzativo: chi apre i canali, con quali tempistiche, come si mantiene la tracciabilità, come si coordina la comunicazione. Infine, la filiera: quali requisiti minimi chiedere ai fornitori critici, come inserirli nei contratti e come controllare in modo proporzionato, salvaguardando la continuità del servizio senza burocratizzare il rapporto.

Modulo 3 — Il percorso di maturità (4 ore)
Il terzo modulo traduce l’adempimento in programma. Si ordinano le aree di maturità, governo, identificazione dei rischi, protezione, rilevazione, risposta e ripristino e si stabilisce un cammino realistico in tre orizzonti: il primo anno per consolidare igiene e responsabilità; il secondo per stabilizzare monitoraggio, test periodici e gestione della continuità; il terzo per affinare con lezioni apprese, automazioni e verifica sistematica della catena di fornitura. L’attenzione è sul nesso con budget e obiettivi: un programma di sicurezza che non parla la lingua industriale non dura. Per questo, ogni milestone è pensata per portare un risultato verificabile e per integrarsi con il ciclo di pianificazione aziendale.

Modulo 4 — Misurare, comunicare, migliorare (4 ore)
L’ultimo modulo mette nelle mani della Direzione un cruscotto comprensibile, fatto di pochi indicatori davvero utili: stato di attuazione delle decisioni, esito delle esercitazioni, tempi di ripristino, stato dei fornitori critici e della formazione ai ruoli. Si definisce il riesame periodico: come prepararlo, come verbalizzare le decisioni e come responsabilizzare l’attuazione. In chiusura, affrontiamo la comunicazione di crisi: coordinamento tra Direzione, legale, comunicazione, IT e funzioni operative. Una breve simulazione “da tavolo” consente di sperimentare le dinamiche senza tecnicismi, mettendo a fuoco i passaggi chiave e le lezioni apprese.
 

Docenti

Sandro Sana
si occupa di Information Technology dal 1990 e, dal 2014, si occupa in modo specifico di cybersecurity. Nel corso della sua carriera ha affiancato PMI, grandi imprese e Pubblica Amministrazione, unendo competenze tecniche e sensibilità per la comunicazione e la formazione. CISO & Head of Cybersecurity, Ethical Hacker ed esperto di Intelligenza Artificiale, è membro del Comitato Scientifico del competence center nazionale Cyber 4.0. La sua attività di divulgatore lo vede autore di oltre 150 articoli per Red Hot Cyber, Cybersecurity360 e il network Digital360, SocialNews e La Nuova Gazzetta Piemontese; con l’obiettivo di rendere accessibili a tutti i temi della sicurezza digitale e dell’innovazione responsabile. È direttore e voce del Red Hot Cyber Podcast, spazio di approfondimento settimanale disponibile su Spotify, YouTube e sui canali RHC, dedicato a notizie, analisi e cultura della sicurezza. È anche parte del Dark Lab di Red Hot Cyber, il team che segue minacce e tendenze del cyber