Tel. 02-303-129-130 (dalle ore 10:00 alle 18:00 lun-ven) info@eurocorsi.it

La cybersecurity alla luce della Direttiva UE 2022/2555 (NIS2) e del D. Lgs. n. 138/2024

Durata del corso online: 1+4+4 ore.

Diretta del corso online:

– giovedì 27 febbraio 2025 – dalle 15,30 alle 16,30
giovedì 6 marzo 2025 – dalle 15,00 alle 19,00
– venerdì 14 marzo 2025 – dalle 15,00 alle 19,00

Al termine della visualizzazione (in diretta o replica) a tutti i partecipanti sarà rilasciato il relativo attestato di partecipazione
e il materiale didattico in formato digitale.

240,00 

Operazione senza applicazione dell’IVA, effettuata ai sensi dell’articolo 1, commi da 54 a 89, l.n. 190 del 2014 così come modificato
dalla l.n. 208 del 2015 e dalla L.n. 145 del 2018.

Prezzi a partecipanteN° Partecipanti
240,00 € a partecipante1
180,00 € a partecipante2 - 3
140,00 € a partecipante4 - 5
100,00 € a partecipante6 - 8
90,00 € a partecipante9 - 16
80,00 a partecipante17 - 32
Scarica la locandina stampabile in PDF
La cybersecurity alla luce della Direttiva UE 2022/2555 (NIS2) e del D. Lgs. n. 138/2024

Presentazione del corso online

Il corso ha lo scopo di analizzare la normativa prevista dalla Direttiva UE 2022/2555 e dal D. Lgs. 138/2024.

In particolare, si approfondirà il contenuto degli articoli della Direttiva e del suo decreto di recepimento nell’ambito dell’ordinamento nazionale al fine di comprenderne l'impatto sui soggetti che saranno obbligati ad adeguarsi alle nuove norme.

Inoltre, si illustrerà come i requisiti e i controlli della ISO/ IEC 27001:2022 devono essere integrati con gli adempimenti richiesti dalla normativa prevista dalla Direttiva NIS2.

I partecipanti acquisiranno le principali informazioni relative al campo di applicazione della Direttiva Europea NIS2 per una corretta applicazione della stessa ed allo scopo di adeguare nel miglior modo le proprie infrastrutture digitali.

    Programma del corso online in diretta

    Primo modulo 27 febbraio 2025 (1 ora – dalle ore 15:30 alle ore 16:30)

          • Aspetti pratici come la registrazione obbligatoria entro il 28 febbraio 2025

    Secondo modulo 6 marzo 2025 (4 ore – dalle ore 15:00 alle ore 19:00)

    • La Direttiva UE 2022/2555 (NIS2) ed il D. Lgs 138/2024 di recepimento di tale direttiva nel nostro ordinamento;
    • Individuazione dei soggetti destinatari della direttiva NIS2;
    • Analisi dei criteri per comprendere l’ambito di applicazione e la distinzione tra soggetti essenziali e importanti;
    • Il concetto di proprietà dell'autenticità;
    • Il concetto dell'analisi multirischio;
    • Il processo di registrazione entro il 28 febbraio 2025 sulla piattaforma NIS.Primo modulo 27 febbraio 2025 (4 ore – dalle ore 15:00 alle ore 19:00)

    Terzo modulo 14 marzo 2025 (4 ore – dalle ore 15:00 alle ore 19:00)

    • Approfondimento degli articoli del capo IV
    • Misure di gestione del rischio di cybersicurezza e obblighi di segnalazione
    • Le misure che impattano in modo diretto sulla singola organizzazione
    • L’art. 23 sulla gestione degli incidenti sulla sicurezza delle informazioni;
    • Analisi delle singole misure
    • Analisi puntuale e confronto tra gli articoli della NIS2 e i requisiti e controlli della ISO/IEC 27001:2022.

    Docenti:

    • Avv. Vincenzo Sparaco
    • Avv. Emmanuele Panza

    Corso in fase di accreditamento presso il Consiglio Nazionale Forense (i crediti formativi sono solo per avvocati, ma il corso è anche per chi non è avvocato).

    Destinatari del Corso

    Il corso è aperto a chiunque vi abbia interesse e in particolar modo:

    Le imprese che potrebbero essere interessate a studiare la direttiva NIS2 per adeguare i loro clienti alla normativa sono quelle che operano nei settori critici o che forniscono servizi digitali. In particolare, le seguenti categorie potrebbero essere coinvolte:

    Consulenza nel Settore delle Tecnologie dell’Informatica
    Le imprese di consulenza IT svolgono un ruolo centrale nell’implementazione della NIS2, poiché devono supportare i clienti nell’adeguamento alle misure di sicurezza obbligatorie. Secondo l’art. 21 del D.Lgs. 138/2024, i consulenti sono tenuti a garantire che le soluzioni proposte integrino:

    Valutazioni del rischio informatico;

    Politiche di gestione degli accessi;

    Piani di risposta agli incidenti.
    Questo codice include attività come l’audit di sicurezza, la progettazione di architetture resilienti e la formazione del personale, tutte fondamentali per la conformità alla direttiva. Ad esempio, un’azienda che fornisce servizi di penetration testing o redazione di policy anti-phishing rientra in questa categoria e deve internalizzare i requisiti NIS2 per offrire soluzioni valide.

    Gestione di Strutture Informatizzate
    La gestione di infrastrutture IT (come reti, server o sistemi cloud) è esplicitamente menzionata tra i servizi ICT B2B ad alta criticità.
    Le imprese che operano in questo ambito devono adottare:

    Protocolli di crittografia avanzata;

    Sistemi di monitoraggio continuo;

    Backup automatizzati conformi agli standard ISO 27001.
    Un esempio pratico è la gestione di data center per clienti nel settore sanitario o energetico, dove la conformità alla NIS2 diventa condizione necessaria per mantenere la continuità operativa.

    Elaborazione dei Dati, Hosting e Attività Connesse
    Questo gruppo comprende attività critiche per la cybersecurity, con obblighi specifici differenziati:

    – Gestione Database (Banche Dati)
    La gestione di database sensibili (es. dati sanitari, finanziari o industriali) richiede l’implementazione di:

    Controlli di integrità dei dati;

    Mecanismi di autenticazione a più fattori;

    Audit trail per tracciare accessi non autorizzati.
    Le imprese che offrono servizi di data warehousing per enti pubblici o aziende energetiche devono garantire la resilienza dei sistemi, conformemente all’Allegato I del D.Lgs. 138/20244.

    – Hosting e Fornitura di Servizi Applicativi (ASP)
    I provider di hosting e servizi cloud sono tra i soggetti essenziali della NIS2, obbligati a:

    Certificare la sicurezza fisica e logica dei data center;

    Implementare framework di sicurezza come NIST Cybersecurity Framework;

    Notificare incidenti alle autorità entro 24 ore.
    Un caso emblematico è la fornitura di ambienti SaaS per PMI: se la piattaforma gestisce dati critici, il fornitore deve adeguarsi agli standard NIS2 e assistere i clienti nel rispetto degli obblighi.

    Portali Web
    Sebbene i portali web non siano esplicitamente citati nella NIS2, quelli che operano in settori regolamentati (es. e-commerce per dispositivi medici o servizi finanziari) devono rispettare i requisiti di sicurezza se integrati in infrastrutture critiche. Ad esempio, un portale di vendita per il settore energetico potrebbe richiedere certificazioni ISO 22301 per la continuità operativa.

    Il NIS2 coinvolge una vasta gamma di professionisti e ruoti aziendali in Italia, soprattutto in settori critici (energia, trasporti, sanità, PA, ecc.). Ecco un elenco completo delle altre categorie interessate:

    1. Responsabili della Continuità Operativa (Business Continuity Manager)

    • Perché sono coinvolti: Il NIS2 richiede piani per garantire la continuità dei servizi essenziali anche durante incidenti cyber.
    • Esempio: Chi gestisce piani di ripristino (DRP) per infrastrutture energetiche o ospedaliere.

    2. Risk Manager e Responsabili della Gestione del Rischio

    • Perché sono coinvolti: Devono integrare i rischi cyber nei modelli di risk management, come richiesto dal NIS2.
    • Esempio: Valutazione del rischio per reti di trasporto pubblico o sistemi idrici.

    3. Responsabili delle Operations (COO/Operations Manager)

    • Perché sono coinvolti: Le operations in settori critici (es. logistica, energia) dipendono da infrastrutture IT/OT, che devono essere protette.
    • Esempio: Gestione di impianti industriali con sistemi SCADA/ICS.

    4. Responsabili Acquisti e Procurement

    • Perché sono coinvolti: Il NIS2 impone obblighi di due diligence sulla sicurezza di fornitori e partner della supply chain.
    • Esempio: Selezione di fornitori cloud o IoT per servizi critici.

    5. Responsabili HR e Formazione

    • Perché sono coinvolti: Il NIS2 richiede programmi di formazione obbligatori sulla cybersecurity per il personale.

    • Esempio: Corsi su phishing e protezione dati per dipendenti della PA o di aziende energetiche.

    6. Responsabili Marketing e Comunicazione

    • Perché sono coinvolti: In caso di incidenti cyber, devono gestire la comunicazione esterna (obbligo di trasparenza del NIS2).
    • Esempio: Comunicati stampa per violazioni che colpiscono servizi pubblici.

    7. Consulenti Legali Specializzati in Cybersecurity

    • Perché sono coinvolti: Devono interpretare il decreto di recepimento italiano del NIS2 e supportare nelle sanzioni/adempimenti.
    • Esempio: Supporto a società di trasporti per adeguare contratti a clausole NIS2.

    8. Responsabili della Sicurezza Fisica

    • Perché sono coinvolti: Il NIS2 include la protezione di infrastrutture ibride (fisiche/digitali), come data center o impianti energetici.
    • Esempio: Integrazione tra sistemi di controllo accessi fisici e cybersecurity.

    9. Professionisti OT/ICS (Operational Technology/Industrial Control Systems)

    • Perché sono coinvolti: Il NIS2 si applica a infrastrutture industriali (es. reti elettriche, acquedotti) gestite con sistemi OT/ICS.
    • Esempio: Ingegneri che lavorano su reti SCADA per impianti di depurazione.

    10. Responsabili della Qualità (Quality Manager)

    • Perché sono coinvolti: Devono integrare standard ISO 27001 o IEC 62443 con i requisiti NIS2.
    • Esempio: Allineamento di certificazioni ISO a obblighi di reportistica NIS2.

    11. Broker Assicurativi e Risk Advisor

    • Perché sono coinvolti: Il NIS2 influisce sulle polizze cyber insurance, richiedendo specifiche garanzie.
    • Esempio: Broker che strutturano coperture per aziende energetiche soggette a NIS2.

    12. Responsabili della Trasformazione Digitale

    • Perché sono coinvolti: Progetti di digitalizzazione (es. smart city, sanità digitale) devono rispettare i requisiti NIS2.
    • Esempio: Implementazione di reti 5G per servizi pubblici in conformità al NIS2.

    13. Ricercatori e Accademici in Cybersecurity

    • Perché sono coinvolti: Analizzano l’impatto del NIS2 e sviluppano tecnologie per l’adempimento.
    • Esempio: Università che collaborano con il DIS (Dipartimento Informazioni per la Sicurezza) su progetti NIS2.

    14. Fornitori di Servizi Cloud e MSP (Managed Service Provider)

    • Perché sono coinvolti: Devono garantire compliance NIS2 ai clienti in settori critici (es. PA, sanità).
    • Esempio: Azure/AWS per enti pubblici o MSP che gestiscono reti per aziende di trasporti.

    15. Sindacati e Rappresentanti dei Lavoratori

    • Perché sono coinvolti: Il NIS2 richiede formazione del personale, con implicazioni su accordi contrattuali.
    • Esempio: Negoziazione di corsi obbligatori per dipendenti di aziende municipalizzate.

    Mappa dei Settori Critici e Professionisti Coinvolti

    SettoreProfessionisti Rilevanti
    EnergiaRisk Manager, OT Specialist, Legal Advisor
    SanitàDPO, HR Manager, CISO
    TrasportiOperations Manager, Procurement Officer, Consulente Legale
    PAResponsabile Trasformazione Digitale, Comunicazione, Internal Audit
    Servizi DigitaliCloud Provider, MSP, Ricercatori Cybersecurity

    Settori e Categorie di Entità

    La NIS2 amplia il campo di applicazione rispetto alla precedente direttiva NIS, includendo:

    • Settori essenziali (altamente critici):
      • Energia (elettricità, gas, petrolio).
      • Trasporti (aereo, ferroviario, marittimo).
      • Servizi finanziari (banche, infrastrutture di mercato).
      • Sanità (ospedali, laboratori farmaceutici).
      • Acqua potabile e gestione rifiuti.
      • Infrastrutture digitali (DNS, cloud, TLC).
      • Amministrazione pubblica centrale/regionale.
      • Spazio (satelliti).
    • Settori importanti (critici):
      • Servizi postali.
      • Gestione rifiuti chimici.
      • Produzione industriale (alimentare, elettronica, medicale).
      • Servizi digitali (piattaforme online, motori di ricerca).
      • Istruzione e ricerca.

    2. Criteri di Inclusione

    • Dimensioni/organizzazione:
      • Settori essenziali: Grandi imprese ( 250 dipendenti o più di 250, o fatturato superiore a 50 milioni €, o bilancio superiore a 43 milioni € ).
      • Settori importanti: Medie imprese (50 dipendenti o più di 250, o  fatturato superiore 10 milioni €).
      • Eccezioni per micro/piccole imprese, salvo se operano in settori ad alto rischio (es. sanità).

    Inoltre, diversi enti pubblici devono adeguarsi alle nuove normative sulla cybersicurezza. Ecco le principali categorie di soggetti pubblici tenuti all’adeguamento:

    1. Amministrazioni centrali, come definite dal diritto nazionale italiano.

    2. Amministrazioni regionali che, in base a una valutazione del rischio, forniscono servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche.

    3. Amministrazioni locali, a discrezione dello Stato italiano.

    4. Istituti di istruzione, in particolare quelli che svolgono attività di ricerca considerate critiche.

    5. Soggetti che forniscono servizi di trasporto pubblico locale.

    6. Soggetti che svolgono attività di interesse culturale.

    7. Società in house, società partecipate e società a controllo pubblico, come definite nel D.lgs. 175/2016.

    È importante notare che sono esplicitamente esclusi dal campo di applicazione della NIS 2 alcuni settori pubblici specifici, tra cui:

    – Sicurezza nazionale
    – Pubblica sicurezza
    – Difesa
    – Contrasto, indagini, accertamento e perseguimento dei reati

     

    Secondo il decreto NIS2, anche le imprese associate o collegate a soggetti essenziali o importanti devono adeguarsi alla normativa, indipendentemente dalle loro dimensioni, se soddisfano almeno uno dei seguenti criteri:

    1. Adottano decisioni o esercitano un’influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica del soggetto essenziale o importante.
    2. Detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto essenziale o importante.
    3. Effettuano operazioni di sicurezza informatica per il soggetto essenziale o importante.
    4. Forniscono servizi TIC (Tecnologie dell’Informazione e della Comunicazione) o di sicurezza, anche gestiti, al soggetto essenziale o importante.

    È importante notare che si considerano collegate le società sulle quali un’altra esercita un’influenza notevole, definita come il possesso di almeno un quinto del capitale o dei voti in assemblea (o un decimo per le società quotate).

     

    Secondo l’Allegato IV del decreto di recepimento della direttiva NIS2 in Italia, le ulteriori tipologie di enti interessati, indipendentemente dalle loro dimensioni, sono:

    1. Soggetti che forniscono servizi di trasporto pubblico locale
    2. Istituti di istruzione che svolgono attività di ricerca
    3. Soggetti che svolgono attività di interesse culturale
    4. Società in house, società partecipate e società a controllo pubblico, come definite dal decreto legislativo 19 agosto 2016, n. 175

    Questi soggetti sono stati aggiunti specificamente dall’Italia, ampliando il campo di applicazione rispetto a quanto previsto originariamente dalla direttiva europea NIS2. È importante notare che per queste categorie non si applica il requisito dimensionale, quindi devono adeguarsi alla normativa indipendentemente dal numero di dipendenti o dal fatturato.

    Curriculum Vitae dei Docenti

    Avvoccato Vincenzo Sparaco

    Curriculum vitae et studiorum

    L’avv. Vincenzo Sparaco si è laureato in giurisprudenza presso l’Università degli Studi di Pavia con una tesi in diritto commerciale dal titolo “La responsabilità degli amministratori verso i creditori sociali nelle società di capitali“.

    Ha svolto la pratica professionale con un importante studio legale, svolgendo principalmente la propria attività nell’ambito del diritto civile, del diritto del lavoro, del diritto commerciale e del diritto fallimentare.
    E’ iscritto all’Ordine degli Avvocati di Pavia.

    Si occupa principalmente di diritto civile, diritto del lavoro e diritto commerciale, in quest’ultima materia anche con riferimento agli aspetti penalistici.

    Nel 2017 ha ulteriormente approfondito la materia del diritto del lavoro frequentando il “Corso di Perfezionamento in diritto del lavoro”, organizzato dall’Università degli studi di Pavia, direttrice Prof.ssa Mariella Magnani.

    Negli ultimi anni ha avuto modo di approfondire il diritto sportivo, svolgendo attività di consulenza stragiudiziale in favore di associazioni e società sportive dilettantistiche, occupandosi soprattutto delle problematiche attinenti il lavoro sportivo dilettantistico.

    Nel 2015 ha frequentato il “Corso di perfezionamento in diritto sportivo e giustizia sportiva”, organizzato dall’Università degli Studi di Milano, direttore Prof. Lucio Colantuoni.
    E’ membro dell’Associazione Italiana Avvocati dello Sport.

    Dal 2009 fa parte del Consiglio Direttivo del Circolo della Vela Ispra A.S.D. ed attualmente ricopre la carica di Presidente.

    avvocato Emmanuele Panza

    Curriculum vitae et studiorum

    L’avvocato Emmanuele M. Panza si è laureato in giurisprudenza presso l’Università degli Studi dell’Insubria con una tesi interdisciplinare in diritto processuale civile e informatica giuridica dal titolo “Il diritto alla privacy e la sua tutela giurisdizionale: dalla direttiva europea sui cookies ai provvedimenti del Garante“.

    Ha conseguito un master in tema di legalità, anticorruzione e trasparenza nella pubblica amministrazione organizzato da Upel Varese.

    La pratica professionale è stata svolta presso uno studio legale con sede a Varese e a Milano, con il quale ancora collabora soprattutto in qualità di privacy-officer.

    E’ iscritto all’Ordine degli Avvocati di Varese.

    Negli ultimi anni ha avuto modo di approfondire il diritto sportivo, svolgendo attività di consulenza stragiudiziale in favore di associazioni e società sportive dilettantistiche, occupandosi soprattutto della conformità privacy di alcune società sportive dilettantistiche locali.

    Nel 2018 ha frequentato e superato il corso per Data Protection Officer.

    E’ membro dell’Associazione Italiana Avvocati dello Sport.

    Svolge attività di consulenza ed assistenza a società ed associazioni in materia di privacy e sicurezza informatica.

    Repliche del Corso Online

    Chi non avesse modo di partecipare all’appuntamento in diretta (con la libertà di porre domande in chat), potrà visionare la replica online già 2 ore dopo l’evento e potrà fare domande al docente via email o telefoniche.

    Pagamenti accettati

    Offriamo diverse modalità di pagamento per rendere il processo il più conveniente e flessibile possibile per i nostri clienti:

    • Bonifico bancario
    • Carte di credito (Visa, Mastercard, American Express, Discover)
    • PayPal
    • Klarna (con opzione di pagamento in 3 rate o a 30 giorni, senza interessi)
    • Apple Pay
    • Google Pay


    Se scegliete di pagare tramite bonifico bancario, vi preghiamo di notare che l’accesso al corso online sarà fornito dopo la ricezione del pagamento o all’invio della conferma di avvenuto bonifico. Per garantire una transizione senza intoppi, vi consigliamo di inviarci la contabile del bonifico una volta effettuato il pagamento.

    Siamo qui per assistervi durante il processo di pagamento e rispondere a qualsiasi domanda abbiate riguardo alle opzioni disponibili.

    Tempi e Modalità di Iscrizione

    Gli studenti, professionisti e imprese interessati a partecipare ai nostri corsi possono effettuare l’iscrizione in qualsiasi momento.

    Per coloro che desiderano partecipare ai corsi online in diretta, è consigliabile completare l’iscrizione entro 24 ore dall’inizio del corso. Nel caso di pagamento tramite bonifico bancario, si raccomanda di inviare la relativa contabile via e-mail per garantire una registrazione tempestiva.

    Tuttavia, è possibile iscriversi fino a 15 minuti prima dell’inizio del corso in diretta, nonché fino a 15 minuti dopo l’inizio dello stesso. Ci impegniamo a offrire la massima flessibilità ai nostri clienti, consentendo loro di iscriversi con totale libertà.

    Ricordiamo inoltre che due ore dopo la conclusione del corso in diretta, invieremo a tutti i partecipanti un link per accedere alla replica del corso online. In questo modo, anche coloro che non hanno potuto partecipare alla diretta potranno beneficiare dei contenuti del corso.

    Siamo qui per rispondere a qualsiasi domanda o assistervi durante il processo di iscrizione. Non esitate a contattarci per ulteriori informazioni o chiarimenti.

    TEMPISTICHE E CREDITI FORMATIVI PER UN CORSO ONLINE IN ACCREDITAMENTO PRESSO IL CNF

    Di norma, EUROCORSI richiede l’accreditamento dei corsi presso il Consiglio Nazionale Forense (CNF) e non presso l’ordine degli avvocati dell’insegnante. Come previsto dal REGOLAMENTO 16 luglio 2014, n. 6 del CONSIGLIO NAZIONALE FORENSE, la richiesta di accreditamento del corso online è stata presentata al CNF. Tuttavia, la Commissione centrale, i COA (Consigli dell’Ordine degli Avvocati) o le Commissioni locali hanno 45 giorni di tempo dalla ricezione della richiesta per pronunciarsi sulla domanda di accreditamento con una decisione motivata. Pertanto, è necessario attendere circa due mesi per ottenere l’attestato firmato digitalmente dal responsabile di EUROCORSI, Matteo Raggi, sia per gli avvocati che per i tirocinanti con patrocinio.

    Inoltre, secondo lo stesso regolamento (artt. 20 e 21), è il Consiglio Nazionale Forense, insieme agli eventuali Ordini degli Avvocati, che determina, in base alle rispettive competenze, il numero di crediti formativi riconosciuti per la partecipazione a ogni specifica attività formativa.

    Fonte: REGOLAMENTO 16 luglio 2014, n. 6 del CONSIGLIO NAZIONALE FORENSE