Home Blog Pagina 54

L’Agenzia per la Cybersicurezza Nazionale presenta le “Linee guida NIS – Specifiche di base: Guida alla lettura”

Un supporto operativo e concreto per l’attuazione della nuova disciplina NIS, verso una maggiore resilienza digitale sistemica

In armonia con le strategie europee di resilienza cibernetica previste dalla Direttiva NIS, il decreto Legislativo 4 settembre 2024, n. 138 (decreto NIS) mira a garantire un livello elevato di sicurezza informatica delle Pubbliche Amministrazioni e del sistema produttivo nazionale, rappresentando un passo fondamentale per rendere il sistema-Paese più resiliente, maturo e preparato, in una fase in cui la minaccia cyber rappresenta una sfida prioritaria per tutti i settori critici.


In questo quadro, si inseriscono le “Linee guida NIS – Specifiche di base – Guida alla lettura” che illustrano gli allegati tecnici alla Determina n. 164179/2025 (misure di sicurezza da adottare e tipologie di incidenti significativi da notificare), adottate da ACN con l’obiettivo di supportare i soggetti NIS essenziali e importanti, nella loro attuazione.

Redatto con un approccio divulgativo, il testo accompagna il lettore nella comprensione e interpretazione delle Specifiche di base, evidenziandone le caratteristiche peculiari, e rappresenta  un utile riferimento per i soggetti NIS, chiamati a garantire la conformità agli articoli 23, 24 e 25 del decreto NIS: apre un link esterno.

 Il documento contiene, oltre all’introduzione, due capitoli relativi rispettivamente alle Misure di sicurezza di base e agli Incidenti significativi di base.

Il primo fornisce un quadro generale delle misure di sicurezza e della loro struttura, presenta l’approccio basato sul rischio secondo il quale sono state sviluppate, esamina le tipologie di requisiti ed elenca le principali evidenze documentali richieste, mentre il secondo illustra le fattispecie che costituiscono gli incidenti significativi e i concetti di evidenza dell’incidente e di abuso dei privilegi concessi.

A completamento, sono presenti le seguenti quattro appendici contenenti:

a) la mappatura tra le misure di sicurezza e gli elementi di cui all’articolo 24, comma 2, del decreto NIS;

b) l’elenco dei requisiti per i quali sono previste le clausole relative all’approccio basato sul rischio;

c) l’elenco dei documenti che devono essere approvati dagli organi di amministrazione e direttivi; d) un glossario con le definizioni dei termini peculiari che ricorrono nelle specifiche di base.

Il documento è consultabile e scaricabile nella sezione dedicata alla normativa NIS del portale istituzionale.
 

Linee guida NIS – Specifiche di base – Guida alla lettura – PDF

Fonte: ACN

Ad Arezzo la situazione sulla sicurezza nel comparto orafo

All’incontro in prefettura ha partecipato il sottosegretario Prisco

Il sottosegretario all’Interno Emanuele Prisco ha partecipato, ieri in prefettura ad Arezzo, a un incontro con i rappresentanti della Consulta orafa, alla presenza del prefetto Clemente Di Nuzzo, del questore e dei vertici provinciali di Carabinieri e Guardia di Finanza.

La riunione è stata dedicata alla sicurezza delle aziende del comparto orafo aretino. È stato evidenziato come le misure adottate, unite alla collaborazione con le associazioni di categoria, abbiano consentito nell’ultimo anno di innalzare i livelli di protezione del settore, anche alla luce degli impegni assunti dal ministro dell’Interno Matteo Piantedosi in occasione della manifestazione OroArezzo.

Prisco ha ringraziato le Forze dell’ordine per i risultati raggiunti e ha sottolineato il valore della sinergia tra istituzioni e imprese come modello efficace per garantire standard sempre più elevati di sicurezza.

Fonte: Ministero dell’Interno

Assenze dei dipendenti, stop del Garante della privacy alla divulgazione dei motivi mediante bacheca aziendale

Stop del Garante Privacy alla prassi aziendale di divulgazione dei dati personali relativi ai motivi dell’ assenza dal lavoro del proprio personale tramite bacheche e email interne.

Le informazioni relative alle assenze venivano rese conoscibili non solo ai responsabili della gestione del personale, ma a tutto il personale, mediante affissione delle tabelle dei turni di servizio sulle bacheche aziendali, posizionate presso i depositi aziendali, nonché tramite l’invio di una e-mail ai dipendenti dell’azienda. Le motivazioni venivano indicate mediante sigle sintetiche (“MAL” in luogo di malattia, “104” in luogo di “permesso assistenza disabili, l. n. 104/1992”, “SOSP” in luogo di sospensione/sanzione disciplinare, ecc.)

L’ iter, sfociato nell’adozione del provvedimento n. 363/2025, trae origine dal reclamo del sindacato che ha segnalato l’ illecito trattamento. La società, interpellata dall’ Autorità con una richiesta di chiarimenti, ha fornito diverse argomentazioni a sua difesa.

In primo luogo, ad essere richiamato l’art. 10 della legge n. 138/1958, che prevede l’obbligo di affissione dei turni di servizio in modo che il personale ne possa prendere conoscenza. Secondo la società, la prassi di pubblicare i turni, con l’uso di sigle e acronimi, sarebbe stato funzionale a garantire trasparenza e a mostrare che non vi erano trattamenti di favore nella turnazione, oltre a tornare utile nella gestione dei rapporti tra colleghi evitando possibili conflitti.

Il Garante, pur prendendo atto della scelta da parte dell’azienda di modificare la prassi, ha applicato una sanzione amministrativa pecuniaria pari a 10.000 euro.

Nel provvedimento l’ Autorità ricorda che la normativa sulla protezione dei dati personali ammette che il datore di lavoro tratti i dati dei propri dipendenti, compresi quelli appartenenti alle categorie particolari – come i dati sulla salute o sull’appartenenza sindacale – ma solo se ciò risulta strettamente necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi previsti da leggi, regolamenti, normative comunitarie o contratti collettivi (art. 6, parag. 1, lett. c) , art. 9, parag. 2, lett. b) e 4 ; 8 del Regolamento).

In ogni caso, il datore di lavoro, in qualità di titolare del trattamento, deve sempre attenersi ai principi fondamentali fissati dal Reg. ( UE) 2016/679, tra cui la liceità, correttezza e trasparenza e soprattutto la minimizzazione, che impone di limitare il trattamento ai soli dati adeguati, pertinenti e realmente necessari rispetto alle finalità perseguite ( art. 5, par. 1, lett. a) e c) ).

Nel caso oggetto del provvedimento, la minimizzazione del trattamento non è stata rispettata in quanto le informazioni sono state rese liberamente conoscibili a tutti i dipendenti, ben oltre i soggetti legittimati a trattarle, configurando così una “ comunicazione illecita “ di dati personali ai sensi dell’ art. 2, comma 4, del Codice.

I dati personali dei dipendenti, infatti, non possono essere resi conoscibili a soggetti diversi da quelli che fanno parte del rapporto contrattuale. Allo stesso modo, non possono essere trattati da chi, pur operando all’interno dell’impresa, non è autorizzato ad accedere a tali informazioni in ragione delle mansioni svolte.

Fonte: Garante PrivacyLavorosi.it

Scarica il provvedimento 363/2025

ICMQ: La matrice dei rischi e il risk management per la progettazione e la gestione delle commesse così come richiesto negli appalti pubblici e privati (nuovo Codice D.lgs 36/2023). 7 Ottobre 2025

La matrice dei rischi e il risk management per la progettazione e la gestione delle commesse così come richiesto negli appalti pubblici e privati (nuovo Codice D.lgs 36/2023)

Il corso di 8 ore si terrà in modalità online il 7 ottobre dalle ore 9.00 alle ore 18.00.

L’analisi dei rischi è fondamentale per approcciare a qualunque progetto. La matrice dei rischi è sempre più richiesta dalle Stazioni Appaltanti pubbliche quali il Politecnico di Milano, l’Università di Perugia, etc. come documento d’offerta in sede di gara con il criterio dell’offerte economicamente più vantaggiosa, unitamente ai concetti di rischio negativo e di rischio positivo/opportunità.

Il successo di un progetto dipende infatti dalla oggettiva e sapiente gestione di più variabili, fra cui i rischi da prevedere e gestire. In tutti i progetti ormai, è fondamentale poter disporre della capacità di individuare i rischi connessi al progetto stesso e, più in generale, all’intervento in atto, in modo da poter mitigare e comunque gestire i rischi medesimi; per il vero occorre osservare che il rischio, se ben gestito, può diventare un’opportunità (opportunità in quanto l’aver saputo gestire i rischi di un progetto/intervento porta ad essere concorrenziale sia dalla fase di offerta rispetto a chi non ha saputo gestire il rischio).

Il Corso di 8 ore, suddiviso in due moduli, si rivolge a liberi professionisti, società di ingegneria, imprenditori, dirigenti pubblici e privati che intendono acquisire una nuova opportunità professionale nel campo della progettazione, nella gestione delle commesse, allo scopo di mitigare i rischi e di poterli trasformare in opportunità. Saranno esposti casi reali di risk management in cui il relatore è stato consulente.

Obiettivo generale del Corso di Risk Analysis e Risk Management, è la formazione di una figura professionale capace di ridurre il rischio di derive del progetto attraverso una tempestiva analisi dei rischi applicata all’attività progettuale e gestionale delle commesse di opere sia pubbliche che private. La formazione di tale figura professionale è la risposta alla richiesta del mercato del lavoro di figure più ricche di competenze tecnico-manageriali, in grado di individuare e valutare i rischi, nonché di sviluppare strategie per governare gli stessi nelle diverse fasi tecniche, economiche, finanziarie e amministrative del progetto. Il corso terrà conto della Norma UNI ISO 31000/2018.

Obiettivo specifico del Corso di Risk Analysis e Risk Management è la formazione di un nuovo professionista capace di inserirsi nelle fasi tecniche e gestionali del progetto e della commessa, in grado di identificare potenziali rischi e poterne mitigare i più pericolosi, trasformandoli, ove possibile, in un’opportunità, ma soprattutto ottimizzare attraverso queste analisi, le risorse per un miglior rendimento del progetto e dell’intero processo costruttivo.
Una figura professionale, quindi, con un taglio fortemente polivalente, tale da consentirle di comprendere accanto ai problemi della progettazione, della programmazione e della gestione, il loro impatto in termini di rischi tecnici, economici, finanziari e sociali. Tutto ciò permetterà di approcciare complessi processi progettuali, costruttivi, industriali, con particolare attenzione alle criticità realizzative, nonché anche per evitare possibili conflitti di interesse.

Le procedure, le metodologie e le tecniche di Risk Management apprese fanno sì che il partecipante possa gestire al meglio le attività progettuali e tutti i processi necessari per la realizzazione di un progetto/commessa o di un bene immobiliare o industriale. Il Risk Manager è in grado così di agire nell’ambito degli obiettivi prescelti e strategici, al fine di garantire il controllo della realizzazione del progetto e della migliore gestione della commessa.

Il Risk Management attiene alla metodologia finalizzata ad un’efficace individuazione e analisi dei potenziali rischi in cui si può incorrere durante la progettazione e/o la gestione delle commesse, per poter limitare dunque l’esposizione ai rischi medesimi.

La Risk Analysis permetterà oltre alla valutazione dei rischi anche la classificazione dei medesimi in base alla loro possibile gravità e frequenza, in modo da individuare la migliore politica per ottimizzare la loro gestione, e, ciò in linea con le possibilità e le capacità finanziarie disponibili; nonché la definizione delle misure di eliminazione o prevenzione dei rischi individuati in coordinamento con i tecnici coinvolti nel progetto/commessa e nella verifica dei risultati e in relazione al controllo nel tempo.

Informazioni e iscrizioni a questo link.

1...535455...863Pagina 54 di 863