Blind Spot: il Rischio Nascosto nella Supply Chain

Quota di partecipazione
La quota di partecipazione al corso è di € 450,00 + IVA

Modulo 1: Il Doppio Binario Normativo - NIS 2 e GDPR

Focus: Allineare i requisiti di sicurezza informatica e protezione dei dati.
I. La sicurezza della catena di approvvigionamento come misura obbligatoria di gestione del rischio
II. Articolo 28 del GDPR: La responsabilità del Titolare nella scelta del Responsabile del Trattamento (Data Processor)
III. Punti di convergenza: Come la vulnerabilità di un fornitore diventa una sanzione per l'azienda cliente
IV. Oltre i fornitori IT: Identificare i fornitori critici di servizi logistici, utility, manutenzione e consulenza

Modulo 2: Mappare l'Invisibile - Identificare i "Blind Spots"

Focus: Analisi delle dipendenze e della profondità della catena.
I. Chi sono i fornitori dei tuoi fornitori? Il rischio di concentrazione
II. Software Supply Chain: Vulnerabilità nel codice, librerie open source e l'importanza della SBOM (Software Bill of Materials)
III. Shadow IT e Cloud: i servizi acquistati fuori dal controllo del dipartimento IT
IV. Esercitazione: Classificazione fornitori in base alla criticità (Matrice di Rischio)

Modulo 3: Due Diligence e Governance Operativa

Focus: Valutare i fornitori prima e durante il rapporto contrattuale.
I. Il processo di Onboarding: Questionari di valutazione (Security Assessment) vs. evidenze oggettive (certificazioni SOC2, ISO 27001, rating cyber)
II. Audit e Ispezioni: Esercitare il diritto di verifica previsto dall'Art. 28 GDPR e richiesto dalla NIS 2
III. KPI di Sicurezza: Definire Service Level Agreements (SLA) specifici per la cybersecurity e la notifica degli incidenti
IV. Continuous Monitoring: Perché la valutazione "una tantum" non è più sufficiente nell’era della NIS 2

Modulo 4: Difesa Contrattuale e Gestione dell'Incidente

Focus: Proteggersi legalmente e reagire in modo coordinato
I. Redazione delle clausole cyber: Come aggiornare i contratti per includere gli obblighi di notifica rapida (24h/72h)
II. Allocation of Liability: Gestione delle manleve e limitazioni di responsabilità in caso di data breach del fornitore
III. Incident Response Collaborativo: Definire canali di comunicazione sicuri e procedure di escalation con il fornitore
IV. Exit Strategy: Come gestire la terminazione di un contratto con un fornitore critico garantendo la portabilità dei dati e la sicurezza