Master in Cybersecurity e compliance integrata

I sessione
Giovedì 16 ottobre 2025, 14.30 - 17.30
Introduzione alla cybersicurezza e al quadro normativo europeo
Docente: Michele Iaselli

PARTE 1: Concetti base e strategia europea per la cybersicurezza

1.    Concetti fondamentali di cybersicurezza

• Differenza tra sicurezza informatica e cybersicurezza 

• Principali minacce: malware, ransomware, attacchi DDoS, supply chain attacks

• Evoluzione degli attori malevoli: cybercriminalità, gruppi statali, hacktivisti

• Il ruolo dell’IA come fattore di rischio e di protezione nella cybersicurezza

2.    Contesto geopolitico e scenari globali

• L’inquadramento geopolitico e le minacce ibride

• Documenti internazionali: strategia NATO, G7, OCSE

3.    Strategia europea di cybersicurezza

• Dal 2013 al 2020: evoluzione dei piani europei

• Strategia UE 2020 “EU Cybersecurity Strategy for the Digital Decade”

• Obiettivi: resilienza collettiva, capacità operativa, cybersicurezza per tutti

• La strategia dell’UE sull’IA

4.    Governance e attori istituzionali dell’UE

• ENISA (European Union Agency for Cybersecurity): missione, funzioni, supporto operativo

• Network CSIRT e cooperazione tra Stati membri

• Coordinamento con la Commissione Europea, CERT-EU e Centro europeo per la cybersicurezza industriale

PARTE 2: Architettura normativa europea e regolamenti principali

1.    Architettura normativa dell’UE

• Differenze tra direttive e regolamenti

• La gerarchia normativa dell’UE

• Principio di armonizzazione minima e massima

2.    Cybersecurity Act (Reg. UE 2019/881)

• Certificazione europea della cybersicurezza: obiettivi, livelli di garanzia

• Ruolo di ENISA nella gestione dei regimi di certificazione

• Schemi volontari e obblighi per gli Stati membri

3.    Introduzione al Cyber Resilience Act (Reg. UE 2024/2847)

• Obblighi per i produttori di dispositivi digitali (IoT, software, hardware)

• Requisiti di sicurezza by design e by default

4.    La Direttiva CER (Critical Entities Resilience Directive) e l’adeguamento nazionale

• Resilienza fisica e logica di entità essenziali

• Collegamento con la NIS 2 e approccio integrato alla sicurezza

II sessione
Giovedì 23 ottobre 2025, 14.30 - 17.30
Direttiva NIS 2: struttura, obiettivi, ambito applicativo
Docente: Francesco Capparelli

PARTE 1: Origine, struttura e finalità della NIS 2

1.    Origine e motivazione della NIS 2

• Limiti emersi nell’attuazione della NIS 1 (Direttiva 2016/1148)

• Aumento delle minacce e necessità di armonizzazione rafforzata

• Processo legislativo europeo: proposta della Commissione, iter di approvazione

2.    Finalità della NIS 2

• Aumentare il livello di cybersicurezza nell’UE

• Estendere il perimetro soggettivo e rafforzare la resilienza operativa

• Migliorare la cooperazione tra Stati membri

3.    Struttura della direttiva

• Capo I – Oggetto e ambito

• Capo II – Misure di gestione del rischio

• Capo III – Obblighi di notifica

• Capo IV – Vigilanza, enforcement, sanzioni

• Allegati I e II – Settori e soggetti obbligati

4.    Innovazioni principali rispetto alla NIS 1

• Estensione dell’ambito soggettivo a nuove categorie di soggetti

• Introduzione di misure minime armonizzate

• Rafforzamento della governance e dei poteri sanzionatori

• Obblighi più rigorosi di notifica e gestione incidenti

• L’utilizzo dell’IA sia utilizzata nei settori NIS (es. sanità, energia, trasporti) e le implicazioni in termini di sicurezza

PARTE 2: Entità soggette alla NIS 2 e criteri di identificazione

1.    Categorie di entità obbligate

• Entità essenziali (art. 5 e Allegato I): energia, trasporti, sanità, acqua, finanza, spazio, infrastrutture digitali, PA centrale

• Entità importanti (art. 5 e Allegato II): e-commerce, provider cloud, datacenter, comunicazioni elettroniche, PA locale

2.    Criteri dimensionali e soglie

• Regola generale: aziende con oltre 50 dipendenti o 10 milioni di € di fatturato

• Esenzioni e inclusioni per entità strategiche anche se sotto soglia

3.    Differenze tra obblighi per entità essenziali e importanti

• Medesimi obblighi tecnici

• Differenze in materia di vigilanza (ex ante per essenziali, ex post per importanti)

4.    Obbligo di identificazione e comunicazione

• Comunicazione alla autorità competente (ACN in Italia)

• Termini, contenuti minimi e modalità

• Conseguenze dell’omissione o ritardo nella comunicazione

III sessione
Giovedì 30 ottobre 2025, 14.30 - 17.30
Decreto legislativo 138/2024 e atti attuativi ACN
Docenti: Giulia Finocchiaro e Daniel Amodeo

PARTE 1: Quadro generale del D.lgs. 138/2024

1.    Struttura e finalità del decreto

• Articolazione in sei Capi: ambito, obblighi, vigilanza, sanzioni

• Finalità di armonizzazione con la NIS 2

• Definizioni rilevanti e terminologia tecnica

2.    Obblighi generali e specifici per le entità

• Adozione di misure tecniche e organizzative adeguate

• Governance della sicurezza, nomina dei referenti

• Continuità operativa, gestione incidenti, formazione

3.    Obbligo di identificazione

• Procedura di comunicazione all’ACN (art. 4)

• Tempi e contenuti della notifica

• Differenziazione tra entità essenziali e importanti

4.    Ruolo e poteri dell’ACN

• Funzione di autorità nazionale competente

• Poteri di vigilanza, ispezione, indagine

• Rapporti con l’ENISA e la rete CSIRT

PARTE 2: Atti attuativi ACN e misure tecniche

1.    Determinazione ACN del 2025 (prot. 164179)

• Analisi degli allegati tecnici
- Allegato 2: misure minime obbligatorie
- Allegato 3: criteri di classificazione dei soggetti
- Allegato 4: criteri per la notifica degli incidenti

2.    Misure minime di sicurezza (Allegato 2)

• Politiche di sicurezza ICT

• Analisi del rischio e gestione della supply chain

• I sistemi IA come asset critici ai fini della valutazione del rischio

• Piani di continuità e test periodici

3.    Notifica degli incidenti di sicurezza

• Criteri di significatività (art. 2 comma 2 e Allegato 4)

• Obbligo di notifica entro 24 ore all’ACN

• Notifica completa entro 72 ore e relazione finale in 1 mese

4.    Regime sanzionatorio

• Sanzioni amministrative fino a 10 milioni € o 2% del fatturato

• Criteri di proporzionalità

• Distinzione tra entità essenziali e importanti

5.    Ulteriori Determinazioni dell’ACN
 

IV sessione
Giovedì 6 novembre 2025, 14.30 - 17.30
Il Perimetro di sicurezza nazionale e la Legge 90/2024
Docente: Francesco Capparelli

1.    Finalità e contesto della Legge 90/2024

• Estensione della resilienza cyber a entità non coperte da NIS 2 o Perimetro

• Rafforzamento del sistema nazionale di cybersicurezza

2.    Soggetti interessati

• Enti strategici locali e regionali

• Infrastrutture critiche non ricomprese nei precedenti elenchi

• Settori emergenti (es. IA, comunicazioni satellitari)

3.    Linee guida ACN sul rafforzamento della resilienza

• Obiettivi minimi di sicurezza

• Metodologie per l’identificazione dei rischi

• I sistemi digitali complessi, inclusi quelli IA

• Piani di risposta e ripristino

4.    Coordinamento con la NIS 2

• Interoperabilità dei registri soggetti

• Allineamento delle misure minime

• Sinergia tra audit ACN e monitoraggi del Perimetro

V sessione
Giovedì 13 novembre 2025, 14.30 - 17.30
Obblighi operativi: misure tecniche, notifiche, audit
Docente: Maria Rosaria De Ligio

PARTE 1: Misure tecniche, gestione del rischio e supply chain

1.    Misure tecniche e organizzative adeguate (D.lgs. 138/2024)

• Requisiti minimi di sicurezza

• Integrazione con ISO/IEC 27001, NIST CSF, Controlli CIS

• Adozione di un ISMS (Information Security Management System)

2.    Analisi del rischio

• Valutazione della probabilità e dell’impatto

• Trattamento e mitigazione dei rischi

• Documentazione della gestione del rischio e aggiornamento periodico

• Le minacce e vulnerabilità specifiche dei sistemi IA

3.    Gestione della supply chain

• Mappatura della catena di fornitura ICT

• Clausole contrattuali di sicurezza

• Verifica dell’affidabilità dei fornitori

• Requisiti di due diligence nei contratti

4.    Obblighi documentali

• Politiche di sicurezza, piani di continuità, log di eventi

• Prove della formazione del personale

• Registro delle attività e degli incidenti

PARTE 2: Incidenti, notifiche, audit e vigilanza

1.    Obblighi di notifica degli incidenti

• Definizione di “incidente significativo”

• Obbligo di notifica preliminare entro 24 ore

• Notifica completa entro 72 ore e relazione finale entro un mese

• Canali di notifica e rapporti con il CSIRT

2.    Notifica di violazioni dati personali

• Quando sussiste l’obbligo di notifica anche al Garante

• Coordinamento tra notifiche NIS 2 e GDPR

3.    Audit e vigilanza

• Verifiche ex ante (per entità essenziali) ed ex post (per entità importanti)

• Poteri dell’ACN: ispezioni, ordini, prescrizioni

• Audit interni e audit indipendenti

• Obblighi di collaborazione e riservatezza

• Controlli specifici per l’IA

4.    Preparazione alla vigilanza

• Checklist per l’audit

• Simulazione di ispezione ACN

• Indicatori di performance e KPI di sicurezza

VI sessione
Giovedì 20 novembre 2025, 14.30 - 17.30
Regolamenti UE complementari: CSA, DORA, CRA, AI Act
Docenti: Giorgia Braschi, Lara Maugeri e Selina Zipponi

PARTE 1: Cybersecurity Act e DORA

1.    Cybersecurity Act (Regolamento UE 2019/881)

• Obiettivi: rafforzamento di ENISA e introduzione della certificazione europea della cybersicurezza.

• Ruolo di ENISA nella gestione degli schemi di certificazione

• Livelli di garanzia: base, sostanziale, elevato

• Schemi di certificazione volontari e possibili future estensioni obbligatorie

2.    Digital Operational Resilience Act – DORA (Reg. UE 2022/2554)

• Applicazione al settore finanziario (banche, assicurazioni, fintech, fornitori ICT critici)

• Obblighi di governance del rischio ICT, business continuity e test di resilienza (TLPT)

• Reporting degli incidenti e audit

• Convergenze e differenze con la NIS 2 per i soggetti "dual regulated"

PARTE 2: Cyber Resilience Act – CRA (Reg. UE 2024/2847)

1.    Struttura e obiettivi del CRA

• Obiettivo: garantire la cybersicurezza dei prodotti con elementi digitali

• Obblighi per produttori, importatori e distributori

• Ambito oggettivo: dispositivi IoT, hardware, software, compresi quelli open source

2.    Requisiti di sicurezza

• Obblighi di progettazione e sviluppo sicuri (security by design/by default)

• Obblighi di aggiornamento di sicurezza durante il ciclo di vita del prodotto

• Gestione delle vulnerabilità e risposta agli incidenti

3.    Marcatura CE e valutazione di conformità

• Procedura di marcatura CE estesa agli aspetti di cybersicurezza

• Obblighi di documentazione tecnica e dichiarazioni UE di conformità

• Categorie di rischio e coinvolgimento di organismi notificati

4.    Rapporto con la NIS 2 e impatti sulla compliance aziendale

• Interazioni normative e obblighi concorrenti

• Coordinamento tra soggetti regolati in base alla loro funzione (produttore, fornitore di servizi, infrastruttura critica)

• Implicazioni per la governance integrata della sicurezza ICT

PARTE 3: Regolamento UE sull’IA - AI Act (2024/1689)

1.    Finalità ed ambito di applicazione

2.    La Classificazione del rischio

3.    Obblighi per gli operatori economici

4.    Coordinamento con NIS 2, CRA e DORA

 
VII sessione
Giovedì 27 novembre 2025, 14.30 - 17.30
Responsabilità, sanzioni, governance e compliance integrata
Docenti: Francesco Capparelli e Marta Casale

PARTE 1: Regime sanzionatorio e responsabilità degli amministratori

1.    Regime sanzionatorio del D.lgs. 138/2024

• Analisi dell'articolo 37: sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato annuo mondiale

• Criteri di proporzionalità e gravità delle violazioni

• Distinzione tra entità essenziali e importanti

2.    Confronto con il regime sanzionatorio del GDPR

• Sanzioni previste dal Regolamento (UE) 2016/679

• Analogie e differenze con il D.lgs. 138/2024

• Casi di applicazione congiunta delle due normative

3.    Responsabilità degli organi aziendali

• Obblighi di diligenza e prevenzione per gli amministratori

• Ruolo del Chief Information Security Officer (CISO) e interazione con il Consiglio di Amministrazione

• Implicazioni legali in caso di inadempienza

PARTE 2: Governance della cybersicurezza e compliance integrata

1.    Modelli di governance della cybersicurezza

• Strutturazione di un sistema di gestione della sicurezza delle informazioni (ISMS)

• Integrazione della cybersicurezza nella strategia aziendale

• Necessità di includere l’IA come tema della compliance cyber

• Ruolo delle certificazioni (es. ISO/IEC 27001) nella governance

2.    Compliance integrata tra diverse normative

• Sinergie tra NIS 2, GDPR, DORA,  Cyber Resilience Act, AI Act

• Approccio integrato alla gestione dei rischi e alla conformità

• Strumenti per il monitoraggio continuo della compliance

3.    Audit e controlli interni

• Pianificazione e conduzione di audit interni sulla cybersicurezza

• Gestione delle non conformità e azioni correttive

• Preparazione alle ispezioni da parte delle autorità competenti

4.    Simulazione pratica

• Analisi di un caso di inadempienza documentata

• Valutazione delle conseguenze legali e operative

• Elaborazione di un piano d'azione correttivo

Relatori

Daniel Amodeo
Technology and Architecture Leader. Guida l’evoluzione tecnologica e architetturale di Dedalus Italia, con responsabilità su governance, sicurezza e modernizzazione applicativa. Ha maturato un’esperienza consolidata in ambito tecnico e gestionale, collaborando con organizzazioni pubbliche e private, in Italia e all’estero. Con una laurea in Informatica e un background da sviluppatore, ha seguito progetti complessi su sicurezza, resilienza e integrazione dei sistemi. Ha partecipato a iniziative internazionali come l’UK E-Health Week (Londra), progetti pilota in Cina (Beijing, Daqing) e l’IHE Connectathon (Vienna, Istanbul, Rennes). In ambito cloud, ha contribuito alla realizzazione di architetture complesse su AWS, GCP, Azure e ambienti ibridi.

Giorgia Braschi
Cyber Security Advisor e avvocato con formazione in Scienze Investigative. Si occupa di cybersecurity con un approccio integrato, che unisce conoscenze giuridiche, tecniche e investigative.

Francesco Capparelli
Avvocato, Certified Ethical Hacker, Auditor e Manager, esperto in cybersecurity e protezione dei dati. Chief Cybersecurity Advisor di ICT Cyber Consulting, fornisce consulenza su compliance giuridica in ambito GDPR, NIS2, DORA e PSNC. Docente in Master e corsi di formazione su cybersecurity e data protection e autore di pubblicazioni scientifiche e coautore di opere su privacy, sicurezza informatica e blockchain.

Marta Casale
Cybersecurity Advisor e Specialista in IT Support e Cybersecurity. Ha conseguito diverse certificazioni Cisco Networking Academy.

Maria Rosaria De Ligio
Senior Cyber Security Advisor presso ICT Cyber Consulting, Of Counsel presso ICT Legal Consulting e Fellow Researcher presso l’Istituto Italiano per la Privacy. Ha conseguito un Master in Cyber Security Compliance. Auditor certificato per gli standard ISO/IEC 27001:2022, ISO 9001:2015 e ISO 22301:2019, con diverse qualifiche nell’ambito della cybersecurity e della compliance normativa.

Giulia Finocchiaro
Avvocato, opera nel campo della cybersecurity e della protezione dei dati personali. Ha ottenuto la qualifica di Lead Auditor/Auditor ISO/IEC 27001 e conseguito un Master in Cultura e Governance della Cybersecurity presso l'Università di Catania. Opera attivamente nel campo della cybersecurity e della protezione dei dati.

Michele Iaselli
Avvocato, docente di diritto digitale e tutela dei dati alla LUISS e di informatica giuridica all’Università di Cassino. Direttore del comitato scientifico di ANDIP e coordinatore del comitato scientifico di Federprivacy. Funzionario del Ministero della Difesa ed esperto dell’Ufficio Generale Innovazione Difesa, è membro del comitato di presidenza dell’ENIA (Ente Nazionale Intelligenza Artificiale).

Lara Maugeri
Cybersecurity Specialist. Ha ottenuto la qualifica di Auditor ISO/IEC 27001 e conseguito la certificazione CISCO: IT Support, Cyber Security & Networking.

Selina Zipponi
Avvocato esperto in privacy, fellow dell’Istituto Italiano per la Privacy e la valorizzazione dei dati, Global Data Protection Officer di una società multinazionale. È curatrice e autrice di volumi e pubblicazioni in materia di tutela dei dati personali e docente del Corso “Maestro della Protezione dei Dati & Data Protection Designer” dell’Academy dell’Istituto Italiano per la Privacy. Docente di numerosi corsi e seminari in materia di data protection a livello nazionale e internazionale.