Menu di navigazione

 
Chiudi

FUNZIONE RPD e Cyber Security

Aggiornato il 2024-12-19


Responsabile: Alessio Antolini

Mission

  • Chief Information Security Officer (CISO)
    Definisce la visione strategica e di governance della sicurezza informatica, implementa programmi per la protezione degli asset informativi e definisce processi per limitare i rischi legati all’adozione delle tecnologie digitali. Opera in qualità di referente aziendale per la cybersicurezza ai sensi della legge 28 giugno 2024, n. 90 (NIS2).
  • Data Protection Officer (DPO)
    Definisce la visione strategica e di governance della sicurezza informatica, implementa programmi per la protezione degli asset informativi e definisce processi per limitare i rischi legati all’adozione delle tecnologie digitali. Progetta verifica e mantiene un sistema organizzato di gestione dei dati personali coadiuvante il titolare del trattamento nell'adozione di un complesso di misure e garanzie adeguato al contesto aziendale. Supporta tutte le strutture aziendali nel recepimento delle relative normative. All’interno di progetti e processi aziendali che comportano il trattamento di dati personali presidia l'osservanza del Regolamento Europeo sulla Data Protection (GDPR) e delle disposizioni normative nazionali e dell'Unione in materia di protezione dei dati personali, vigilando e monitorando il rispetto degli adempimenti richiesti. Svolge attività di monitoraggio sulle attività aziendali che comportano il trattamento dei dati personali sorvegliando l'osservanza delle buone prassi, delle privacy policy e delle procedure attuate dalle strutture aziendali attraverso criteri di audit sul trattamento dei dati personali, verificandone la coerenza con le normative di riferimento.

Principali attribuzioni (CISO)

  • Assessment della sicurezza: valuta lo stato dell’arte della sicurezza in azienda e individua un piano strategico per aumentare la capacità di reagire alle cyber minacce
  • Definizione delle policy: definisce regole e standard per la gestione della sicurezza;
  • Analisi del rischio cyber: identifica le vulnerabilità e le minacce per l’azienda in modo da compiere scelte adeguate per la gestione del rischio cyber in termini di politiche e strumenti;
  • Definizione delle architetture: definisce i requisiti architetturali per la gestione della sicurezza e monitoraggio degli asset informatici;
  • Identificazione delle minacce: monitora e aggiorna costantemente le tipologie di minacce e di attacco definendo le relative contromisure;
  • Monitoraggio della sicurezza: controlla gli eventi di sicurezza sui diversi canali di accesso attraverso un servizio di Security Operation Center (SOC) interno all’azienda o collaborando con un provider esterno;
  • Risposta agli incidenti: Definisce le strategie e le procedure da attuare in caso di security incident al fine limitarne gli effetti;
  • Investigazione forense: Conduce di concerto con le altre funzioni indagini forensi in caso di data breach o security incident, collaborando con risorse interne o specialisti esterni.
  • Opera in qualità di referente aziendale per la cybersicurezza ai sensi della legge 28 giugno 2024, n. 90 (NIS2).

Principali Attribuzioni (DPO)

  • Progetta, realizza e sviluppa il sistema di gestione privacy aziendale.
  • Informa e fornisce consulenza al Titolare e/o Responsabile del trattamento dati, ai Delegati, Referenti, nonché a tutti i dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni nazionali e dell'Unione Europea in materia di protezione dei dati personali.
  • Fornisce consulenza al Titolare/Responsabile e suoi Delegati/Referenti in merito al registro dei trattamenti, ne cura la tenuta per conto del Titolare/Responsabile e ne sorveglia le corrette implementazioni ad opera delle strutture aziendali.
  • Supporta il titolare del trattamento in occasione di eventuali data breach.
  • Fornisce parere, se richiesto, in merito alla redazione del DPIA Data Protection lmpact Assessment al fine di individuare e ridurre i rischi privacy, lungo tutte le fasi progettuali e ne sorveglia lo svolgimento.
  • In ossequio al principio della "privacy by design", sorveglia che tutti i nuovi progetti ed implementazioni software o innovazioni che comportino cambiamenti organizzativi siano, fin dalla progettazione, adeguati e rispondenti alle normative sulla protezione dei dati personali nell’ottica del continuo adeguamento delle misure di sicurezza e in relazione alle mutevoli condizioni di rischio.
  • Interfaccia dell'azienda verso l'Autorità di controllo "Garante per la protezione dei dati personali".
  • Presidia l'osservanza del GDPR e delle altre disposizioni della UE e nazionali relative alla protezione dei dati personali nonché la corretta attuazione delle politiche del Titolare e/o del Responsabile del trattamento in materia di privacy (comprese attribuzione di responsabilità, sensibilizzazione e formazione del personale).
  • Presidia l'osservanza del GDPR e delle altre disposizioni della UE oltre che nazionali relative alla protezione dei dati personali ad opera dei Delegati e Sub Delegati che abbiano ricevuto tale nomina dal Titolare e/o del Responsabile del trattamento dati.
Pubblicato il 2022-12-14
torna all'inizio del contenuto