©NEXTVALUE 2017

CYBERSECURITY: I LEGALI RISPONDONOAspetti legali e deontologici che l’IT non puòsottovalutare nelle strategie di Cybersecurity

LE INTERVISTE DI NEXTVALUE

©NEXTVALUE 2017 ©NEXTVALUE 2017

Il presente volume viene pubblicato con licenza Creative Commons - Attribuzione 3.0 Italia (CCBY 3.0 IT)Tu sei libero di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare quest’opera, di modificare quest’opera, di usare quest’opera per fini commerciali alle condizioni riportate a questo link:http://creativecommons.org/licenses/by/3.0/it/

©2017 NEXTVALUEAll Rights Reserved. The information contained herein has been obtained from sour-ces believed to be reliable. NEXTVALUE disclaims all warranties as to the accuracy,completeness or adequacy of such information. Although NEXTVALUE’s research maydiscuss legal issues related to the information technology business, NEXTVALUE does not provide legal advice or services and its research should not be construed or used as such. NEXTVALUE shall have no liability for errors, omissions or inadequacies in the information contained herein or for interpretations thereof. The opinions expressed herein are subject

In collaborazione con:

Si ringrazia:

Avv. Tommaso FaelliPartner @BonelliErede

Avv. Giorgio MarianiOf Counsel @Simmons & Simmons

A cura di:

Martina LongoResearch Manager @NEXTVALUE

Manuela Moroncini Content Manager @NEXTVALUE

©NEXTVALUE 2017 ©NEXTVALUE 2017

Sommario

#01 Ci sono ancora delle aree aziendali in cui il tema della Cybersecurity non è percepito?

Introduzione /04

/06

#02 La sicurezza informatica gioca un ruolo sul profilo reputazionale dell’impresa?

/07

#03 Quali sono le conseguenze legali di un data breach? /08

#04 Quando i CIO devono saper dire “no” al Board o all’A.D.? /09

#05 Qual è il ruolo del legale nella predisposizione di misure di Cybersecurity in sede di prevenzione? E in sede di rimedio?

/10

#06 La sicurezza comprende la valutazione dei fornitori? /11

#07 A proposito di GDPR, quali sono le concrete criticità e opportunità da cogliere per un Responsabile della Sicurezza IT?

/12

#08 E sul fronte della Direttiva NIS? /13

#09 L’assicurazione del Cyber Risk è già o sarà una soluzione? /14

#10 Quali consigli pratici vi sentite di dare ai Responsabili della Sicurezza? /15

4

©NEXTVALUE 2017 ©NEXTVALUE 2017

Anche le imprese più resistenti alla comprensione delle minacce Cyber si vedono infatti costrette a nuovi, importanti adeguamenti imposti dalle norme europee, dal GDPR alla Di-rettiva NIS, che impongono l’adozione di framework di sicurezza comuni.

Nonostante i dati dimostrino come la Cybersecurity stia assumendo sempre maggiore im-portanza per la continuità del business, l’organizzazione aziendale rispecchia ancora una tradizionale divisione “a silos” tra le diverse funzioni e figure che a diverso titolo se ne occu-pano, dall’IT alla Compliance, fino alle Risorse Umane e al Legale, le quali si interfacciano con interlocutori differenti, e tra cui frequentemente mancano occasioni di dialogo attivo.

Per la seconda tappa del Cyber Wednesday Program 2017, NEXTVALUE ha organizzato unincontro per affrontare il tema Cybersecurity da tre diverse prospettive: legale, tecnologica eassicurativa, rivolgendosi ad una platea di Decisori di alcune delle principali aziende Top eMedio Grandi in Italia. Obiettivo: superare le divisioni dettate dall’organigramma che pongo-no un freno all’innovazione tecnologica e alla sicurezza delle informazioni, e favorire l’inter-scambio di competenze trasversali richieste alle ormai numerose figure aziendali coinvoltenella definizione del livello di sicurezza informatica.

Il Rischio Cyber, così come lo stesso Rischio IT, oltrepassa la messa in sicurezza dei sistemi informativi: cosa significa in termini di reputazione e brand subire un cyber attack? Quali possono essere le conseguenze legali di un data breach? Come relazionarsi con i propri fornitori per ottenere un adeguato livello di sicurezza? Quali criticità e opportunità sono le-gate all’introduzione di nuovi regolamenti europei in ambito Cybersecurity?

Andremo quindi ad approfondire ambiti normativi e aspetti legali legati alla Cybersecurity, nel-la forma di “intervista doppia” condotta con i professionisti di due prestigiosi studi legali inter-nazionali – Tommaso Faelli, Partner presso BonelliErede e Giorgio Mariani, Of Counsel presso Simmons & Simmons, che ringraziamo ancora per il loro prezioso contributo.

investimento in Cybersecurity delle imprese italiane è previsto al +6,4% a fine 2017, secondo l’aggiornamento semestrale dell’outlook della Spesa IT in Italia (dati NEXTVALUE, Maggio 2017). L’uso pervasivo e crescente di tec-nologie e strumenti abilitanti la Trasformazione Digitale ha impatto su ogni aspetto del business ed il Rischio Cyber, connesso all’utilizzo di reti Internet, richiede una strategia di management condivisa dalla prima linea aziendale. L’

Introduzione

5

©NEXTVALUE 2017 ©NEXTVALUE 2017

# Gli esperti

Avv. Tommaso FaelliPartner @BonelliErede

“I Responsabili della Sicurezza e i CIO tenderanno a trovarsi al centro delle tematiche di Cybersecurity. Il mio consiglio è quindi di maturare qualche conoscenza di massima al di fuori del proprio silos”.

Avv. Giorgio MarianiOf Counsel @Simmons & Simmons

“Il legale rappresenta uno dei part-ner coinvolti nelle attività legate alla Cybersecurity aziendale, non vi è infatti un aspetto più importante di altri o che da solo risolva il proble-ma, sempre più serve un approccio integrato alla Cybersecurity. “

6

©NEXTVALUE 2017 ©NEXTVALUE 2017

Ci sono ancora delle aree aziendali in cui il tema della Cybersecurity non è percepito?

Tommaso Faelli (BonelliErede): “La questione della Cybersecurity è percepita, in primis, dai CIO. Un livello d’importanza simile viene affidato al tema anche da altre funzioni che, per mentalità e necessità, sono più vicine a tematiche di compliance, come nel caso delle Risorse Umane.

Ci sono poi figure come il Consiglio di Amministrazione e l’Amministratore Delegato, che sempre più frequentemente sono disponibili a comprendere l’argomento e ad adottare nuove misure, anche se spesso necessitano della consulenza del proprio CIO. Parados-salmente, la funzione che a volte in azienda è più lontana dall’argomento è proprio quella legale, il cui interesse per la sicurezza informatica inizia solo ora, a causa del nuovo regola-mento sulla privacy [GDPR, ndr] anche se proprio il legale dovrebbe essere tra i dipartimenti maggiormente coinvolti sul tema.”

Giorgio Mariani (Simmons & Simmons): “Sono completamente d’accordo. Consideriamo ad esempio la particolare prospettiva delle attività in cui mi ritrovo maggiormente coinvolto, la contrattualistica. Quello che ho notato è che in molte operazioni anche importanti per la vita delle aziende, come acquisizioni e operazioni commerciali e societarie complesse, il tema della Cybersecurity non figura nelle check-list. Inoltre, figure come il CIO o il CISO spesso non sono coinvolte nell’operazione, se non “all’ultima curva” in sede di integrazione post-closing, quando i giochi ormai sono fatti ed alcuni rischi possono essere stati ereditati.

Si assiste, da un lato, ad una generale mancanza di consapevolezza nel coinvolgimento dei ruoli dedicati, dall’altro si tende a identificare la Cybersecurity come un allegato necessario solo per alcune tipologie di contratti o attività di tipo operativo o di compliance.”

# 01

7

©NEXTVALUE 2017 ©NEXTVALUE 2017

Tommaso Faelli (BonelliErede): “Certamente la Cybersecurity gioca un ruolo fondamen-tale per la reputazione aziendale, con accezione sia positiva sia negativa. Per contestua-lizzare, è bene fare un passo indietro e dare uno sguardo più ampio. Ci stiamo sempre più muovendo verso un’economia basata sui dati, basti pensare al piano Horizon 2020 dell’Unione Europea o Industria 4.0 in Italia. Questo significa che la Cybersecurity sarà sempre più un elemento fondamentale per la reputazione dell’azienda, e in questo intra-vedo non solo un fattore di rischio - in caso si verifichi un problema reputazionale a causa di un attacco informatico - ma anche di Marketing, di valore aggiunto offerto al cliente: un determinato livello di sicurezza rafforza il livello di fiducia nella relazione tra una società, i propri fornitori e i propri clienti. Ad esempio, trovano sempre maggiore diffusione le cer-tificazioni ISO27001, utili anche in caso di partecipazione a gare oltreoceano, poiché evi-tano la compilazione di numerosi moduli per delineare il livello di sicurezza della propria azienda. Quindi il legame tra Cybersecurity e aspetto reputazionale può anche costituire un’opportunità per aumentare il trust dei nostri clienti.

Dall’altro lato, “quando le cose vanno male” i rischi possono essere notevoli: già oggi nel settore bancario si percepisce la gravità del danno associato ad una perdita di dati, non solo nei confronti della società, ma anche per la perdita di fiducia dei propri correntisti. Anche nel retail sta aumentando la sensibilità verso la gestione dei propri dati personali da parte del cliente, che è sempre meno disposto a tollerare abusi.

In prospettiva futura, sicuramente la sicurezza informatica da fattore reputazionale e competitivo differenziante si trasformerà in uno standard, senza il quale si corre il rischio di finire fuori mercato.”

Giorgio Mariani (Simmons & Simmons): “Su questo punto condivido un dato piuttosto im-pressionante evidenziato da una ricerca condotta dal governo britannico nel 2016 su un campione di consumatori: il 57% dei rispondenti dichiara di essere pronto a interrompere qualsiasi contatto con un’azienda che abbia subito un attacco cibernetico con perdita di dati.

Il tema reputazionale è quindi di notevole rilevanza, con risvolti anche etici. Pensiamo alla disclosure degli attacchi informatici nell’ambito delle nuova Direttiva NIS: sarà in capo al profilo di eticità di ogni azienda valutare se sia più onerosa la sanzione associata alla mancata notifica o il danno reputazionale che ne conseguirà.“

La sicurezza informatica gioca un ruolo sul profi-lo reputazionale dell’impresa?

# 02

8

©NEXTVALUE 2017 ©NEXTVALUE 2017

Giorgio Mariani (Simmons & Simmons): “In ambito contrattuale, di cui mi occupo quotidia-namente, si verificano in particolare due tipologie di conseguenze. In primo luogo, il tema della business interruption, un problema operativo che comporta, a livello legale, responsa-bilità di tipo contrattuale: se, ad esempio, si ritarda con le commesse o con le consegne a causa dell’incidente informatico, possono trovare applicazione penali per il ritardo (anche su base oraria) o clausole risolutive, in base al tipo di business in cui opera l’azienda.

In secondo luogo, vi possono essere conseguenze legate alla violazione di contratti con altre tipologie di controparti, come nel caso della licenza di una proprietà intellettuale di una terza parte. Se questa proprietà intellettuale (pensiamo ad una formula chimica segreta) è tra le informazioni sottratte durante il data breach, l’azienda può essere responsabile anche nei confronti del terzo titolare del diritto. Un altro esempio: l’azienda che subisce l’attacco può essere responsabile per la divulgazione di informazioni confidenziali di terzi tutelate da appositi accordi di riservatezza, che tipicamente prevedono obblighi di protezione delle informazioni.”

Tommaso Faelli (BonelliErede): “Oltre a tipologie di responsabilità contrattuale e civile, si può incorrere in responsabilità amministrative, legate a loro volta ad altre responsabilità specifiche dettate dai regolamenti di settore. Infatti, al di fuori delle responsabilità ammini-strative, deve sempre essere considerata anche una perdita di valore degli asset societari, in caso di furto o perdita di proprietà intellettuale. Gli asset non registrati, come nel caso di know-how tecnico-commerciale, risultano tutelati solo quando vengono osservati deter-minati standard di sicurezza, pena la perdita non solo di elementi che rivestono un ruolo crescente per la patrimonializzazione della società, ma anche del diritto di proprietà intellet-tuale e, potenzialmente, anche di capacità competitiva.

Da non dimenticare, in termini più generici, anche la responsabilità legata alla privacy. Le sanzioni previste in caso di assenza di misure di sicurezza adeguate (sono previsti appositi disciplinari) non possono essere trasferite contrattualmente all’esterno, neppure attraverso strumenti assicurativi.”

# 03

Quali sono le conseguenze legali di un data breach?

9

©NEXTVALUE 2017 ©NEXTVALUE 2017

# 04

Giorgio Mariani (Simmons & Simmons): “Sicuramente quando viene selezionato per meri motivi economici un partner che non risulta particolarmente affidabile sotto il profilo patri-moniale, tecnologico e di compliance.“

Tommaso Faelli (BonelliErede): ”Concordo, si tratta forse dell’unico caso in cui la risposta non può che essere un “no”. La tecnologia offre oggi molte opportunità e a volte il mana-gement preme per una soluzione rapida ed economica: è il suo ruolo. Il CIO deve fare il possibile per realizzare l’opportunità, ma se il partner indicato non offre garanzie di solidità economica e compliance legale, il ruolo di un CIO di elevato profilo è proprio di sconsi-gliare espressamente l’operazione e trovare una soluzione alternativa praticabile.”

Quando i CIO devono saper dire “no” al Board o all’A.D.?

10

©NEXTVALUE 2017 ©NEXTVALUE 2017

# 05

Giorgio Mariani (Simmons & Simmons): “Il legale rappresenta uno dei partner coinvolti nelle attività legate alla Cybersecurity aziendale - non vi è infatti un aspetto più importante di altri o “che da solo risolva il problema”, sempre più serve un approccio integrato alla Cyberse-curity. In questo contesto, l’ambito legale riveste un ruolo importante nella progettazione di sicurezza by design, in particolare tramite la redazione di policy per la copertura dei rischi legati al fattore umano - spesso i dipendenti sono portatori sani del rischio cibernetico, in particolare nell’utilizzo da parte dei dipendenti di strumenti informatici a 360° - in affianca-mento alla direzione HR.

A queste si aggiungono spesso sessioni di training e procedure di enforcement. Anche in ambito procurement e di selezione delle forniture è fondamentale l’aspetto legale, sempre in ottica di condivisione della consapevolezza del rischio cibernetico e di abbattimento dei silos aziendali.”

Tommaso Faelli (BonelliErede): “Il legale tende spesso a essere coinvolto in sede di rimedio, dopo che il problema si è verificato. Secondo la mia esperienza, può trattarsi di verifiche da parte del Garante della protezione dei dati personali: una situazione critica poiché in questi procedimenti eventuali false dichiarazioni al Garante comportano responsabilità penale. La società è quindi costretta ad ammettere eventuali criticità, se ci sono.

Il legale viene inoltre spesso coinvolto durante gli audit interni, che possono derivare da procedimenti del regolatore (normalmente in ambito assicurativo o bancario) o a seguito di sospetti di violazioni dell’obbligo di fedeltà da parte di alcuni dipendenti o, ancora, altre ipotesi illecite. In questi casi il rispetto delle procedure per la verifica di laptop, smartphone, server aziendali e account e-mail previste in materia di privacy sono fondamentali, pena in alcuni casi l’inutilizzabilità delle prove e il rischio di sanzioni amministrative.

Importante il ruolo del legale anche in ambito contrattuale, nelle acquisizioni e negli sviluppi di tecnologia. In questi casi, il gruppo di lavoro è di solito composto dal CIO, dal legale inter-no e dal consulente legale esterno.”

Qual è il ruolo del legale nella predisposizione di misure di Cyber Security in sede di prevenzione? E in sede di rimedio?

11

©NEXTVALUE 2017 ©NEXTVALUE 2017

# 06

Tommaso Faelli (BonelliErede): “Una componente fondamentale di ogni fornitore deve es-sere la garanzia di poter fornire un determinato livello di operatività in ogni condizione. Proprio la continuità di servizio, anche nei casi di controversia, è una delle clausole che inseriamo sempre nei contratti di acquisizione di tecnologia o di prestazione di servizi IT.

Inoltre, sempre sul tema fornitori, acquisiscono maggiore importanza i reati previsti dalla Legge 231 [D-Lgs. 231/2001. n.d.r]. Chi vende software deve anche garantire la piena titola-rità e disponibilità dei diritti, un problema che non accade certo con i grandi player del setto-re, ma che può verificarsi all’acquisto di soluzioni verticali. Cito a titolo di esempio il caso di una software house che non voleva accettare una clausola contenente una garanzia della titolarità del software: successivamente si è scoperto che era in corso un contenzioso ne-gli Stati Uniti per usurpazione del codice sorgente. Un problema davvero rilevante, poiché acquistare il software essendo al corrente di una criticità come questa comporta il rischio di essere considerato responsabile di contraffazione. Ne deriva quindi che la selezione del corretto fornitore è di rilevante importanza.”

Giorgio Mariani (Simmons & Simmons): “Prendiamo ad esempio in considerazione il pro-curement, dove l’alleato è a volte un nemico, perché la tentazione di “fare le cose in fretta”, puntare velocemente al risultato senza considerare le tematiche di sicurezza o legali, a volte può essere forte. Tutte le procedure di procurement possono essere migliorate a vantaggio di una maggiore consapevolezza dei rischi cibernetici, così come a livello contrattuale tali rischi possono essere mitigati da apposite clausole, ma a monte bisogna sensibilizzare la funzione, anche per il tramite del coinvolgimento del legale nella fase di creazione delle procedure, per essere in grado di individuare quelle forniture che, in primis, possono dare luogo a determinate criticità.

Meglio si conosce il fornitore, meglio è. Il settore automotive è maestro di questo principio: il pieno controllo su tutta la supply chain. Il mio consiglio è sempre di porre il fornitore sotto la lente d’ingrandimento, non solo all’inizio ma nel corso di tutta la durata del rapporto. Non solo un controllo ex ante in fase di selezione, ma un monitoraggio costante nel tempo e che non sia limitato agli aspetti patrimoniali.”

La sicurezza comprende la valutazione dei fornitori?

12

©NEXTVALUE 2017 ©NEXTVALUE 2017

# 07

Tommaso Faelli (BonelliErede): “Criticità per il Responsabile della Sicurezza ve ne sono sicuramente, anche se preferirei far riferimento alla responsabilità della società, visto che è quest’ultima a risponderne, salvo alcuni casi dove si configurano reati e si può sconfinare nel penale. Il Regolamento afferma infatti che il responsabile del trattamento, una figura che può essere ricoperta anche da un CIO o da un IT Manager, risponde personalmente solo nel caso in cui abbia disatteso le legittime istruzioni del titolare, quindi della società.

Le criticità che potrebbero portare il Responsabile della Sicurezza a rispondere, non a un giudice o al Garante, ma a un audit interno, attengono alla violazione delle norme sulla sicurezza stabilite in azienda. Tra l’altro, diventando obbligatoria la notificazione al Garante degli incidenti informatici, la società è obbligata in caso di incidente a descrivere al Garante le misure di sicurezza già presenti e le misure di rimedio. È evidente che tutta l’attenzione verte sull’operato del Responsabile della Sicurezza.

Un altro punto da non dimenticare è la portabilità dei dati, che deve essere garantita, ma anche pretesa, dal proprio fornitore tecnologico, pena il rischio di ritrovarsi in situazioni di lock-in tecnologico.

Intravedo anche molte opportunità, dal momento che con il budget dedicato per le misure di sicurezza si possono stanziare iniziative per garantire la riservatezza delle informazioni tecniche e commerciali, creando così un diritto di proprietà intellettuale che può essere valorizzato anche economicamente. Lo stesso punto è all’ordine del giorno anche per ac-cedere al Patent Box, un piano di agevolazioni fiscali, così come all’iper ammortamento, al super ammortamento e al credito d’imposta previsti dal Piano Nazionale Industria 4.0.

Così, grazie al budget IT, si aprono in realtà molte opportunità anche per il business e per la fiscalità. Questo è, secondo me, un fatto davvero positivo da poter presentare internamente all’azienda.”

A proposito di GDPR, quali sono le concrete criticità e opportunità da cogliere per un Responsabile della Sicurezza IT?

13

©NEXTVALUE 2017 ©NEXTVALUE 2017

# 08

Giorgio Mariani (Simmons & Simmons): “La Direttiva NIS [Network and Information Se-curity, n.d.r] introduce l’obbligo per i Paesi dell’Unione Europea di dotarsi di una strategia per la sicurezza dei sistemi informativi, e di un’autorità che, come il Garante dei dati per-sonali, si occuperà di presiedere questa strategia, eventualmente di comminare sanzioni e di fornire raccomandazioni. L’istituzionalizzazione della Cybersecurity è la vera novità introdotta da questa Direttiva, ad oggi già operativa ma con obbligo di recepimento entro maggio 2018.

La Cybersecurity non costituisce più solo una practice virtuosa, ma diventa un obbligo per tutti gli operatori di servizi essenziali, con uno spettro di certificazione ben più ampio rispetto al General Data Protection Regulation, poiché si riferisce non soltanto alla prote-zione del dato personale, ma all’intero sistema informativo. Un’interruzione nei sistemi in-formativi, o comunque di un servizio essenziale, rientra in questo campo di applicazione.

La Direttiva introduce conseguenze meno immediatamente intuibili. Sebbene ci stiamo riferendo principalmente ad operatori di servizi essenziali, non dobbiamo dimenticarci dell’ecosistema di filiera. Tutti i fornitori, partner e soggetti che insistono sulla stessa filiera dovranno necessariamente dotarsi delle medesime misure di sicurezza, perché saranno imposte da quegli stessi operatori di servizi essenziali che, a loro volta, dovranno rispon-derne nei confronti delle autorità.

In particolare, la Direttiva prevede l’obbligo di notifica degli incidenti, non soltanto con riferimento ai data breach, ma con riguardo al sistema informativo nel suo complesso. L’obbligo di notifica impone anche la condivisione dell’incidente all’interno dell’Unione Europea. Questo è un elemento di novità: una condivisione immediata può avere un im-patto cross-front, con riferimento ad esempio agli operatori di immobili, alle compagnie aeree o alle banche internazionali.

Anche in questo caso, ancora di più un’opportunità piuttosto che una criticità per il CIO ed il Responsabile della Sicurezza, che vedranno accrescere la rilevanza del proprio ruolo.”

E sul fronte della Direttiva NIS?

14

©NEXTVALUE 2017 ©NEXTVALUE 2017

# 09

Giorgio Mariani (Simmons & Simmons): “Sicuramente sì, anche se ovviamente vi sono al-cune accortezze da considerare in sede di valutazione dello strumento. In primo luogo la polizza dovrebbe tenere in considerazione non solo il danno emergente, ma anche il lucro cessante - il mancato guadagno - che può costituire la perdita più rilevante causata da una business interruption. Inoltre, bisogna comprendere molto bene quali siano le esclusioni nelle “clausole in piccolo”, quindi se dalla polizza sono escluse determinate tipologie di at-tacchi, o se l’operatività della stessa contempla solo determinate circostanze e la presenza di determinate misure di sicurezza.

Il mio consiglio è sicuramente di focalizzarsi su un approccio integrato alla Cybersecurity, dove l’adozione di una polizza assicurativa non costituisce la panacea di tutti i mali, ma con-tribuisce insieme ad altre iniziative a determinare il buon livello di sicurezza di un’azienda.

Tommaso Faelli (BonelliErede): Sono d’accordo. Internet of Things, Big Data e Analytics saranno i principali driver dell’economia nei prossimi anni. Di conseguenza, è impensabile che quelle che diventeranno le nuove fondamenta dell’attività aziendale non siano coperte da assicurazione.

Naturalmente vi sono criticità da affrontare, ed anche qui il CIO gioca un ruolo importante, anche nella gestione del contratto di assicurazione.

Da un lato, infatti, vi è la valutazione del rischio al momento della sottoscrizione del contrat-to, in cui il premio viene generalmente determinato dalla compagnia tramite modelli stan-dard e su base statistica. Dall’altro lato, il profilo di rischio può modificarsi nel tempo, magari perché vi è stata una trasformazione tecnologica, o il sistema è diventato obsoleto rispetto all’environment. Se queste variazioni non vengono comunicate alla compagnia assicurati-va, in caso di incidente l’assicurazione avrebbe in alcuni casi diritto di rifiutare l’indennizzo del tutto o in parte. Di conseguenza la funzione del CIO o del Responsabile della Sicurezza svolgerà sempre più funzioni di Risk Manager anche oltre gli aspetti puramente IT.”

L’assicurazione del Cyber Risk è già o sarà una soluzione?

15

©NEXTVALUE 2017 ©NEXTVALUE 2017

# 10

Giorgio Mariani (Simmons & Simmons): “Sicuramente creare consapevolezza a tutti i li-velli aziendali, la Cybersecurity non è solo un problema dell’IT e non si risolve soltanto agendo al suo interno”.

Tommaso Faelli (BonelliErede): “I Responsabili della Sicurezza e i CIO tenderanno a tro-varsi al centro delle tematiche di Cybersecurity. Il mio consiglio è quindi di maturare qual-che conoscenza di massima al di fuori del proprio silos, dalla fiscalità alla contrattuali-stica, anche solo per stimolare le altre funzioni aziendali coinvolte a ragionare su alcuni punti di cui non sono a conoscenza. Fondamentale anche fare squadra il più possibile, in particolare con il legale aziendale, ancora poco sensibile a questi temi ma che se ne tro-verà presto al centro, anche a causa del nuovo Regolamento sulla Privacy. Inoltre ritengo che, proprio per la loro naturale posizione di centralità rispetto al tema, CIO e Responsa-bili dovrebbero ricoprire il ruolo di “playmaker”, di punto di riferimento per l’azienda, per il tema Cybersecurity.”

Quali consigli pratici vi sentite di dare ai Responsabili della Sicurezza?

©NEXTVALUE 2017 ©NEXTVALUE 2017

Azienda indipendente di ricerca di mercato B2B, sui temi emergenti dell’ Information Technology fondata da Alfredo Gatti nel 2003.

I nostri interlocutori per l’attività di ricerca sono i Decisori IT delle aziende end-user. I nostri Clienti i principali player del sistema di Offerta IT. Essi ci rico-noscono una posizione privilegiata e ci attribuiscono un ruolo di collegamen-to tra Domanda e Offerta IT.

Abili costruttori di relazioni di fiducia con i Decisori delle aziende finali, costru-iamo business community di CxO per meglio interpretare e contestualizzare i trend della Domanda IT.

Autori di programmi e contenuti originali, abbiamo curato per 11 anni l’Assintel Report, la ricerca sulla Domanda IT in Italia, su incarico di Assintel e Confcommercio e nel 2017 la sezione “La trasformazione digitale vista dai CIO” del rapporto “Il digitale in Italia 2017”, su incarico di Assinform e Confin-dustria digitale.

NEXTVALUE ha fondato nel 2010 il chapter italiano di CIONET, la prima busi-ness community di CIO e Direttori IT di aziende Top e Medio Grandi in Europa e America Latina.

NEXTVALUE

Strada della Carità 8, 20135 Milanotel 02 8976 3767info@nextvalue.itwww.nextvalue.it

PUBBLICAZIONE FUORI COMMERCIO