_ Questionario di valutazione

Se hai risposto tutti “NO” alle domande tra la 5 e la 9 la tua Organizzazione non è soggetta all’obbligo di adeguamento alla Direttiva NIS2, ma potresti esserne coinvolto in quanto fornitore di un “obbligato” (principio della supply chain).

ATTENZIONE!

Se hai risposto “Sì” ad almeno una delle domande tra la 5 e la 9, SEI INTERESSATO dall’adempimento alla Direttiva NIS2.
Chiamaci subito per una consulenza o scorri in basso per procedere alla compilazione del resto del questionario per conoscere se sei soggetto alla NIS2.
Le domande successive ci saranno di supporto per una migliore valutazione del tuo caso.

    _ 01. Nome:
    _ 02. Organizzazione:
    _ 03. Telefono:
    _ 04. Email:

    _ 05. La tua Organizzazione fattura più di 10 milioni di Euro?

    _ 06. La tua Organizzazione impiega più di 50 dipendenti?

    _ 07. La tua Organizzazione appartiene a uno dei seguenti settori (strategici/importanti)?

    _ 08. La tua Organizzazione fornisce servizi/prodotti in uno dei settori sopra indicati?

    _ 09. La tua Organizzazione fornisce servizi a reti di comunicazione elettroniche pubbliche, servizi di comunicazione elettronica accessibili al pubblico, servizi di registrazione dei nomi di dominio, servizi della pubblica amministrazione?

    _ 01

    _ 02

    _ 03

    _ 04

    _ 05

    La tua Organizzazione fattura più di 10 milioni di Euro?

    No

    _ 06

    La tua Organizzazione impiega più di 50 dipendenti?

    No

    _ 07

    La tua Organizzazione appartiene a uno dei seguenti settori?

    No

    _ 08

    La tua Organizzazione fornisce servizi/prodotti in uno dei settori sopra indicati?

    No

    _ 09

    La tua Organizzazione fornisce servizi a:

    No

    _ 10

    L'identificazione e la documentazione dei ruoli e delle responsabilità delle principali parti interessate sono ben definite?

    _ 11

    Gli obiettivi generali di Cybersecurity dell'Organizzazione sono chiari e ben definiti?

    _ 12

    Tutte le parti interessate conoscono le proprie responsabilità e sono allineate con gli obiettivi di Cybersecurity?

    _ 13

    E' stata erogata a tutti i dipendenti una formazione in termini di consapevolezza della Cybersecurity, di gestione e segnalazione dei Data Breach, di gestione delle password, di truffe di phishing e sull'importanza di segnalare immediatamente attività sospette?

    _ 14

    E' stato formulato e redatto un piano di risposta agli incidenti informatici?

    _ 15

    Sono state effettuate valutazioni regolari dei rischi informatici atte ad identificare eventuali nuove minacce o punti deboli nelle difese di sicurezza?

    _ 16

    Sono state implementate le misure di sicurezza nella catena di approvvigionamento, quali: valutazioni e audit dei rischi dei fornitori, accordi contrattuali che specificano i requisiti di sicurezza, monitoraggio e comunicazione continui con i fornitori?

    _ 17

    Sono regolarmente aggiornate e applicate patch all'infrastruttura digitale e alle applicazioni per garantire che tutte le vulnerabilità note vengano risolte?

    _ 18

    Sono utilizzati gli strumenti corretti (quali i sistemi di rilevamento delle intrusioni, piattaforme di intelligence sulle minacce e i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM)) per identificare potenziali minacce all'infrastruttura digitale?

    _ 19

    E' implementato un monitoraggio continuo delle minacce (threat)?

    _ 20

    Sono monitorati costantemente i feed di threat intelligence per rimanere aggiornati sulle ultime minacce informatiche?

    _ 21

    Sono redatte e messe in atto strategie di controllo dell'accesso e gestione dei varchi attivi?

    _ 22

    Sono redatte e messe in atto procedure per la continuità operativa, gestione dei backup e per il ripristino in caso di un evento disastroso?

    _ 23

    Sono implementati e gestiti firewall robusti, sistemi di rilevamento delle intrusioni e software antivirus?

    _ 24

    Sono implementate applicazioni di MDM (Mobile Device Management) per la gestione degli endpoint?

    _ 25

    Sono implementate e gestite policy e procedure relative all'uso della crittografia e, se del caso, dell'anonimizzazione o pseudomizzazione dei dati?

    _ 26

    E' fatto uso di soluzioni di autenticazione a più fattori o di autenticazione continua?

    _ 27

    Siete conformi ai requisiti del GDPR?

    _ 28

    Sono stati implementati sistemi di comunicazione (testi, immagini e voci) protetti?

    _ 29

    Vengono condotti audit di sicurezza regolari per garantire che la strategia di Cybersecurity sia efficace e allineata con gli obiettivi generali dell'organizzazione?

    _ 30

    Viene effettuata un'analisi di Vulnerabilità del Sistema (VA) ad intervalli significativi?

    _ 31

    Gli audit e le VA sono condotti da una terza parte indipendente e qualificata?

    Privacy:
    I dati personali verranno utilizzati, previo suo consenso, per l'invio di un preventivo.

    Informativa sul trattamento dei dati personali ex artt. 13-14 Reg.to UE 2016/679

    Soggetti Interessati: i richiedenti di un preventivo tramite il form

    CREMONAUFFICIO SRL nella qualità di Titolare del trattamento dei Suoi dati personali, ai sensi e per gli effetti del Reg.to UE 2016/679 di seguito 'GDPR', con la presente La informa che la citata normativa prevede la tutela degli interessati rispetto al trattamento dei dati personali e che tale trattamento sarà improntato ai principi di correttezza, liceità, trasparenza e di tutela della Sua riservatezza e dei Suoi diritti.

    I Suoi dati personali verranno trattati in accordo alle disposizioni legislative della normativa sopra richiamata e degli obblighi di riservatezza ivi previsti.

    Ai fini dell'indicato trattamento, il Titolare potrà venire a conoscenza di categorie particolari di dati personali ed in dettaglio: Adesione a sindacati, Origini razziali o etniche, Stato di salute. I trattamenti di dati personali per queste categorie particolari sono effettuati in osservanza dell'art 9 del GDPR.

    I Suoi dati personali potranno inoltre, previo suo consenso, essere utilizzati per le seguenti finalità:

    • Inviare all'utente un preventivo in base alla richiesta.
    • Il conferimento dei dati è per Lei facoltativo riguardo alle sopraindicate finalità, ed un suo eventuale rifiuto al trattamento non compromette la prosecuzione del rapporto o la congruità del trattamento stesso.

    Modalità del trattamento: i suoi dati personali potranno essere trattati nei seguenti modi:

    • trattamento a mezzo di calcolatori elettronici
    • trattamento manuale a mezzo di archivi cartacei
    • Ogni trattamento avviene nel rispetto delle modalità di cui agli artt. 6, 32 del GDPR e mediante l'adozione delle adeguate misure di sicurezza previste.

    Comunicazione: i suoi dati saranno comunicati esclusivamente a soggetti competenti e debitamente nominati per l'espletamento dei servizi necessari ad una corretta gestione del rapporto, con garanzia di tutela dei diritti dell'interessato.

    I suoi dati saranno trattati unicamente da personale espressamente autorizzato dal Titolare ed, in particolare, dalle seguenti categorie di addetti:

    • nell'ambito dell'ufficio amministrativo e vendite.

    Diffusione: I suoi dati personali non verranno diffusi in alcun modo.

    Periodo di Conservazione: Le segnaliamo che, nel rispetto dei principi di liceità, limitazione delle finalità e minimizzazione dei dati, ai sensi dell’art. 5 del GDPR, il periodo di conservazione dei Suoi dati personali è:

    stabilito per un arco di tempo non superiore al conseguimento delle finalità per le quali sono raccolti e trattati per l'esecuzione e l'espletamento delle finalità contrattuali

    Titolare: il Titolare del trattamento dei dati, ai sensi della Legge, è CREMONAUFFICIO SRL (Via della fogarina, 8 , 26100 Cremona (CR); e-mail: privacylab@cremonaufficio.com; telefono: 0372471845; CF: 00857550198) nella persona del suo legale rappresentante pro tempore.

    Lei ha diritto di ottenere dal titolare la cancellazione (diritto all'oblio), la limitazione, l'aggiornamento, la rettificazione, la portabilità, l'opposizione al trattamento dei dati personali che La riguardano, nonché in generale può esercitare tutti i diritti previsti dagli artt. 15, 16, 17, 18, 19, 20, 21, 22 del GDPR.

     

    Reg.to UE 2016/679: Artt. 15, 16, 17, 18, 19, 20, 21, 22 - Diritti dell'Interessato

    1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
    2. L'interessato ha diritto di ottenere l'indicazione:
    • dell'origine dei dati personali;
    • delle finalità e modalità del trattamento;
    • della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
    • degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
    • dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
    1. L'interessato ha diritto di ottenere:
    • l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
    • la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
    • l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
    • la portabilità dei dati.
    1. L'interessato ha diritto di opporsi, in tutto o in parte:
    • per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
    • al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

    La NIS-2 spiegata in breve

    Vuoi saperne di più su obblighi/doveri informatici di tutte le aziende?
    CLICCA QUI