POLITICA DI SICUREZZA DELLE INFORMAZIONI

Rev. 01 del 22/01/2026

POLITICA DI SICUREZZA DELLE INFORMAZIONI

Scopo

La presente politica formalizza l’impegno del vertice aziendale di IAM S.p.A. verso la protezione sistematica del patrimonio informativo dell’organizzazione. Essa costituisce il documento quadro del Sistema di Gestione della Sicurezza delle Informazioni (SGSI) e ne definisce il perimetro strategico, gli obiettivi e i principi guida che orientano l’intera architettura documentale di sicurezza.

IAM S.p.A. riconosce che la riservatezza, l’integrità e la disponibilità delle informazioni rappresentano condizioni essenziali per l’erogazione continuativa dei propri servizi e per il mantenimento della fiducia delle parti interessate — enti pubblici, consorzi industriali, autorità di controllo, fornitori e personale. In tale ottica, l’organizzazione si impegna a istituire, attuare, mantenere e migliorare continuamente il SGSI, assicurando che le decisioni operative e gli investimenti in sicurezza siano proporzionati ai rischi effettivi e coerenti con gli indirizzi strategici aziendali.

Attraverso la presente politica, il vertice direttivo esprime la propria volontà di promuovere una cultura della sicurezza diffusa a tutti i livelli, sostenere il rispetto dei requisiti normativi e contrattuali applicabili e perseguire il miglioramento continuo delle misure di protezione adottate.

Campo di applicazione

La presente politica si applica a tutte le attività, i processi e gli asset informativi di IAM S.p.A., inclusi i sistemi informativi e di rete rilevanti, presso le seguenti sedi operative:

  • Sede centrale e impianto di trattamento — Contrada Lamia Snc, 89013 Gioia Tauro (RC)
  • Sede legale e amministrativa — Diramazione Laganà di Via Armacà 56, 89121 Reggio di Calabria (RC)

Il campo di applicazione coinvolge tutto il personale dipendente, i collaboratori a contratto, i fornitori e qualsiasi soggetto terzo che acceda, tratti o gestisca informazioni o risorse tecnologiche dell’organizzazione, indipendentemente dalla modalità di lavoro — in sede o da remoto.

Riferimenti normativi

ISO/IEC 27001:2022

Direttiva (UE) 2022/2555

D.Lgs. 138/2024

Regolamento (UE) 2016/679

Termini e definizioni

Sicurezza delle informazioni : preservazione della riservatezza, dell’integrità e della disponibilità delle informazioni.

Riservatezza : proprietà per cui l’informazione non è resa disponibile o divulgata a individui, entità o processi non autorizzati.

Integrità : proprietà di accuratezza e completezza delle informazioni.

Disponibilità : proprietà di essere accessibile e utilizzabile su richiesta di un’entità autorizzata.

Rischio : effetto dell’incertezza sugli obiettivi, espresso in termini di combinazione della probabilità di un evento e delle sue conseguenze.

Valutazione del rischio : processo complessivo di identificazione, analisi e ponderazione del rischio.

Trattamento del rischio : processo inteso a modificare il rischio, mediante l’attuazione di misure di sicurezza, il trasferimento, l’eliminazione o l’accettazione del rischio stesso.

Evento di sicurezza delle informazioni : occorrenza identificata di uno stato di un sistema, di un servizio o di una rete che indica una possibile violazione della politica di sicurezza o un fallimento dei controlli.

Incidente di sicurezza delle informazioni : uno o più eventi di sicurezza delle informazioni indesiderati o inattesi che hanno una significativa probabilità di compromettere le operazioni e di minacciare la sicurezza delle informazioni.

Soggetto NIS : entità rientrante nell’ambito di applicazione del D.Lgs. 138/2024, tenuta ad adottare misure di gestione del rischio per la sicurezza informatica e a notificare gli incidenti significativi all’autorità competente.

Sistemi informativi e di rete : reti di comunicazione elettronica, dispositivi, programmi e dati digitali gestiti o utilizzati per la fornitura dei servizi dell’organizzazione.

Ruoli e responsabilità

Presidente : approva la presente politica e le politiche di sicurezza specifiche, assume la responsabilità finale dell’accettazione del rischio residuo e assicura l’allocazione delle risorse necessarie al funzionamento del SGSI.

Responsabile del sistema di gestione : coordina l’attuazione, il mantenimento e il miglioramento continuo del SGSI, supervisiona la revisione periodica delle politiche e riferisce al vertice sullo stato di conformità e sugli esiti delle valutazioni di efficacia.

Punto di Contatto NIS2 : gestisce le comunicazioni con l’Agenzia per la Cybersicurezza Nazionale, accede alla piattaforma digitale NIS e coordina la trasmissione delle informazioni obbligatorie e delle notifiche di incidenti significativi.

Sostituto Punto di Contatto NIS2 : garantisce la continuità delle funzioni del Punto di Contatto in caso di assenza o impedimento.

Referente CSIRT : funge da punto di riferimento operativo per le interazioni con il CSIRT Italia e coordina la risposta tecnica agli incidenti di sicurezza informatica.

Responsabile Amministrazione e Finanza (RAF) : assicura la conformità degli obblighi contrattuali, finanziari e normativi in materia di sicurezza delle informazioni nell’ambito dei rapporti con fornitori e parti interessate.

Tutto il personale : rispetta le politiche, le procedure e le istruzioni operative di sicurezza delle informazioni, segnala tempestivamente eventi o situazioni anomale e partecipa ai programmi di formazione e sensibilizzazione.

Obiettivi di sicurezza delle informazioni

IAM S.p.A. persegue i seguenti obiettivi strategici attraverso il proprio SGSI, misurandone il raggiungimento nell’ambito del riesame di direzione e del programma di miglioramento:

Protezione del patrimonio informativo : preservare la riservatezza, l’integrità e la disponibilità delle informazioni trattate nell’erogazione dei servizi di gestione idrica, depurazione e analisi di laboratorio, garantendo la continuità operativa anche a fronte di eventi avversi.

Conformità normativa e contrattuale : mantenere costante allineamento ai requisiti di ISO/IEC 27001:2022, del D.Lgs. 138/2024 e del Regolamento (UE) 2016/679, nonché agli obblighi contrattuali verso enti pubblici e consorzi committenti.

Gestione proattiva del rischio : applicare un approccio sistematico alla valutazione e al trattamento dei rischi di sicurezza informatica, proporzionato alla criticità dei servizi erogati e alle minacce emergenti nel contesto cyber, riesaminando l’analisi almeno con cadenza annuale.

Competenza e consapevolezza diffusa : promuovere la formazione continua e la sensibilizzazione di tutto il personale affinché ciascuno comprenda il proprio ruolo nella protezione delle informazioni e agisca in conformità alle politiche aziendali.

Resilienza dei servizi critici : garantire che i sistemi informativi e di rete rilevanti siano adeguatamente protetti, monitorati e ripristinabili, assicurando il mantenimento dei livelli di servizio attesi anche in condizioni degradate.

Miglioramento continuo : alimentare il ciclo di valutazione dell’efficacia delle misure di sicurezza attraverso audit interni, revisioni periodiche, analisi degli incidenti e piani di adeguamento approvati dal vertice.

Principi fondamentali di sicurezza delle informazioni

Approccio basato sul rischio

IAM S.p.A. fonda il proprio SGSI su una metodologia di gestione del rischio che valuta ogni minaccia in termini di probabilità e impatto, secondo i riferimenti ISO 27005 e NIST SP 800-30. I rischi identificati sono registrati, classificati e trattati attraverso misure di mitigazione, trasferimento, eliminazione o accettazione, quest’ultima riservata esclusivamente all’approvazione del Presidente . La valutazione viene riesaminata almeno una volta all’anno, oppure qualora intervengano mutamenti significativi nel contesto normativo, tecnologico, organizzativo o nell’esposizione alle minacce. L’organizzazione adotta e mantiene politiche di sicurezza informatica per ciascuno degli ambiti richiesti dalla normativa applicabile, tra cui gestione del rischio, ruoli e responsabilità, affidabilità delle risorse umane, conformità e audit, sicurezza della catena di approvvigionamento, gestione degli asset, gestione delle vulnerabilità, continuità operativa, controllo degli accessi, sicurezza fisica, formazione del personale, sicurezza dei dati, gestione dei sistemi informativi e di rete, protezione delle reti, monitoraggio degli eventi di sicurezza e risposta agli incidenti.

Responsabilità condivisa e governance

La protezione delle informazioni è una responsabilità che attraversa l’intera struttura organizzativa: dal vertice direttivo — che approva le politiche e ne assicura l’applicazione — al singolo operatore che tratta quotidianamente dati e sistemi. L’organizzazione per la sicurezza informatica è definita, approvata dagli organi di amministrazione e comunicata alle articolazioni competenti; essa include il Punto di Contatto NIS2 , il Sostituto Punto di Contatto NIS2 e il Referente CSIRT . Un elenco aggiornato del personale con ruoli e responsabilità in materia di sicurezza è mantenuto e reso noto alle funzioni interessate. I ruoli e le relative responsabilità sono riesaminati almeno ogni due anni, nonché a seguito di incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi.

Affidabilità delle risorse umane

L’organizzazione si impegna a integrare la sicurezza informatica nelle pratiche di gestione del personale lungo l’intero ciclo di vita del rapporto di lavoro. Il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti è individuato previa valutazione dell’esperienza, delle capacità e dell’affidabilità. Gli amministratori di sistema sono designati mediante atto formale di nomina che garantisca il pieno rispetto della normativa in materia di sicurezza informatica. Al termine o alla modifica del rapporto di lavoro, gli obblighi di riservatezza e le clausole contrattuali di sicurezza mantengono la propria efficacia; il processo di uscita include la restituzione dei beni e la revoca degli accessi logici.

Uso accettabile delle informazioni e delle risorse

IAM S.p.A. stabilisce e comunica regole documentate per l’uso accettabile delle informazioni e degli asset associati. Ogni risorsa informativa è classificata secondo i livelli di riservatezza adottati dall’organizzazione — confidential, limited, public — e trattata in conformità ai requisiti di protezione corrispondenti. Il personale utilizza le risorse aziendali esclusivamente per finalità operative autorizzate, rispettando le politiche di etichettatura, le regole per i supporti rimovibili e le disposizioni specifiche per i servizi cloud e le modalità di lavoro da remoto.

Protezione fisica e ambientale

L’organizzazione adotta misure fisiche e ambientali finalizzate alla difesa delle sedi, degli impianti e delle apparecchiature dalle minacce interne ed esterne. Documenti cartacei, supporti rimovibili e schermi delle postazioni di lavoro sono gestiti secondo il principio della scrivania e dello schermo puliti: i documenti classificati sono custoditi in contenitori chiudibili quando non in uso e le postazioni si bloccano automaticamente dopo un periodo di inattività. I dispositivi aziendali utilizzati al di fuori delle sedi — laptop, smartphone, supporti di memorizzazione — sono protetti da crittografia e da misure di controllo remoto per prevenire l’accesso non autorizzato in caso di smarrimento o furto.

Segnalazione degli eventi di sicurezza

L’organizzazione promuove una cultura della segnalazione tempestiva: tutto il personale è tenuto a comunicare senza ritardo gli eventi di sicurezza osservati o sospetti attraverso i canali definiti nella procedura di gestione degli incidenti. La segnalazione non comporta conseguenze negative per il segnalante in buona fede e alimenta il registro degli incidenti, base per l’analisi delle cause e il miglioramento delle difese.

Comprensione e protezione dei servizi critici

IAM S.p.A. identifica, documenta e mantiene aggiornato un censimento dei sistemi informativi e di rete rilevanti per l’erogazione dei propri servizi critici, coerentemente con la categorizzazione delle attività e dei servizi NIS trasmessa annualmente all’Agenzia per la Cybersicurezza Nazionale. Tale censimento consente di concentrare le risorse di protezione sui sistemi a più alto impatto e di comunicare alle parti interessate le dipendenze e le capacità dell’organizzazione.

Miglioramento continuo e valutazione dell’efficacia

L’organizzazione persegue il miglioramento continuo delle proprie misure di sicurezza attraverso un ciclo strutturato di valutazione: gli esiti degli audit interni, dei riesami di direzione, delle analisi degli incidenti e delle verifiche di conformità alimentano un piano di adeguamento approvato dagli organi direttivi. Un piano di valutazione dell’efficacia delle misure di gestione del rischio definisce i metodi e le frequenze di verifica; i risultati sono oggetto di relazioni periodiche agli organi di amministrazione, che ne informano le decisioni strategiche.

Archiviazione e aggiornamento

La presente politica è un documento controllato, archiviato all’interno del sistema di gestione documentale dell’organizzazione e protetto da modifiche non autorizzate. Il Responsabile del sistema di gestione ne cura la conservazione, la distribuzione e la tracciabilità delle versioni secondo le modalità definite nella PRO Procedura di gestione delle informazioni documentate.

Il riesame della politica è condotto almeno con cadenza annuale, nonché qualora si verifichino evoluzioni del contesto normativo in materia di sicurezza informatica, incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce. A seguito di ciascun riesame, il Responsabile del sistema di gestione verifica la conformità della politica alla normativa vigente e documenta gli esiti in un registro aggiornato. Ogni aggiornamento è sottoposto all’approvazione del Presidente e degli organi di amministrazione e direttivi prima della sua entrata in vigore. La versione approvata è resa nota alle articolazioni competenti dell’organizzazione, tenuto conto della necessità di conoscere, e comunicata agli stakeholder esterni secondo le modalità stabilite.