Verantwortung und Ethik

Verantwortung

Mit dem Gesetzesdekret 231/01 unter der Überschrift „Vorschriften über die verwaltungsrechtliche Haftung von juristischen Personen, Gesellschaften und Vereinigungen, einschließlich solcher ohne Rechtspersönlichkeit“ wurde in Italien gemäß Art. 11 des Gesetzes Nr. 300 vom 29.9.2000 zum ersten Mal in Italien die Haftung von Körperschaften für Ordnungswidrigkeiten in Abhängigkeit von der Straftat, die von Einzelpersonen im Interesse oder zum Vorteil der Körperschaften selbst begangen wurde, eingeführt. Damit wurde eine autonome Verantwortung der Körperschaft für Straftaten eingeführt, die in ihrem eigenen Bereich begangen werden und die zusätzlich zu der spezifischen Verantwortung des materiellen Urhebers der Straftat besteht (und sich von dieser unterscheidet).

Namirial S.p.a. ist die Muttergesellschaft einer Gruppe von Unternehmen, die im Bereich der Informationstechnologie tätig sind. Die Muttergesellschaft ist für die Strategie-, Entwicklungs-, Koordinierungs- und Kontrolltätigkeiten sowie für einige zentralisierte Personaltätigkeiten zuständig. Die wichtigsten Instrumente, mit denen das Unternehmen ausgestattet ist, lassen sich wie folgt zusammenfassen.

Verhaltenskodex

Die Satzung, die in Übereinstimmung mit den geltenden gesetzlichen Bestimmungen verschiedene Bestimmungen zur Unternehmensführung enthält, um eine ordnungsgemäße Geschäftsführung zu gewährleisten.

Ein Organisations-/Funktionsplan, der das Verständnis der Unternehmensstruktur, die Aufteilung der Zuständigkeiten und die Identifizierung der Personen, denen diese Zuständigkeiten übertragen wurden, ermöglicht.

Unternehmensübergreifende Dienstleistungsverträge, die die Erbringung von Dienstleistungen zwischen den Unternehmen der Gruppe förmlich regeln und die Transparenz über den Gegenstand der erbrachten Dienstleistungen und die damit verbundenen Gebühren gewährleisten.

Ein System von Protokollen (Handbücher, Verfahren, Anweisungen), das die relevanten Prozesse des Unternehmens klar und wirksam regelt.

Darüber hinaus legt die Namirial S.p.a. Gruppenrichtlinien fest, die darauf abzielen, die Verwaltungsmethoden für bestimmte Prozesse innerhalb der Gruppe so einheitlich wie möglich zu gestalten.

Die von Namirial S.p.a. angewandten Instrumente und die Bestimmungen dieses Modells ermöglichen es, in Bezug auf alle Aktivitäten festzustellen, wie die Entscheidungen des Unternehmens getroffen und umgesetzt werden (Art. 6 (2) (B) Gesetzesdekret 231/01).

Erklärung zur Cyber-Sicherheit

Informationssicherheit

Namirial Group (die „Gruppe“) ist die organisatorische Einheit, die durch die Namirial S.p.A. und ihre eigenen oder kontrollierten Tochtergesellschaften gebildet wird. Beherrschte Tochtergesellschaft (die „Tochtergesellschaft“) ist jede Tochtergesellschaft der Namirial S.p.A., die zu 50 % oder mehr im Besitz der Namirial S.p.A. und ihrer direkten oder indirekten Tochtergesellschaften ist und bei der das Unternehmen direkt oder indirekt die Macht hat, das Management oder die Politik zu lenken oder zu bestimmen, sei es durch den Besitz von stimmberechtigten Anteilen, durch eine Vereinbarung oder auf andere Weise.

Für uns bedeutet „Informationssicherheit“ sicherzustellen, dass alle Informationen und Informationssysteme, von denen die Gruppe abhängt, einschließlich der Daten von Kunden, Mitarbeitern und Geschäftspartnern, angemessen geschützt sind, um die Sicherheit der Dienstleistungen des Unternehmens und die Kontinuität unserer Geschäftsaktivitäten zu gewährleisten. Der aktuelle Kontext, der durch die ständige Entwicklung von Cyber-Bedrohungen und die strengeren behördlichen Vorschriften gekennzeichnet ist, stellt die Unternehmen vor mehrere große Herausforderungen.

Sicherheitssysteme

Wir setzen uns dafür ein, dass die Gruppe ständig mit angemessenen Sicherheitssystemen ausgestattet ist und so für unsere Stakeholder immer zuverlässiger wird.

Im Einzelnen verpflichten wir uns zu:

  • die Dienstleistungen des Unternehmens zu schützen und seine Sicherheitsstandards zu stärken
  • interne Sicherheitsvorschriften zu definieren und deren Umsetzung zu überwachen
  • einen soliden Managementprozess für die IT-Risiken zu definieren
  • die Umsetzung von Sicherheitsmaßnahmen für das Management von Cyber-Bedrohungen zu gewährleisten
  • die Sensibilisierung und das Verständnis für das Thema bei allen Mitarbeitern zu fördern

Wir haben daher eine Strategie entwickelt, um das Sicherheitsniveau der Gruppe in vier Schlüsselbereichen kontinuierlich zu verbessern.

4 Schlüsselbereiche zur Verbesserung der Sicherheit

Business Enablement

Auf die neuen Cyber-Bedrohungen, die neue digitale Unternehmen betreffen, vorbereitet sein und die Entwicklung von Unternehmen unterstützen

Neue Cyber-Bedrohungen

Widerstandsfähigkeit gegenüber Cyberangriffen durch geeignete Präventions-, Erkennungs- und Reaktionsmöglichkeiten

Verwaltung

Effizientes Management von Informationssicherheitsprozessen, Cyber-Risikomanagement und Gewährleistung der Einhaltung von Vorschriften

Menschen, Fertigkeiten und Ausbildung

Sich der Cyber-Risiken bewusst sein und angemessene Kompetenzen erwerben, um die neuen Cyber-Herausforderungen zu bewältigen

Programm zur Gestaltung der Cybersicherheit

Die Gruppe hat ein langfristiges Cybersicherheitsprogramm entwickelt, um die analysierten Cybersicherheitsprobleme anzugehen. Dazu gehören auch geeignete Gegenmaßnahmen für bestimmte Situationen. Alle im Programm definierten und enthaltenen Projekte werden regelmäßig nach einem Zeitplan überprüft, während die langfristige Strategie jährlich überprüft wird.

Das Cybersicherheitsprogramm wurde von der Geschäftsleitung der Gruppe genehmigt.

Um die Sicherheit und das IT-Risikomanagement zu stärken, hat der Verwaltungsrat einen Lenkungsausschuss eingerichtet, der sich speziell mit der Definition und Entwicklung der Sicherheitsstrategie der Gruppe sowie der Steuerung und Überwachung der IT-Risiken des Unternehmens befasst. Dieser auf Konzernebene tätige Ausschuss trägt die Bezeichnung Corporate Security & IT Risk Steering Committee und setzt sich aus dem CEO, dem CFO, dem CHRO, dem CTO und dem CISO zusammen.

Wir sind davon überzeugt, dass der Faktor Mensch für den Schutz unserer Informationen entscheidend ist. So haben wir ein Programm zur Sensibilisierung für Cybersicherheit für alle unsere Mitarbeiter entwickelt, das in regelmäßigen Abständen simulierte Phishing-Angriffe und eine Miniserie von Lehrvideos umfasst. Das gesamte Material ist auf internen Portalen für die Mitarbeiter verfügbar. Die Episoden beziehen sich auf bestimmte Bereiche der Informationssicherheit, z. B. die Sicherheit von Smartphones und Tablets und Social Engineering.

Namirial S.p.A., das Unternehmen der Gruppe, das die qualifizierten Treuhanddienste und andere von der italienischen Aufsichtsbehörde AgID regulierte Dienstleistungen erbringt, stellt auch die IT-Dienste und -Infrastrukturen für die wichtigsten Unternehmen der Gruppe bereit und ist nach den folgenden Normen zertifiziert:

  • ISO/IEC 27001:2013
  • ISO/IEC 27017:2015
  • ISO/IEC 27018:2015
  • Verordnung (EU) 910/2014 eIDAS als qualifizierter Vertrauensdiensteanbieter
  • ETSI EN 319 401 für den elektronischen Identifikationsvertrauensdienst
  • Verordnung (EU) 910/2014 eIDAS Punkt 24 für die Bereitstellung von Vertrauensdiensten für die Speicherung von IT-Dokumente
  • AgID-Vorschriften für die Langzeitarchivierung von Dokumenten
  • AgID-Vorschriften für SPID (Italienisches öffentliches System für digitale Identität)

Die Zertifizierungen der Reihe ISO/IEC 27k sind auf die Umsetzung der sektoralen Normen für Namirial-Dienste zugeschnitten und enthalten keine Ausnahmen in der Anwendbarkeitserklärung; die Sicherheitskontrollen entsprechen denen, die in der ETSI 319 401 und den AgID-Richtlinien gefordert werden.

Wir unterziehen uns seit 2010 jährlichen Audits für ISO/IEC-Zertifizierungen und alle früheren Normen durch Bureau Veritas und die nationale Aufsichtsbehörde AgID und werden regelmäßig für den Finanzbericht geprüft.

Die Einhaltung dieser Vorschriften wird vom Corporate Legal & Compliance Risk Steering Committee sichergestellt, das sich aus dem Finanzvorstand, den Rechts- und Compliance-Beauftragten und dem leitenden Wirtschaftsprüfer zusammensetzt.

Zur Vermeidung von Konflikten mit Normen und Vorschriften, für die das Unternehmen geprüft wird, und aufgrund der Zertifizierungen, die es besitzt, wird Namirial für seine Dienstleistungen keine spezifischen Sicherheitsrichtlinien umsetzen, die von seinen Kunden herausgegeben und bereitgestellt werden.

Darüber hinaus gibt Namirial aufgrund der Kritikalität der erbrachten Dienstleistungen keine Dokumente oder Informationen über seine Sicherheitssysteme und -kontrollen weiter, um auf die von Dritten, seien es Kunden, Lieferanten und/oder Partner, gestellten Anfragen nach Ergänzungen und Klarstellungen in Bezug auf die Sicherheit von Informationen zu reagieren.

Zu diesem Zweck verfügt Namirial über internationale und technische Zertifizierungen, die auf öffentlichen Websites mit rechtlichem und vertraglichem Wert überprüft werden können. Der Schutz der Vertraulichkeit, der Integrität und der Verfügbarkeit von Informationen, die Gegenstand der Aktivitäten von Namirial sind, könnte in der Tat beeinträchtigt werden, wenn bestimmte Informationen außerhalb des Namirial-Kontextes zur Verfügung gestellt werden und/oder in irgendeiner Form einer nicht autorisierten Veröffentlichung unterliegen würden. Darüber hinaus sind einige Systeme und Schutzmaßnahmen teilweise oder vollständig in Dienstleistungen integriert, die technischen, regulatorischen, vertraglichen und gesetzlichen Sicherheitsauflagen unterliegen und daher nicht an Dritte weitergegeben werden.

Namirial passt sich ständig an die sich verändernde Cybersicherheitslandschaft an, um den Bedrohungen für unsere Systeme und Anwendungen einen Schritt voraus zu sein. Die Sicherheit unserer Kunden- und Mitarbeiterinformationen wird jedoch nicht allein durch Technologie erreicht, sondern erfordert aufmerksame Mitarbeiter, Kunden und Partner, die wissen, wie sie Probleme erkennen und melden können. Aus diesem Grund erlauben wir unseren Kunden und Partnern, Schwachstellen und/oder Sicherheitsvorfälle, die sie auf einer öffentlich zugänglichen Website oder Anwendung entdecken, die Namirial gehört, von ihm betrieben oder kontrolliert wird, über ein Responsible Disclosure Program zu melden