Il Consiglio di Amministrazione di PreviAmbiente, Fondo Nazionale Pensione a favore dei lavoratori del settore dell’igiene ambientale e dei settori affini, iscritto con il numero 88 all’Albo dei Fondi pensione tenuto da Covip, ha deliberato, in data 25/06/2024, di procedere alla selezione di una società, nel rispetto della Politica di Esternalizzazione del Fondo, avente il compito di fornire al Fondo supporto nell’implementazione di un modello di compliance al Digital Operational Resilience Act – D.O.R.A. (Regolamento (EU) 2022/2554).
Oggetto dell’incarico:
Il Fondo Pensione PreviAmbiente ha l’esigenza di ricevere:
- assistenza e consulenza per lo svolgimento delle attività propedeutiche alla pianificazione del lavoro al fine di organizzare gli interventi in coerenza con gli obiettivi di progetto;
- supporto nell’implementazione di un modello di compliance al D.O.R.A;
- attività di project management al fine di monitorare l’effettiva e tempestiva realizzazione del piano operativo e, in caso di scostamenti, di innescare i necessari processi iterativi di revisione delle attività, tempistiche o modalità di svolgimento del progetto coerentemente con le indicazioni del Fondo.
In considerazione di quanto specificato, si riassumono di seguito le principali attività e deliverables da svolgere nell’ambito del supporto professionale richiesto:
Attività:
- Set-up & Planning: acquisizione delle informazioni inerenti al contesto organizzativo e documentale della struttura IT del Fondo, definizione degli obiettivi di progetto, della pianificazione del lavoro e degli interventi e delle tempistiche di verifica degli stati avanzamento lavoro, nonché dei deliverables.
- Revisione normativa interna: revisione, gap analysis e aggiornamento della normativa interna del Fondo (policy, procedure e istruzioni operative) in conformità con i requisiti definiti dalla norma (includendo anche l’eventuale produzione di nuovi documenti non precedentemente presenti nel Manuale delle procedure del Fondo)
- Ruoli e responsabilità: revisione dell’organigramma e dei mansionari in termini di ruoli e responsabilità in ambito resilienza digitale, in accordo con quanto previsto dalla norma
- Piano strategico di resilienza digitale: definizione e stesura del Piano strategico di resilienza digitale, inclusa la nota di accompagnamento per il Consiglio di Amministrazione
- Framework di ICT & Security Risk Assessment: revisione del Framework di ICT Risk Assessment alla luce dei nuovi requisiti specifici imposti dalla norma
- Modello di “Business Impact Analysis (BIA)” in ambito continuità operativa: revisione del modello di “Business Impact Analysis (BIA)”, in ambito continuità operativa, alla luce dei nuovi requisiti specifici imposti dalla norma
- Clausole contrattuali con le terze parti ICT: revisione del modello di gestione degli annessi di sicurezza, clausole contrattuali e rescissorie in relazione ai rapporti con le Terze Parti in accordo con quanto previsto dalla norma
- Piano di monitoraggio e verifica delle terze parti: definizione del Piano di monitoraggio e verifica delle terze parti considerate a maggiore rischiosità in ambito sicurezza delle informazioni e resilienza digitale
- Test di resilienza: definizione di un Piano dei test di resilienza (VA, PT, Red Team)
- Attività di Project Management: l’attività rappresenta, nella sua trasversalità, un elemento importante che influenza il successo di interventi ad alta complessità e si sostanzia nel supporto alla realizzazione delle attività di progetto e di monitoraggio delle stesse. Evidenzierà inoltre eventuali scostamenti dal piano operativo stabilito, innescando i necessari processi iterativi di revisione di attività, tempistiche o modalità di svolgimento del progetto. L’attività consisterà nello specifico nella:
- Verifica continua dell’ambito del progetto, assicurando il rispetto degli obiettivi definiti.
- Verifica costante dell’allineamento organizzativo del progetto tramite anche il controllo dei piani e delle richieste di cambiamento.
- Elaborazione del materiale per le riunioni di Stato Avanzamento Lavoro.
- Raccolta e valutazione di eventuali criticità che abbiano impatti sul piano.
La candidatura dovrà includere una dichiarazione contenente una proposta di collaborazione prevedendo l’utilizzo di professionisti con professionalità e competenze di:
- IT audit;
- Sicurezza;
- Risk & Compliance;
- IT Governance;
- ERP Integrity e Segregation of Duty (SOD);
Tale proposta dovrà almeno contenere indicazione in relazione a:
- organizzazione del fornitore (struttura e caratteristiche organizzative, esperienze ed eventuali certificazioni);
- descrizione delle attività e dei deliverable in oggetto e di quant’altro ritenuto utile/necessario per il raggiungimento della conformità al D.O.R.A. da parte del Fondo
- descrizione delle modalità di esecuzione delle attività e dei deliverables di progetto
- composizione del team di lavoro indicandone un profilo sintetico, le esperienze maturate e la relativa seniority e allegando i curricula delle figure di riferimento;
- stima delle giornate uomo previste e loro distribuzione per profilo professionale
- pianificazione di massima della durata di progetto (inizio/fine)
- condizioni economiche
Il Fondo Pensione procederà alla valutazione delle candidature pervenute, nell’ambito della quale si riserva di effettuare colloqui di approfondimento. Il Fondo potrà richiedere eventuali chiarimenti ed integrazioni della documentazione trasmessa.
Il Fondo in esito alle valutazioni, tramite apposita deliberazione da parte del Consiglio di Amministrazione, a suo insindacabile giudizio, sceglierà il soggetto aggiudicatario dell’incarico dandone comunicazione allo stesso.
L’affidamento di tale incarico sarà subordinato e conseguente al buon esito del processo di sottoscrizione del relativo contratto.
La candidatura alla selezione dovrà essere trasmessa in via telematica al seguente indirizzo di posta elettronica certificata compliancepreviambiente@pec.it e l’oggetto dovrà riportare la dicitura “Selezione società per implementazioni D.O.R.A.” entro il 12 luglio 2024.
Si precisa che la presente offerta non comporta per il Fondo alcun obbligo o impegno ad affidare i predetti servizi agli eventuali candidati e per questi alcun diritto nei confronti del Fondo.
Il Fondo, Titolare del trattamento dei dati, tratterà i dati personali acquisiti nel corso del processo di selezione nel pieno rispetto delle disposizioni di cui al Regolamento UE 2016/679.
Per maggiori informazioni consulta qui l’invito a offrire