Stefano Scaramuzzino - THE INNOVATION GROUP

CISO, ASL Roma1

PROFILO PROFESSIONALE

Esperto di cybersecurity sanitaria con 25+ anni di esperienza nel settore pubblico,

specializzato nella governance di infrastrutture critiche (NIS2, ISO 27001), protezione di

dispositivi medici IoT e dati sensibili di 1.8M+ assistiti.

Le mie competenze chiave si possono riassumere in:

Compliance avanzata: Implementazione di framework NIS2, GDPR, ISO 27001 e DLGS65/2023ù
Cyber-resilienza sanitaria: Progettazione HyperSOC predittivo, gestione crisi (ransomware), BCP/DRP per servizi salvavita
Sicurezza medicale: Hardening dispositivi IoMT (standard IEC 62443), gestione vulnerabilità con Claroty Nexus
Leadership strategica: Coordinamento team trasversali (SOC, IT, DPO), allocazionebudget, reporting al CdA
Thought leader: Pubblicazioni su modelli predittivi (Claroty Nexus) e membro Fondazione ICSA per cybersecurity sanitaria

PROFILO PROFESSIONALE

Esperto di cybersecurity sanitaria con 25+ anni di esperienza nel settore pubblico,

specializzato nella governance di infrastrutture critiche (NIS2, ISO 27001), protezione di

dispositivi medici IoT e dati sensibili di 1.8M+ assistiti.

Le mie competenze chiave si possono riassumere in:

65/2023

Cyber-resilienza sanitaria: Progettazione HyperSOC predittivo, gestione crisi (ransomware), BCP/DRP per servizi salvavita
Sicurezza medicale: Hardening dispositivi IoMT (standard IEC 62443), gestione vulnerabilità con Claroty Nexus
Leadership strategica: Coordinamento team trasversali (SOC, IT, DPO), allocazione

budget, reporting al CdA

Thought leader: Pubblicazioni su modelli predittivi (Claroty Nexus) e membro Fondazione ICSA per cybersecurity sanitaria

CAPACITÀ E COMPETENZE

Competenze Tecnico-Normative Cyber-normative complesse:

Implementazione di Legge 90/2024, NIS2, GDPR, Direttiva CER, DLGS 65/2023 estandard AGID/ISS in contesti sanitari.

Risk Management avanzato: Mappatura del rischio per infrastrutture critiche (reti ospedaliere, dispositivi medici IoT, eHealth), modelli basati su ISO 27001/31000, NIST CSF, e ENISA AI Act.

Cybersecurity by Design: Integrazione sicurezza in progetti ICT (Fascicolo Sanitario Elettronico, cloud ibrido, app patient-facing).

Tecnologie di difesa: Gestione di SIEM (es. Splunk/QRadar), SOAR, EDR/XDR, firewall di ultima generazione, soluzioni Zero Trust.

Leadership & Gestione Strategica

Competenze Settoriali (Sanità)

Soft Skills Critiche

Governance della sicurezza: Definizione di policy, reporting al CTO ed alla Direzione

Strategica su KPI (es. MTTR, esposizione al rischio).

Crisis Management: Gestione di incidenti cyber (ransomware, data breach) con piani certificati di BCP/DRP per servizi salvavita.
Team Building: Coordinamento di unità trasversali (SOC, IT, DPO, Risk) e formazione specialistica su threat hunting e compliance.
Stakeholder Engagement: Relazioni con autorità (CSIRT Italia, Garante Privacy, Agenas), provider tecnologici e enti regionali/nazionali.
Protezione dispositivi medici: Hardening di apparati IoMT (ECG, risonatori), conformità IEC 62443 e direttiva MDR.
Data Protection sanitaria: Criptografia e pseudonimizzazione dati sensibili (cartelle cliniche, genomica), audit ISO 27799.
Resilienza operativa: Garantire continuità di servizi critici (Pronto Soccorso, laboratori analisi) durante attacchi cyber.
Compliance PNRR-Salute: Allineamento afinanziamenti per digitalizzazione e cybersecurity (es. migrazione cloud sicura).
Comunicazione efficace: Tradurre tecnicismi cyber per dirigenti sanitari, personale clinico e autorità.
Negoziazione: Mediare tra esigenze di sicurezza e operatività in ambienti timecritical (es. blocchi chirurgici).
Visione proattiva: Anticipare minacce (es. supply-chain attack) tramite threat intelligence e benchmark.
Change Management: Guidare transizioni culturali (es. phishing simulation per 8000+ dipendenti).

CAPACITÀ E COMPETENZE

Competenze Tecnico-Normative Cyber-normative complesse:

Implementazione di Legge 90/2024, NIS2, GDPR, Direttiva CER, DLGS 65/2023 e standard AGID/ISS in contesti sanitari.

Risk Management avanzato: Mappatura del rischio per infrastrutture critiche (reti ospedaliere, dispositivi medici IoT, eHealth), modelli basati su ISO 27001/31000, NIST CSF, e ENISA AI Act.
Cybersecurity by Design: Integrazione sicurezza in progetti ICT (Fascicolo Sanitario Elettronico, cloud ibrido, app patient-facing).
Tecnologie di difesa: Gestione di SIEM (es. Splunk/QRadar), SOAR, EDR/XDR, firewall di ultima generazione, soluzioni Zero Trust.

Leadership & Gestione Strategica

Competenze Settoriali (Sanità)

Soft Skills Critiche

Governance della sicurezza: Definizione di policy, reporting al CTO ed alla Direzione Strategica su KPI (es. MTTR, esposizione al rischio).

Crisis Management: Gestione di incidenti cyber (ransomware, data breach) con piani certificati di BCP/DRP per servizi salvavita.
Team Building: Coordinamento di unità trasversali (SOC, IT, DPO, Risk) e formazione specialistica su threat hunting e compliance.
Stakeholder Engagement: Relazioni con autorità (CSIRT Italia, Garante Privacy, Agenas), provider tecnologici e enti regionali/nazionali.
Protezione dispositivi medici: Hardening di apparati IoMT (ECG, risonatori), conformità IEC 62443 e direttiva MDR.
Data Protection sanitaria: Criptografia e pseudonimizzazione dati sensibili (cartelle cliniche, genomica), audit ISO 27799.
Resilienza operativa: Garantire continuità di servizi critici (Pronto Soccorso, laboratori analisi) durante attacchi cyber.
Compliance PNRR-Salute: Allineamento afinanziamenti per digitalizzazione e cybersecurity (es. migrazione cloud sicura).
Comunicazione efficace: Tradurre tecnicismi cyber per dirigenti sanitari, personale clinico e autorità.
Negoziazione: Mediare tra esigenze di sicurezza e operatività in ambienti timecritical (es. blocchi chirurgici).
Visione proattiva: Anticipare minacce (es. supply-chain attack) tramite threat intelligence e benchmark.
Change Management: Guidare transizioni culturali (es. phishing simulation per 8000+ dipendenti).