Skip to Content
Termini e Condizioni1. Definizioni2. Quadro Contrattuale e Ordine di Prevalenza3. Contesto Legale e Regolamentare4. Perimetro dei Servizi vCISO5. Natura del Ruolo vCISO6. Esclusioni Espresse7. Responsabilità del Cliente8. Standard Professionale e Obbligazione di Mezzi9. Accesso ai Sistemi del Cliente e Regole di Sicurezza10. Deliverable, Revisione e Accettazione11. GDPR e Protezione dei Dati12. NIS2 e Decreto Legislativo Italiano n. 138/202413. Supporto al Cyber Resilience Act14. DORA e Resilienza del Settore Finanziario15. Incidenti di Sicurezza e Supporto Emergenziale16. Servizi, Strumenti e Fornitori di Terze Parti17. Uso di Intelligenza Artificiale e Automazione18. Riservatezza19. Proprietà Intellettuale20. Misure di Sicurezza delle Informazioni21. Corrispettivi, Fatturazione e Pagamento22. Change Request e Attività Fuori Perimetro23. Durata, Rinnovo, Sospensione e Risoluzione24. Uso Lecito e Restrizioni Etiche25. Sanzioni, Export Control e Requisiti del Settore Pubblico26. Pubblicità e Referenze27. Non Sollecitazione28. Garanzie ed Esclusioni di Garanzia29. Responsabilità30. Manleva31. Subappalto32. Registrazioni e Supporto agli Audit33. Forza Maggiore34. Comunicazioni35. Cessione36. Clausola di Salvaguardia37. Intero Accordo38. Legge Applicabile e Foro Competente

Termini e Condizioni

Blue Networks S.r.l. a socio unico

Ultimo aggiornamento: [10/03/2026]

I presenti Termini e Condizioni per i Servizi vCISO (“Termini”) disciplinano la fornitura dei servizi di Virtual Chief Information Security Officer e dei relativi servizi di governance, rischio, compliance, resilienza e consulenza in materia di cybersecurity (“Servizi vCISO”) prestati da Blue Networks S.r.l. a socio unico, P. IVA 03486300837, con sede in 98051 Barcellona Pozzo di Gotto, ME, Italia (“Blue Networks”, “Fornitore”, “noi”, “ci” o “nostro”) al cliente professionale, aziendale, societario, istituzionale, regolamentato o pubblico che acquista, riceve o utilizza tali servizi (“Cliente”, “voi” o “vostro”).

I presenti Termini si applicano esclusivamente a rapporti business-to-business e professionali. Non sono destinati ai consumatori. Accettando un preventivo, una proposta, uno statement of work, un modulo d’ordine, un ordine di acquisto, una lettera d’incarico, un ordine online, una conferma scritta, un’accettazione elettronica, o consentendo a Blue Networks di iniziare l’esecuzione dei Servizi vCISO, il Cliente accetta integralmente i presenti Termini.

Qualora tra le parti sia stato sottoscritto un separato master services agreement, statement of work, accordo sul trattamento dei dati personali, security schedule, modulo d’ordine o altro documento scritto, tale documento prevarrà sui presenti Termini esclusivamente nella misura di eventuali incompatibilità espressamente previste.

1. Definizioni

Ai fini dei presenti Termini:

“Legge Applicabile” indica tutte le leggi, regolamenti, direttive, decreti, decisioni vincolanti di autorità, linee guida di vigilanza, ordini giudiziari e norme imperative applicabili al Cliente, a Blue Networks o ai servizi pertinenti, incluse, ove applicabili, la legge italiana, la legge dell’Unione Europea e le norme settoriali in materia di cybersecurity, privacy, settore finanziario, pubblica amministrazione o conformità di prodotto.

“Dati del Cliente” indica tutti i dati, documenti, file, registrazioni, log, informazioni di sistema, policy, informazioni commerciali, dati personali, informazioni di sicurezza, credenziali, configurazioni, registri dei rischi, evidenze di audit, informazioni contrattuali, informazioni sulle vulnerabilità e altri materiali forniti o resi disponibili dal Cliente a Blue Networks.

“Informazioni Riservate” indica qualsiasi informazione non pubblica divulgata da una parte all’altra, oralmente, visivamente, elettronicamente o per iscritto, incluse informazioni tecniche, commerciali, finanziarie, contrattuali, operative, legali, di sicurezza, architetturali, strategiche, relative a vulnerabilità, personali, relative a prodotti od organizzative.

“Deliverable” indica report, assessment, policy, procedure, analisi dei rischi, piani di azione, roadmap, presentazioni, registri, matrici, template, raccomandazioni, verbali, materiali formativi o altri output scritti predisposti specificamente da Blue Networks per il Cliente nell’ambito dell’incarico applicabile.

“Ordine” indica qualsiasi preventivo, proposta, ordine di acquisto, statement of work, modulo d’ordine, lettera d’incarico, ordine online o altro documento accettato dal Cliente e da Blue Networks che descriva i Servizi vCISO.

“Perimetro” indica i servizi, sistemi, entità, business unit, asset, framework normativi, deliverable, tempistiche, presupposti ed esclusioni descritti nell’Ordine applicabile.

“Incidente di Sicurezza” indica qualsiasi evento effettivo o sospetto che incida sulla riservatezza, integrità, disponibilità, autenticità o resilienza di reti, sistemi informativi, dati, prodotti, servizi o processi aziendali.

“Servizi vCISO” indica i servizi esterni di leadership, consulenza, governance, rischio, compliance e coordinamento in materia di cybersecurity forniti da Blue Networks ai sensi dei presenti Termini.

“CRA” indica il Regolamento (UE) 2024/2847, noto come Cyber Resilience Act, relativo ai requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali.

“Prodotto con Elementi Digitali” ha il significato attribuito dal CRA e, in generale, indica prodotti hardware o software messi a disposizione sul mercato dell’Unione Europea il cui uso previsto o ragionevolmente prevedibile includa una connessione dati logica o fisica, diretta o indiretta, a un dispositivo o a una rete.

2. Quadro Contrattuale e Ordine di Prevalenza

2.1. Il rapporto contrattuale tra le parti può essere composto dai seguenti documenti:

a. un master services agreement, ove esistente;

b. l’Ordine applicabile o lo statement of work;

c. un accordo sul trattamento dei dati personali, ove richiesto ai sensi dell’articolo 28 GDPR;

d. eventuali allegati in materia di sicurezza, riservatezza, aspetti tecnici o regolamentari;

e. i presenti Termini.

2.2. In caso di conflitto, si applicherà il seguente ordine di prevalenza:

a. la Legge Applicabile inderogabile;

b. un master services agreement sottoscritto;

c. un accordo sul trattamento dei dati personali sottoscritto, ma esclusivamente per le questioni relative al trattamento dei dati personali;

d. l’Ordine applicabile o lo statement of work;

e. i presenti Termini;

f. eventuali condizioni di acquisto o condizioni di procurement del Cliente, che si applicheranno solo se espressamente accettate per iscritto da Blue Networks.

2.3. Qualsiasi condizione standard allegata o richiamata in un ordine di acquisto del Cliente, portale fornitori, piattaforma di procurement o sistema di pagamento è espressamente respinta, salvo specifica sottoscrizione da parte di Blue Networks.

3. Contesto Legale e Regolamentare

3.1. I Servizi vCISO possono supportare le attività di governance, gestione del rischio e compliance in materia di cybersecurity del Cliente con riferimento, ove applicabile, al GDPR, al Codice Privacy italiano, alla NIS2, al Decreto Legislativo italiano n. 138/2024, a DORA, al Cyber Resilience Act, a ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005, ISO 22301, al NIST Cybersecurity Framework, ai CIS Controls, alle linee guida ENISA, alle linee guida ACN e ad altri framework pertinenti.

3.2. Qualsiasi riferimento a leggi, regolamenti, standard o framework ha esclusivamente finalità consulenziali e di delimitazione del perimetro. Salvo diverso accordo scritto, Blue Networks non presta servizi legali riservati, non agisce come consulente legale, non rappresenta il Cliente davanti a tribunali o autorità e non rilascia pareri legalmente vincolanti.

3.3. Blue Networks può fornire raccomandazioni operative, tecniche e organizzative. Il Cliente resta responsabile dell’acquisizione di consulenza legale ove siano richieste interpretazioni giuridiche, adempimenti regolamentari, notifiche formali, difesa amministrativa, negoziazione contrattuale o corrispondenza con autorità.

3.4. I Servizi vCISO non garantiscono certificazioni, conformità normativa, assenza di sanzioni, assenza di incidenti, esiti positivi di audit, approvazione di mercato, marcatura CE, conformità ai sensi del CRA, certificazione ISO, conformità DORA, conformità NIS2 o conformità GDPR.

4. Perimetro dei Servizi vCISO

4.1. Fatto salvo quanto previsto nell’Ordine applicabile, i Servizi vCISO possono includere:

a. supporto alla governance della cybersecurity;

b. cyber risk assessment e pianificazione del trattamento del rischio;

c. redazione e revisione di policy di sicurezza delle informazioni;

d. progettazione di programmi di sicurezza e valutazione della maturità;

e. reporting cybersecurity a livello executive e board;

f. supporto alla roadmap di sicurezza e alla prioritizzazione;

g. supporto alla gestione del rischio dei fornitori e delle terze parti;

h. pianificazione di incident response ed esercitazioni tabletop;

i. supporto alla security awareness e alla formazione;

j. supporto alla preparazione e al mantenimento ISO/IEC 27001;

k. supporto consulenziale sulle misure di sicurezza GDPR;

l. supporto alla readiness NIS2, gap analysis e governance;

m. supporto alla readiness DORA e alla gestione del rischio ICT di terze parti, ove pertinente;

n. supporto alla readiness Cyber Resilience Act e alla governance della sicurezza di prodotto, ove pertinente;

o. governance del ciclo di sviluppo sicuro;

p. consulenza sui processi di vulnerability management;

q. supporto alla governance di business continuity e disaster recovery;

r. supporto durante audit interni, audit da clienti o attività di preparazione alla certificazione;

s. predisposizione o revisione di documentazione cybersecurity, registri, matrici di rischio ed evidenze di controllo.

4.2. I servizi specifici, i deliverable, i presupposti, le tempistiche e le esclusioni sono limitati all’Ordine applicabile. Qualsiasi attività non espressamente inclusa nell’Ordine è esclusa.

4.3. Blue Networks può eseguire i servizi da remoto, in presenza o in modalità ibrida, a seconda dell’Ordine e delle esigenze operative.

4.4. Salvo diverso accordo, i Servizi vCISO sono prestati durante il normale orario lavorativo di Blue Networks e non includono monitoraggio 24/7, supporto emergenziale in reperibilità o tempi di risposta garantiti.

5. Natura del Ruolo vCISO

5.1. Blue Networks agisce quale consulente esterno e prestatore di servizi professionali. Salvo espresso accordo scritto, Blue Networks non agisce come:

a. CISO statutario del Cliente;

b. amministratore, dirigente, executive, manager o dipendente del Cliente;

c. Responsabile della Protezione dei Dati ai sensi degli articoli 37–39 GDPR;

d. amministratore di sistema;

e. responsabile IT;

f. rappresentante legale;

g. compliance officer;

h. funzione di internal audit;

i. organismo notificato;

j. organismo di valutazione della conformità;

k. fabbricante, importatore, distributore o rappresentante autorizzato ai sensi del Cyber Resilience Act;

l. funzione di controllo del rischio ICT ai sensi di DORA;

m. organo di gestione responsabile ai sensi della NIS2;

n. referente presso autorità pubbliche, salvo espressa nomina per un supporto limitato.

5.2. Blue Networks non assume poteri decisionali, autorità di budget, autorità di assunzione, poteri disciplinari, poteri di firma, autorità di procurement, titolarità dei sistemi o controllo operativo sull’organizzazione del Cliente.

5.3. Tutte le decisioni relative ad accettazione del rischio, remediation, budget, priorità, implementazione, adempimenti regolamentari, notifiche di incidente, selezione dei fornitori, certificazione, rilascio di prodotti, immissione sul mercato e continuità operativa restano esclusivamente in capo al Cliente.

5.4. Qualsiasi nomina di Blue Networks o del suo personale a un ruolo formale specifico richiederà un accordo scritto separato che definisca mandato, responsabilità, autorità, copertura assicurativa, compensi, durata e limitazioni.

6. Esclusioni Espresse

Salvo espressa inclusione in un Ordine sottoscritto, i Servizi vCISO non includono:

a. SOC, MDR, XDR, SIEM o monitoraggio continuo della sicurezza;

b. incident response 24/7 o hotline emergenziale;

c. penetration testing, red teaming, purple teaming o test di sicurezza offensiva;

d. vulnerability scanning come servizio gestito ricorrente;

e. digital forensics, reverse engineering di malware o attività di perizia tecnica;

f. gestione diretta di server, reti, ambienti cloud, endpoint, firewall, sistemi di identità o sistemi di produzione;

g. sviluppo, deployment o esercizio di prodotti software;

h. rappresentanza legale o pareri legali riservati ad avvocati qualificati;

i. incarico come Responsabile della Protezione dei Dati;

j. rilascio di certificati ISO o certificazioni di audit;

k. rilascio di dichiarazioni di conformità CRA, marcatura CE, certificati di esame UE del tipo o pareri di organismi notificati;

l. invio di notifiche obbligatorie di incidente alle autorità, salvo espressa autorizzazione scritta;

m. intermediazione assicurativa o copertura cyber insurance;

n. garanzia che il Cliente superi audit, ottenga certificazioni o eviti sanzioni;

o. garanzia che i sistemi, prodotti o processi del Cliente siano privi di vulnerabilità;

p. attività su sistemi di terzi senza autorizzazione scritta del legittimo proprietario o titolare.

7. Responsabilità del Cliente

7.1. Il Cliente dovrà cooperare in buona fede e fornire a Blue Networks informazioni tempestive, accurate, complete e non fuorvianti.

7.2. Il Cliente è responsabile di:

a. identificare i propri obblighi legali, contrattuali e regolamentari;

b. identificare i sistemi, le entità, i prodotti, i servizi e gli asset compresi nel Perimetro;

c. fornire accesso alla documentazione, al personale, ai sistemi e alle evidenze pertinenti;

d. mantenere backup, log, misure di business continuity e procedure di disaster recovery;

e. implementare le misure raccomandate ove accettate dal Cliente;

f. approvare le decisioni di trattamento del rischio e di accettazione del rischio residuo;

g. assicurare che Blue Networks disponga di autorizzazione legittima ad accedere a sistemi, dati o documenti;

h. ottenere autorizzazioni di terzi ove siano coinvolti ambienti di terze parti;

i. mantenere controlli interni di sicurezza adeguati;

j. gestire account utente, accessi privilegiati e rotazione delle credenziali;

k. garantire che i dati personali siano trattati lecitamente;

l. garantire che dati personali non necessari, eccessivi o irrilevanti non siano forniti a Blue Networks;

m. effettuare notifiche regolamentari e comunicazioni alle autorità, salvo diverso accordo;

n. garantire la collaborazione del proprio personale, dei fornitori e delle affiliate.

7.3. I ritardi causati dal Cliente, inclusa la mancata fornitura di informazioni, l’assenza di accessi, l’indisponibilità del personale, i ritardi nelle approvazioni, evidenze incomplete o dati inesatti, estenderanno le tempistiche di consegna e non costituiranno inadempimento di Blue Networks.

7.4. Il Cliente dovrà designare un referente interno qualificato, dotato di autorità sufficiente per coordinare l’incarico, fornire decisioni, validare i deliverable e gestire le escalation.

7.5. Il Cliente resta l’unico responsabile della decisione di implementare, rinviare, respingere o modificare qualsiasi raccomandazione formulata da Blue Networks.

8. Standard Professionale e Obbligazione di Mezzi

8.1. Blue Networks eseguirà i Servizi vCISO con ragionevole competenza, cura e diligenza professionale, tenendo conto della natura dei servizi, del Perimetro, delle informazioni disponibili, della collaborazione del Cliente e dello stato dell’arte al momento dell’esecuzione.

8.2. Salvo quanto espressamente previsto diversamente in un Ordine sottoscritto, i Servizi vCISO costituiscono obbligazioni di mezzi e non obbligazioni di risultato.

8.3. La cybersecurity è per sua natura dinamica e incerta. La consulenza di Blue Networks si basa sulle informazioni disponibili al momento e può diventare obsoleta a causa di cambiamenti nelle minacce, nei sistemi, nei processi aziendali, nella legge, negli standard, nelle vulnerabilità, nelle tecnologie o nelle circostanze del Cliente.

8.4. Qualora i servizi comportino la soluzione di problemi tecnici di speciale difficoltà, le parti riconoscono la rilevanza dei principi riflessi nell’articolo 2236 del Codice Civile italiano, fatti salvi gli obblighi inderogabili di legge.

9. Accesso ai Sistemi del Cliente e Regole di Sicurezza

9.1. Qualsiasi accesso di Blue Networks ai sistemi del Cliente dovrà essere autorizzato dal Cliente e limitato al minimo necessario per il Perimetro.

9.2. Il Cliente dovrà garantire che gli accessi concessi a Blue Networks siano:

a. leciti;

b. documentati;

c. basati su ruoli;

d. limitati temporalmente ove opportuno;

e. protetti da autenticazione forte;

f. registrati tramite log ove tecnicamente possibile;

g. revocati quando non più necessari.

9.3. Salvo espresso accordo, Blue Networks non manterrà accessi amministrativi permanenti ai sistemi del Cliente.

9.4. Il Cliente non dovrà fornire credenziali condivise, password in chiaro, account privilegiati non controllati o accessi a sistemi esterni al Perimetro concordato.

9.5. Blue Networks potrà rifiutare o sospendere attività che, a suo ragionevole giudizio, possano creare accessi illeciti, rischi operativi sproporzionati, rischi per la sicurezza, rischi di security, violazioni di diritti di terzi o violazioni della Legge Applicabile.

10. Deliverable, Revisione e Accettazione

10.1. I Deliverable saranno predisposti nel formato e nella lingua concordati nell’Ordine o, in mancanza di accordo, nel formato professionale standard di Blue Networks.

10.2. Il Cliente dovrà revisionare ciascun Deliverable entro dieci giorni lavorativi dalla consegna e notificare per iscritto a Blue Networks eventuali specifiche e motivate non conformità rispetto al Perimetro concordato.

10.3. In assenza di contestazioni scritte entro tale termine, il Deliverable si intenderà accettato.

10.4. Un Deliverable non sarà considerato non conforme per il solo fatto che il Cliente richieda contenuti aggiuntivi, modifiche stilistiche, ulteriori analisi legali, ampliamenti di Perimetro, conclusioni diverse, nuovi presupposti o aggiornamenti causati da modifiche successive.

10.5. Blue Networks potrà correggere errori materiali od omissioni nei Deliverable entro un termine ragionevole.

10.6. I Deliverable sono predisposti per uso interno del Cliente e per il Perimetro definito al momento della consegna. Essi non dovranno essere trattati come consulenza legale generale, certificazioni di terze parti, garanzie di prodotto o dichiarazioni pubbliche, salvo espresso accordo.

11. GDPR e Protezione dei Dati

11.1. Le parti dovranno rispettare il GDPR, il Codice Privacy italiano e le altre leggi applicabili in materia di protezione dei dati.

11.2. Qualora Blue Networks tratti dati personali per conto del Cliente e secondo istruzioni documentate del Cliente, il Cliente agirà quale titolare del trattamento e Blue Networks agirà quale responsabile del trattamento. In tal caso, le parti stipuleranno, o si considererà applicabile, un accordo sul trattamento dei dati personali conforme all’articolo 28 GDPR.

11.3. Qualora Blue Networks tratti dati personali per proprie finalità aziendali, incluse amministrazione, fatturazione, gestione del rapporto, sicurezza, compliance, difesa legale o operazioni interne, Blue Networks agirà quale titolare autonomo del trattamento.

11.4. Il Cliente garantisce di disporre di una valida base giuridica per fornire dati personali a Blue Networks e che tutte le informative, autorizzazioni, valutazioni d’impatto e approvazioni interne necessarie siano state completate.

11.5. Il Cliente dovrà evitare di fornire dati personali non necessari ai servizi, inclusi dati appartenenti a categorie particolari, dati relativi a reati, dati di monitoraggio dei dipendenti, dati sanitari, documenti d’identità non necessari, password o log eccessivi.

11.6. Blue Networks implementerà misure tecniche e organizzative adeguate e proporzionate alla natura dei servizi e ai rischi coinvolti.

11.7. Qualora Blue Networks venga a conoscenza di una violazione dei dati personali che coinvolga dati personali trattati per conto del Cliente, Blue Networks notificherà il Cliente secondo quanto previsto dall’accordo sul trattamento dei dati personali applicabile.

11.8. Salvo espresso mandato scritto, Blue Networks non effettuerà notifiche al Garante per la protezione dei dati personali, agli interessati, ai clienti, ai regolatori o ad altri terzi per conto del Cliente.

11.9. Il Cliente resta responsabile di determinare se una violazione dei dati personali sia soggetta a notifica ai sensi degli articoli 33 e 34 GDPR.

12. NIS2 e Decreto Legislativo Italiano n. 138/2024

12.1. Ove incluso nell’Ordine, Blue Networks può supportare il Cliente nella readiness NIS2 e rispetto al Decreto Legislativo italiano n. 138/2024, incluse:

a. valutazione di applicabilità;

b. supporto alla classificazione come soggetto essenziale o importante;

c. mappatura della governance;

d. mappatura delle misure di gestione del rischio;

e. redazione di procedure di gestione degli incidenti;

f. supporto alla gestione del rischio dei fornitori;

g. revisione di policy e procedure;

h. predisposizione di evidenze;

i. reporting executive;

j. predisposizione di roadmap di remediation.

12.2. Il Cliente resta l’unico responsabile di:

a. determinare se rientri nel perimetro della NIS2 o della legge italiana di recepimento;

b. completare eventuali registrazioni, autodichiarazioni o comunicazioni ad autorità richieste;

c. adottare le misure tecniche, organizzative e di governance richieste;

d. assicurare l’approvazione e la supervisione dell’organo di gestione ove richiesto;

e. notificare incidenti significativi ad ACN, CSIRT Italia o altre autorità competenti;

f. mantenere evidenze di conformità;

g. ottenere consulenza legale sugli obblighi settoriali specifici.

12.3. Blue Networks non garantisce che il Cliente sia o non sia soggetto alla NIS2, né garantisce la piena conformità al Decreto Legislativo n. 138/2024.

12.4. Qualsiasi consulenza relativa alla NIS2 si basa sulle informazioni fornite dal Cliente e sul Perimetro concordato tra le parti.

13. Supporto al Cyber Resilience Act

13.1. Ove incluso nell’Ordine, Blue Networks può supportare il Cliente nella readiness al Cyber Resilience Act e nella governance della sicurezza di prodotto, incluse:

a. valutazione preliminare di applicabilità del CRA;

b. identificazione dei Prodotti con Elementi Digitali;

c. mappatura del potenziale ruolo del Cliente come fabbricante, importatore, distributore, rappresentante autorizzato o steward del software open source;

d. assessment della governance della sicurezza di prodotto;

e. revisione del ciclo di sviluppo sicuro;

f. revisione del processo di gestione delle vulnerabilità;

g. supporto alla valutazione del rischio cybersecurity di prodotto;

h. supporto alla governance della software bill of materials;

i. supporto alla readiness della documentazione tecnica;

j. governance del periodo di supporto;

k. supporto al processo di vulnerability disclosure;

l. predisposizione di playbook di reporting per vulnerabilità attivamente sfruttate o incidenti gravi;

m. mappatura dei requisiti essenziali di cybersicurezza;

n. supporto alla scelta del percorso di valutazione della conformità;

o. progettazione di questionari di sicurezza per fornitori e componenti;

p. supporto alla preparazione rispetto alla vigilanza del mercato.

13.2. Il Cliente riconosce che il CRA stabilisce requisiti orizzontali di cybersicurezza per i Prodotti con Elementi Digitali messi a disposizione sul mercato dell’Unione Europea, inclusi requisiti essenziali di cybersicurezza, obblighi di gestione delle vulnerabilità e obblighi per gli operatori economici. Esso si applica in via generale dall’11 dicembre 2027, mentre gli obblighi di segnalazione di cui all’articolo 14 si applicano dall’11 settembre 2026 e alcune disposizioni relative agli organismi di valutazione della conformità si applicano dall’11 giugno 2026.

13.3. Il Cliente resta l’unico responsabile di determinare se qualsiasi prodotto, software, hardware, componente, servizio, modulo, applicazione, firmware, sistema embedded, funzionalità dipendente dal cloud o elemento digitale rientri nel CRA.

13.4. Salvo espresso accordo scritto, Blue Networks non agisce come e non assume gli obblighi di:

a. fabbricante;

b. importatore;

c. distributore;

d. rappresentante autorizzato;

e. steward del software open source;

f. organismo notificato;

g. organismo di valutazione della conformità;

h. autorità di vigilanza del mercato;

i. titolare del prodotto;

j. product security incident response team.

13.5. Blue Networks non immette prodotti sul mercato, non mette prodotti a disposizione sul mercato, non appone marcature CE, non rilascia dichiarazioni UE di conformità, non mantiene la documentazione tecnica quale titolare legale, non conduce valutazioni formali di conformità, non certifica prodotti, non garantisce la conformità CRA e non agisce come organismo notificato.

13.6. Qualsiasi supporto relativo al CRA fornito da Blue Networks è consulenziale e si basa su:

a. informazioni di prodotto fornite dal Cliente;

b. uso previsto e uso ragionevolmente prevedibile dichiarati dal Cliente;

c. architettura, sviluppo, vulnerability management e processi di rilascio del Cliente;

d. documentazione ed evidenze disponibili;

e. Perimetro concordato nell’Ordine.

13.7. Il Cliente è l’unico responsabile di:

a. classificazione del prodotto;

b. determinazione del proprio ruolo ai sensi del CRA;

c. esecuzione e mantenimento delle valutazioni del rischio cybersecurity di prodotto;

d. assicurare che i prodotti siano progettati, sviluppati e prodotti in conformità ai requisiti essenziali di cybersicurezza applicabili;

e. assicurare una gestione efficace delle vulnerabilità durante il periodo di supporto;

f. predisporre e mantenere la documentazione tecnica;

g. predisporre e firmare dichiarazioni UE di conformità, ove richiesto;

h. apporre marcature CE, ove richiesto;

i. selezionare e incaricare organismi notificati, ove richiesto;

j. gestire richiami, ritiri o azioni correttive di prodotto;

k. rispondere alle autorità di vigilanza del mercato;

l. inviare notifiche obbligatorie a ENISA, CSIRT o altre autorità;

m. assicurare la governance dei fornitori, dei componenti e del software open source.

13.8. Qualora il Cliente chieda a Blue Networks di assistere nelle segnalazioni ai sensi dell’articolo 14 CRA, tale assistenza richiederà uno specifico mandato scritto o una istruzione scritta emergenziale. Anche qualora Blue Networks presti assistenza, il Cliente resta responsabile dell’accuratezza, completezza, tempestività e sufficienza legale di qualsiasi notifica.

13.9. Blue Networks non è responsabile per vulnerabilità, progettazione insicura, codice insicuro, pratiche di sviluppo inadeguate, componenti di terze parti, dipendenze open source, mancanza di documentazione di prodotto, prodotti non supportati, uso improprio del prodotto, difetti della supply chain o decisioni di immissione sul mercato adottate dal Cliente o da terzi.

13.10. Qualsiasi roadmap, gap assessment o raccomandazione CRA non costituisce certificazione, dichiarazione di conformità, garanzia di commerciabilità o parere legale.

14. DORA e Resilienza del Settore Finanziario

14.1. Ove incluso nell’Ordine e qualora il Cliente sia un’entità finanziaria, un fornitore terzo di servizi ICT o un fornitore di entità finanziarie, Blue Networks può supportare il Cliente nella readiness DORA, incluse:

a. gap assessment sulla gestione del rischio ICT;

b. governance del rischio ICT di terze parti;

c. revisione di policy e procedure;

d. revisione dei processi di gestione degli incidenti;

e. supporto ai test di resilienza operativa digitale;

f. supporto alle evidenze di sicurezza per outsourcing e fornitori;

g. supporto al registro delle informazioni;

h. supporto al reporting verso board e management.

14.2. Il Cliente resta l’unico responsabile di determinare se DORA si applichi al Cliente e di rispettare tutti gli obblighi DORA, inclusi gestione del rischio ICT, segnalazione degli incidenti, test di resilienza, gestione del rischio di terze parti e comunicazioni regolamentari.

14.3. Salvo espresso accordo, Blue Networks non agisce come funzione di controllo interna di un’entità finanziaria, fornitore regolamentato in outsourcing, fornitore terzo critico di servizi ICT, rappresentante legale o agente per segnalazioni regolamentari.

14.4. Il supporto relativo a DORA non costituisce garanzia di conformità, accettazione da parte delle autorità di vigilanza, successo negli audit o approvazione regolamentare.

15. Incidenti di Sicurezza e Supporto Emergenziale

15.1. Il supporto per Incidenti di Sicurezza è incluso solo ove espressamente indicato nell’Ordine o attivato separatamente mediante accordo scritto.

15.2. Salvo esistenza di uno specifico retainer di incident response o service-level agreement, Blue Networks non garantisce:

a. disponibilità 24/7;

b. risposta immediata;

c. risposta entro un tempo definito;

d. conservazione forense;

e. analisi malware;

f. contenimento completo;

g. ripristino dei sistemi;

h. comunicazioni di crisi;

i. gestione legale delle notifiche.

15.3. In caso di Incidente di Sicurezza, il Cliente dovrà:

a. notificare tempestivamente Blue Networks qualora sia richiesta assistenza;

b. preservare log, evidenze, asset interessati e timestamp rilevanti;

c. evitare la distruzione o sovrascrittura di evidenze;

d. attivare le procedure interne di incident response, legali, DPO, management e comunicazione;

e. mantenere processi di backup e ripristino;

f. determinare se siano richieste notifiche legali o regolamentari;

g. autorizzare per iscritto qualsiasi azione tecnica ove necessario.

15.4. Blue Networks può fornire raccomandazioni durante un incidente sulla base di informazioni incomplete, mutevoli e urgenti. Il Cliente resta responsabile di tutte le decisioni operative, legali e aziendali.

15.5. Salvo espressa autorizzazione scritta, Blue Networks non comunicherà con forze dell’ordine, regolatori, autorità per la protezione dei dati personali, ACN, CSIRT Italia, ENISA, clienti, interessati, assicuratori, media o terzi per conto del Cliente.

16. Servizi, Strumenti e Fornitori di Terze Parti

16.1. Blue Networks può utilizzare piattaforme di terze parti, software, strumenti di assessment, sistemi di ticketing, piattaforme documentali, sistemi di videoconferenza, servizi cloud, database di vulnerabilità, fonti di threat intelligence, strumenti di project management o altre risorse per eseguire i servizi.

16.2. Gli strumenti di terze parti possono essere soggetti ai rispettivi termini, licenze, limiti di disponibilità, misure di sicurezza e condizioni di trattamento dei dati.

16.3. Blue Networks non è responsabile per interruzioni, vulnerabilità, violazioni, errori, modifiche, aumenti di prezzo o cessazione di servizi di terze parti al di fuori del suo ragionevole controllo.

16.4. Qualora uno strumento di terze parti richieda una licenza, un abbonamento o un costo separato, tale costo sarà a carico del Cliente salvo diversa previsione nell’Ordine.

16.5. Qualsiasi valutazione dei fornitori del Cliente effettuata da Blue Networks ha natura esclusivamente consulenziale. Il Cliente resta responsabile della selezione dei fornitori, della contrattualizzazione, del monitoraggio, dei diritti di audit, delle decisioni di recesso e dell’accettazione del rischio residuo.

17. Uso di Intelligenza Artificiale e Automazione

17.1. Blue Networks può utilizzare automazione, script, strumenti di analisi, strumenti documentali, strumenti di workflow o strumenti assistiti da intelligenza artificiale per migliorare efficienza e qualità, purché tale uso sia ragionevolmente compatibile con gli obblighi di riservatezza, sicurezza e protezione dei dati.

17.2. Blue Networks non inserirà intenzionalmente Informazioni Riservate del Cliente, informazioni sensibili di sicurezza, credenziali, dati personali o segreti commerciali in sistemi di AI pubblici o non governati qualora tale inserimento comporti violazione degli obblighi di riservatezza o protezione dei dati concordati.

17.3. Gli output assistiti da AI saranno soggetti a ragionevole revisione umana ove incidano materialmente su un Deliverable.

17.4. Il Cliente non dovrà fare affidamento esclusivamente su output automatizzati per decisioni legali, regolamentari, operative o di rilascio di prodotto.

18. Riservatezza

18.1. Ciascuna parte dovrà proteggere le Informazioni Riservate dell’altra parte con almeno lo stesso grado di cura utilizzato per proteggere le proprie informazioni analoghe e, in ogni caso, con non meno di una ragionevole diligenza.

18.2. Le Informazioni Riservate potranno essere utilizzate solo per l’esecuzione dei servizi o per far valere i diritti delle parti.

18.3. Le Informazioni Riservate potranno essere comunicate solo a dipendenti, collaboratori, consulenti, auditor o subfornitori che abbiano necessità di conoscerle e siano vincolati da obblighi di riservatezza.

18.4. Gli obblighi di riservatezza non si applicano alle informazioni che:

a. siano o divengano pubbliche senza violazione dei presenti Termini;

b. fossero legittimamente note prima della divulgazione;

c. siano legittimamente ricevute da terzi senza vincoli di riservatezza;

d. siano sviluppate autonomamente senza uso di Informazioni Riservate;

e. debbano essere divulgate per legge, ordine giudiziario o ordine di un’autorità.

18.5. Qualora la divulgazione sia legalmente richiesta, la parte ricevente dovrà, ove legalmente consentito, fornire tempestiva comunicazione alla parte divulgante e limitare la divulgazione a quanto legalmente richiesto.

18.6. Gli obblighi di riservatezza avranno durata di cinque anni dopo la cessazione del rapporto, salvo per segreti commerciali, credenziali, informazioni sulle vulnerabilità, architetture di sicurezza, dati personali e informazioni di sicurezza altamente sensibili, che rimarranno protetti finché mantengano natura riservata o protezione legale.

19. Proprietà Intellettuale

19.1. Blue Networks conserva ogni diritto, titolo e interesse sui propri materiali preesistenti e sviluppati autonomamente, metodologie, know-how, template, framework, checklist, script, strumenti, modelli, processi, librerie, materiali formativi, strutture documentali e competenze professionali.

19.2. Subordinatamente al pagamento integrale, Blue Networks concede al Cliente una licenza non esclusiva, non trasferibile e non sublicenziabile per utilizzare i Deliverable internamente per le finalità aziendali e di compliance del Cliente.

19.3. Il Cliente non potrà, senza previo consenso scritto di Blue Networks:

a. rivendere i Deliverable;

b. pubblicare i Deliverable;

c. distribuire i Deliverable a terzi, salvo consulenti, auditor, regolatori o assicuratori soggetti a riservatezza;

d. utilizzare i Deliverable per fornire servizi a terzi;

e. rimuovere avvisi proprietari;

f. rivendicare la titolarità delle metodologie di Blue Networks;

g. creare librerie di template concorrenti o prodotti commerciali basati sui materiali di Blue Networks.

19.4. Il Cliente può condividere i Deliverable con auditor, regolatori, consulenti legali, assicuratori, clienti o organismi di certificazione ove ragionevolmente necessario, a condizione che la riservatezza sia preservata e che i Deliverable non siano modificati in modo fuorviante.

19.5. Qualsiasi software, script o codice fornito da Blue Networks è fornito solo per il Perimetro specifico e non è garantito per l’uso in produzione salvo espressa previsione.

19.6. Feedback, suggerimenti o richieste di miglioramento forniti dal Cliente potranno essere utilizzati da Blue Networks senza restrizioni, a condizione che Blue Networks non divulghi Informazioni Riservate del Cliente.

20. Misure di Sicurezza delle Informazioni

20.1. Blue Networks manterrà misure tecniche e organizzative di sicurezza ragionevoli e adeguate alla natura dei Servizi vCISO.

20.2. Il Cliente riconosce che nessun sistema, servizio o misura di sicurezza può garantire sicurezza assoluta.

20.3. Blue Networks non è responsabile per vulnerabilità, configurazioni errate, sistemi non aggiornati, controlli di accesso deboli, pratiche password inadeguate, backup mancanti, sistemi non supportati, asset non gestiti o infrastrutture legacy sotto il controllo del Cliente.

20.4. Blue Networks può notificare al Cliente problemi di sicurezza rilevanti scoperti durante l’incarico, ma tale notifica non crea un obbligo di monitorare tutti i sistemi del Cliente salvo espresso accordo.

21. Corrispettivi, Fatturazione e Pagamento

21.1. I corrispettivi saranno indicati nell’Ordine applicabile.

21.2. Salvo diversa indicazione, tutti i corrispettivi si intendono al netto di IVA, ritenute, imposte, spese bancarie, costi di trasferta, alloggio, pasti, licenze di terze parti, abbonamenti a strumenti e altre spese vive.

21.3. I corrispettivi possono essere calcolati su base fixed-fee, retainer mensile, time-and-materials, tariffa giornaliera, pacchetto, milestone o abbonamento.

21.4. Salvo diversa previsione nell’Ordine, le fatture sono pagabili entro 30 giorni dalla data di fattura.

21.5. In caso di ritardo nel pagamento, Blue Networks potrà:

a. addebitare interessi moratori di legge ai sensi del Decreto Legislativo italiano n. 231/2002;

b. recuperare ragionevoli costi di incasso;

c. sospendere i servizi;

d. richiedere pagamento anticipato;

e. trattenere i Deliverable;

f. risolvere l’incarico per mancato pagamento.

21.6. Pacchetti ore, ore prepagate o giornate in retainer devono essere utilizzati entro il periodo indicato nell’Ordine. Salvo diverso accordo, il tempo non utilizzato a causa di ritardi, indisponibilità o mancata collaborazione del Cliente non è rimborsabile.

21.7. Attività urgenti, fuori orario, nel fine settimana, festive, emergenziali o fuori perimetro possono essere soggette a tariffe maggiorate.

21.8. Processi di procurement del Cliente, ritardi negli ordini di acquisto, vendor onboarding, approvazioni interne, approvazioni di budget o problemi di portale non sospendono gli obblighi di pagamento, salvo accettazione scritta di Blue Networks prima dell’inizio dell’esecuzione.

22. Change Request e Attività Fuori Perimetro

22.1. Qualsiasi modifica al Perimetro, ai deliverable, ai presupposti, alle scadenze, ai framework legali, alle entità, ai sistemi, agli asset, ai prodotti, ai fornitori, alle riunioni o alle priorità dovrà essere concordata per iscritto.

22.2. Blue Networks può emettere un preventivo aggiornato qualora:

a. il Cliente ampli il Perimetro;

b. i presupposti si rivelino errati;

c. siano incluse ulteriori entità, sistemi o prodotti;

d. sia richiesto lavoro urgente;

e. sia richiesta ulteriore analisi regolamentare;

f. il Cliente ritardi o modifichi le priorità;

g. nuovi fatti incidano materialmente sull’incarico.

22.3. Blue Networks non è tenuta a eseguire attività fuori perimetro salvo accordo tra le parti su corrispettivi e tempistiche.

23. Durata, Rinnovo, Sospensione e Risoluzione

23.1. La durata dei servizi sarà indicata nell’Ordine.

23.2. Salvo espressa previsione, i servizi non si rinnovano automaticamente.

23.3. Ciascuna parte può recedere da un incarico continuativo per comodità con 30 giorni di preavviso scritto, salvo diversa previsione nell’Ordine.

23.4. Blue Networks può sospendere o risolvere i servizi con effetto immediato se:

a. il pagamento è scaduto;

b. il Cliente viola obblighi di riservatezza o protezione dei dati;

c. il Cliente richiede attività illecite;

d. il Cliente non coopera in modo sostanziale;

e. la prosecuzione dell’esecuzione crea rischi di sicurezza, legali o reputazionali;

f. il Cliente fornisce informazioni false o fuorvianti;

g. sorge un conflitto di interessi;

h. il Cliente viola la proprietà intellettuale di Blue Networks;

i. il Cliente diventa insolvente o incapace di pagare i propri debiti.

23.5. Alla cessazione, il Cliente dovrà pagare tutti i corrispettivi per servizi eseguiti, spese sostenute, costi di terze parti impegnati e attività pianificate non cancellabili.

23.6. La cessazione non pregiudicherà diritti maturati, obblighi di riservatezza, obblighi di pagamento, proprietà intellettuale, limitazioni di responsabilità, manleve, legge applicabile o disposizioni sulla risoluzione delle controversie.

24. Uso Lecito e Restrizioni Etiche

24.1. Il Cliente dovrà utilizzare i Servizi vCISO e i Deliverable esclusivamente per finalità lecite.

24.2. Il Cliente non dovrà richiedere o utilizzare i servizi per:

a. ottenere accesso non autorizzato a sistemi;

b. compromettere reti di terze parti;

c. eludere illecitamente controlli di sicurezza;

d. occultare violazioni;

e. indurre in errore regolatori, auditor, clienti o assicuratori;

f. violare diritti di proprietà intellettuale;

g. violare leggi in materia di privacy, lavoro o sorveglianza;

h. condurre attività di sicurezza offensiva senza autorizzazione scritta.

24.3. Blue Networks può rifiutare qualsiasi istruzione che ritenga ragionevolmente illecita, non etica, non sicura, non autorizzata o incompatibile con la pratica professionale della cybersecurity.

25. Sanzioni, Export Control e Requisiti del Settore Pubblico

25.1. Il Cliente garantisce di non essere soggetto a sanzioni che vietino a Blue Networks di fornire i servizi.

25.2. Il Cliente non dovrà utilizzare i servizi in violazione di leggi in materia di export control, dual-use, sanzioni o cybersecurity.

25.3. Qualora il Cliente sia una pubblica autorità, ente pubblico, soggetto regolamentato o appaltatore soggetto a speciali regole di procurement, sicurezza, classificazione, tracciabilità o audit, il Cliente dovrà informare Blue Networks prima dell’inizio dell’incarico.

25.4. Blue Networks non è responsabile per la mancata conformità a requisiti non comunicati relativi a settore pubblico, procurement, nulla osta di sicurezza, informazioni classificate o outsourcing regolamentato.

26. Pubblicità e Referenze

26.1. Blue Networks non pubblicherà il nome, il logo o case study del Cliente senza previo consenso scritto del Cliente, salvo che il rapporto sia già pubblico o che la divulgazione sia richiesta dalla legge.

26.2. Il Cliente non dovrà utilizzare il nome, logo, report o Deliverable di Blue Networks in dichiarazioni pubbliche, materiali di marketing, depositi regolamentari o comunicazioni a clienti in modo fuorviante.

27. Non Sollecitazione

27.1. Durante l’incarico e per 12 mesi dopo la sua cessazione, il Cliente non dovrà direttamente o indirettamente sollecitare, assumere, incaricare o contrattualizzare qualsiasi dipendente, consulente o collaboratore di Blue Networks coinvolto materialmente nella fornitura dei servizi, senza previo consenso scritto di Blue Networks.

27.2. In caso di violazione, il Cliente dovrà corrispondere a Blue Networks, fatto salvo il maggior danno, una penale contrattuale pari al 30% della retribuzione annua lorda o del compenso annualizzato offerto alla persona interessata.

28. Garanzie ed Esclusioni di Garanzia

28.1. Blue Networks garantisce che eseguirà i Servizi vCISO con ragionevole cura e competenza professionale.

28.2. Salvo quanto espressamente indicato, tutti i servizi e Deliverable sono forniti senza alcuna garanzia implicita di idoneità a uno scopo particolare, protezione ininterrotta, accettazione regolamentare, successo negli audit, conformità di mercato, assenza di vulnerabilità o assenza di incidenti cyber.

28.3. Blue Networks non garantisce che:

a. tutte le vulnerabilità saranno identificate;

b. tutte le minacce saranno rilevate;

c. gli incidenti saranno prevenuti;

d. le misure raccomandate elimineranno il rischio;

e. autorità, auditor, clienti o organismi di certificazione accetteranno i controlli del Cliente;

f. i prodotti saranno conformi al Cyber Resilience Act;

g. il Cliente sarà conforme a GDPR, NIS2, DORA o qualsiasi altro framework;

h. il Cliente eviterà sanzioni, reclami o danni reputazionali.

29. Responsabilità

29.1. Blue Networks sarà responsabile solo per danni diretti, immediati e prevedibili causati da proprio comprovato inadempimento dei presenti Termini, fatte salve le limitazioni di seguito indicate.

29.2. Nulla nei presenti Termini esclude o limita la responsabilità per dolo, colpa grave o qualsiasi responsabilità che non possa essere esclusa o limitata ai sensi di norme inderogabili.

29.3. Nella massima misura consentita dalla legge, Blue Networks non sarà responsabile per:

a. danni indiretti, consequenziali, speciali, punitivi o esemplari;

b. perdita di profitto, ricavi, business, avviamento, opportunità o reputazione;

c. interruzione dell’attività o fermo operativo;

d. perdita, corruzione o indisponibilità di dati, ove causate da sistemi, backup o infrastrutture del Cliente;

e. sanzioni, multe, penali o reclami di terzi causati da decisioni, omissioni o non conformità del Cliente;

f. mancata implementazione delle raccomandazioni;

g. informazioni inesatte, incomplete o tardive del Cliente;

h. vulnerabilità o configurazioni errate preesistenti;

i. prodotti, fornitori, software, componenti open source o servizi di terze parti;

j. attacchi informatici, vulnerabilità zero-day o threat actor non causati da Blue Networks;

k. personale, affiliate, fornitori o collaboratori del Cliente;

l. attività al di fuori del Perimetro concordato.

29.4. Nella massima misura consentita dalla legge, la responsabilità complessiva di Blue Networks derivante da o connessa ai Servizi vCISO non potrà superare i corrispettivi effettivamente pagati dal Cliente a Blue Networks per gli specifici Servizi vCISO nei sei mesi precedenti l’evento che ha dato origine alla pretesa.

29.5. Qualora l’incarico sia durato meno di sei mesi, il limite di responsabilità sarà pari ai corrispettivi effettivamente pagati per lo specifico incarico.

29.6. Le parti riconoscono che le limitazioni di responsabilità riflettono la natura dei servizi consulenziali, i corrispettivi concordati, il controllo del Cliente sull’implementazione e l’impossibilità di garantire una cybersecurity assoluta.

30. Manleva

30.1. Il Cliente dovrà manlevare e tenere indenne Blue Networks, i suoi amministratori, dipendenti, consulenti, subfornitori e affiliate da reclami, danni, perdite, penali, costi e spese derivanti da:

a. uso illecito o non autorizzato dei servizi;

b. istruzioni del Cliente che violino la Legge Applicabile;

c. mancanza di autorizzazione ad accedere a sistemi o dati;

d. informazioni inesatte, incomplete o fuorvianti fornite dal Cliente;

e. violazione da parte del Cliente di leggi in materia di privacy, cybersecurity, lavoro, proprietà intellettuale o conformità di prodotto;

f. mancata implementazione delle raccomandazioni da parte del Cliente;

g. modifica o uso improprio dei Deliverable da parte del Cliente;

h. reclami di terzi relativi a sistemi, prodotti, fornitori o servizi del Cliente;

i. mancato rispetto da parte del Cliente di GDPR, NIS2, DORA, CRA o altri obblighi regolamentari.

31. Subappalto

31.1. Blue Networks può utilizzare dipendenti, consulenti, partner, subfornitori o fornitori specialistici per eseguire i servizi.

31.2. Blue Networks resterà responsabile del coordinamento dei servizi subappaltati entro il Perimetro concordato.

31.3. Qualora i subfornitori trattino dati personali per conto del Cliente, tale trattamento sarà disciplinato dall’accordo sul trattamento dei dati personali applicabile.

32. Registrazioni e Supporto agli Audit

32.1. Blue Networks può mantenere registrazioni ragionevoli dei servizi eseguiti, incluse comunicazioni, versioni dei deliverable, note di riunione, log di attività e registrazioni amministrative.

32.2. Qualsiasi audit del Cliente su Blue Networks dovrà essere ragionevole, proporzionato, limitato ai servizi pertinenti, soggetto a riservatezza e programmato con ragionevole preavviso.

32.3. Blue Networks può rifiutare richieste di audit che compromettano sicurezza, riservatezza, diritti di terzi, segreti commerciali, dati personali o informazioni di altri clienti.

32.4. L’assistenza agli audit oltre le richieste informative standard può essere addebitata alle tariffe allora vigenti di Blue Networks.

33. Forza Maggiore

33.1. Blue Networks non sarà responsabile per ritardi o mancata esecuzione causati da eventi al di fuori del suo ragionevole controllo, inclusi calamità naturali, guerra, terrorismo, disordini civili, controversie sindacali, pandemie, blackout, guasti Internet, interruzioni di provider cloud, malfunzionamenti di servizi di terze parti, ordini di autorità, attacchi informatici diffusi o altri eventi di natura analoga.

33.2. La parte colpita dovrà compiere ragionevoli sforzi per mitigare l’impatto dell’evento di forza maggiore.

34. Comunicazioni

34.1. Le comunicazioni operative possono essere inviate via e-mail, sistema di ticketing, piattaforma collaborativa o altro canale di comunicazione concordato.

34.2. Le comunicazioni legali, incluse risoluzione, contestazioni formali di inadempimento, reclami o comunicazioni di controversia, dovranno essere inviate tramite PEC, raccomandata, corriere o altro mezzo idoneo a provare la ricezione.

34.3. Le comunicazioni a Blue Networks dovranno essere inviate all’indirizzo o ai recapiti pubblicati da Blue Networks o indicati nell’Ordine.

35. Cessione

35.1. Il Cliente non può cedere o trasferire il contratto, i diritti, gli obblighi o i Deliverable senza previo consenso scritto di Blue Networks.

35.2. Blue Networks può cedere o trasferire il contratto in connessione con fusione, scissione, riorganizzazione societaria, cessione di azienda, trasferimento di asset o ristrutturazione di gruppo, a condizione che il cessionario assuma gli obblighi pertinenti.

36. Clausola di Salvaguardia

36.1. Qualora qualsiasi disposizione dei presenti Termini sia ritenuta invalida, illecita o inefficace, le restanti disposizioni resteranno valide ed efficaci.

36.2. La disposizione invalida sarà sostituita, per quanto possibile, da una disposizione valida che rifletta nel modo più vicino l’intento economico e giuridico della disposizione originaria.

37. Intero Accordo

37.1. I presenti Termini, unitamente all’Ordine applicabile, a qualsiasi master agreement sottoscritto, accordo sul trattamento dei dati personali e allegati, costituiscono l’intero accordo tra le parti in relazione ai Servizi vCISO.

37.2. Qualsiasi precedente discussione, proposta, presentazione, materiale di marketing o comunicazione informale è superata, salvo espressa incorporazione in un documento sottoscritto.

38. Legge Applicabile e Foro Competente

38.1. I presenti Termini e qualsiasi controversia derivante da o connessa agli stessi saranno regolati dalla legge italiana.

38.2. Fatte salve norme inderogabili sulla competenza giurisdizionale, i tribunali di Messina, Italia, avranno competenza esclusiva su qualsiasi controversia relativa alla validità, interpretazione, esecuzione, inadempimento, cessazione o applicazione dei presenti Termini o dei Servizi vCISO.