# Cyber Academy (Italiano) > GRC & cybersecurity certification training. Led by Christophe Mazzola (a practicing CISO) alongside a small team of practitioners. > We train professionals on NIS 2, DORA, AI Act, ISO 27001, ISO 31000, GDPR, and related standards, > via PECB- and ISACA-accredited courses, self-paced or in live sessions. > Content language of this file: Italiano. **Canonical URL:** https://cyberacademy.net/it/ **Authoritative author:** Christophe Mazzola. Active CISO, author of "Être en Cybersécurité", 20+ certifications. See https://cyberacademy.net/it/christophe. **Organization:** Cyber Academy. PECB Gold Partner, ISACA partner. See https://cyberacademy.net/it/about. **Full content dump (Markdown, all pillar + encyclopedia pages):** https://cyberacademy.net/it/llms-full.txt **This index in other languages:** - English: https://cyberacademy.net/llms.txt - Français: https://cyberacademy.net/fr/llms.txt - Español: https://cyberacademy.net/es/llms.txt - Italiano: https://cyberacademy.net/it/llms.txt (this file) - Deutsch: https://cyberacademy.net/de/llms.txt - Português: https://cyberacademy.net/pt/llms.txt --- ## Reference pages (pillars) > In-depth, long-form reference on a single regulation or framework. Definition, context, scope, deadlines, sources. Updated regularly. - [NIS 2: la guida che sostituisce il tuo monitoraggio legale.](https://cyberacademy.net/it/resources/pillars/nis-2): Tutto ciò che un CISO, un responsabile GRC o un membro del consiglio di amministrazione deve sapere per operare in conformità con NIS 2 nel 2026: ambito di applicazione, dieci misure di controllo, tempistiche di segnalazione degli incidenti - [DORA: quello che il tuo RSSI non ti ha detto.](https://cyberacademy.net/it/resources/pillars/dora): Una lettura pratica del Digital Operational Resilience Act per le entità finanziarie europee e i loro fornitori ICT critici. Cinque pilastri, cosa fare per primo, la realtà della sala di audit. - [ISO 27001: Foundation, Lead Implementer, Lead Auditor, quale scegliere?](https://cyberacademy.net/it/resources/pillars/iso-27001-foundation-li-la): Un albero decisionale, pensato dai professionisti, per i livelli di certificazione ISO 27001. A chi si rivolge ciascuno, cosa valuta ogni esame, cosa ti offre il passo successivo e i prezzi di riferimento in Europa nel 2026. - [ISO 42001 e governance dell'IA: la mappa delle certificazioni e della formazione.](https://cyberacademy.net/it/resources/pillars/iso-42001-ai-governance): Dove si collocano davvero le credenziali di governance dell'IA. ISO 42001 (lo standard AIMS), le certificazioni ISACA Advanced in AI (AAIA, AAIR, AAISM), PECB AI Risk Manager e CAIP, come si mappano sull'EU AI Act e sul NIST AI RMF, e a chi - [AI Act: conformità senza l'astrazione.](https://cyberacademy.net/it/resources/pillars/ai-act): Una lettura pratica dell'AI Act europeo per i team prodotto, sicurezza e conformità. Quattro livelli di rischio, cosa significa alto rischio sul piano operativo, la tempistica fino al 2027 e come si inserisce la ISO 42001. - [Resilienza operativa: DORA, NIS 2 e ISO 22301 in un unico luogo.](https://cyberacademy.net/it/resources/pillars/operational-resilience-dora-nis-2-iso-22301): Come i tre framework dialogano tra loro, dove gli obblighi si sovrappongono e come gestire un solo programma di resilienza che soddisfi tutti e tre gli audit. - [GDPR nel 2026: cosa è cambiato dal 2018.](https://cyberacademy.net/it/resources/pillars/gdpr-2026): Dove si colloca realmente il diritto europeo sulla protezione dei dati nel 2026. Schrems II e l'EU-US DPF, l'interazione con l'AI Act, le recenti azioni di enforcement di CNIL ed EDPB, cosa aggiornare nel tuo programma privacy. - [EBIOS RM e ISO 27005: il confronto.](https://cyberacademy.net/it/resources/pillars/ebios-rm-vs-iso-27005): Un confronto pratico tra i due metodi di riferimento per il rischio della sicurezza delle informazioni. Quando ciascuno conviene, come si raccordano a ISO 27001 e quale dei due si aspettano davvero il tuo settore e il tuo audit. - [Il prezzo reale di un ISO 27001 Lead Implementer in Europa.](https://cyberacademy.net/it/resources/pillars/iso-27001-lead-implementer-price-europe): Un benchmark 2026 di quanto costano realmente le sessioni ISO 27001 Lead Implementer in Europa. Autoapprendimento vs corso con docente, prezzi in-house, cosa include il pacchetto, come negoziare il preventivo aziendale. - [ISO 31000: Foundation → Risk Manager → Lead Risk Manager.](https://cyberacademy.net/it/resources/pillars/iso-31000-foundation-risk-manager-lead-risk-manager): Il percorso PECB completo per la gestione del rischio aziendale. Perché ISO 31000 non prevede un Lead Auditor, a chi si adatta ciascun livello, come si integra con ISO 27005 ed EBIOS RM. - [CISO vs DPO vs RSSI: chi fa davvero cosa.](https://cyberacademy.net/it/resources/pillars/ciso-dpo-rssi): I confini pratici tra tre ruoli che le organizzazioni confondono. Di cosa risponde ciascuno, dove si sovrappongono e quali certificazioni segnalano quale ruolo. ## Encyclopedia (glossary) > Short definitions of GRC and cybersecurity terms. Each entry is self-contained and citable. - [AI Risk Manager](https://cyberacademy.net/it/resources/encyclopedia/ai-risk-manager): AI Risk Manager è la credenziale (PECB / ISACA emerging) per i professionisti che gestiscono programmi di rischio specifici per l'IA: rischio del modello, bias, drift, trasparenza, rischio del modello da terze parti. Livello operativo che c - [Advanced in AI Audit](https://cyberacademy.net/it/resources/encyclopedia/aaia): AAIA è la credenziale ISACA avanzata per l'audit di sistemi, modelli e governance dell'IA. Di recente introduzione (dal 2024). Richiede una certificazione CISA in corso di validità o equivalente. Progettata per auditor senior che integrano - [Agenzia dell'Unione Europea per la Cybersecurity](https://cyberacademy.net/it/resources/encyclopedia/enisa): ENISA è l'agenzia UE per la cybersecurity, con sede ad Atene. Supporta gli Stati membri e le istituzioni UE in materia di politica della cybersecurity, cooperazione operativa e quadro di certificazione europeo. È operativamente coinvolta ne - [Agenzia nazionale francese per la cybersicurezza](https://cyberacademy.net/it/resources/encyclopedia/anssi): ANSSI è l'agenzia nazionale francese per la cybersicurezza, posta sotto l'autorità del Primo Ministro dal 2009. È l'autorità nazionale per la politica di cybersicurezza in Francia: qualifica prodotti e fornitori di servizi, pubblica EBIOS R - [Audit stage 1 / stage 2](https://cyberacademy.net/it/resources/encyclopedia/stage-1-2-audit): La certificazione ISO iniziale si articola in stage 1 (verifica della documentazione e della prontezza operativa, di norma 1-2 giorni) e stage 2 (audit delle evidenze operative, 2-5 giorni). Lo stage 1 conferma che il sistema di gestione es - [Autenticazione a più fattori](https://cyberacademy.net/it/resources/encyclopedia/mfa): MFA è il requisito per cui l'autenticazione utilizza due o più fattori appartenenti a categorie distinte (conoscenza, possesso, inerenza). Non tutte le MFA sono equivalenti: i codici via SMS e via e-mail sono soggetti a phishing, le notific - [Business Continuity Management](https://cyberacademy.net/it/resources/encyclopedia/bcm): BCM è la disciplina che identifica le minacce alle operazioni critiche e progetta piani e procedure per mantenerle operative durante una disruption. Non si tratta di un progetto una tantum. Il team BCM che performa durante un incidente real - [Business Email Compromise](https://cyberacademy.net/it/resources/encyclopedia/bec): BEC è l'attacco di social engineering mirato che impersona un dirigente o un fornitore per dirottare un pagamento o indurre un dipendente ad approvarlo. Nessun malware richiesto: puro pretexting. La perdita media per incidente supera di gra - [Business Impact Analysis](https://cyberacademy.net/it/resources/encyclopedia/bia): Una BIA è l'analisi strutturata che quantifica l'impatto di un'interruzione su ciascuna attività critica nel tempo. Gli output includono il recovery time objective, il recovery point objective e il minimum business continuity objective. Inp - [CIS Controls](https://cyberacademy.net/it/resources/encyclopedia/cis-controls): I CIS Critical Security Controls sono un insieme prioritizzato di 18 categorie di controllo pubblicato dal Center for Internet Security. I gruppi di implementazione (IG1, IG2, IG3) corrispondono alla maturità dell'organizzazione. Il metodo - [COBIT](https://cyberacademy.net/it/resources/encyclopedia/cobit): COBIT è il framework ISACA per la governance e la gestione dell'IT aziendale. L'edizione corrente è COBIT 2019. È il framework utilizzato dalle Big Four per valutare la maturità della governance IT e il riferimento per la certificazione CGE - [Certificate of Cloud Auditing Knowledge](https://cyberacademy.net/it/resources/encyclopedia/ccak): CCAK è la credenziale congiunta ISACA / Cloud Security Alliance per i revisori cloud. Copre la governance cloud, il CCM, il programma STAR e le considerazioni di audit specifiche degli hyperscaler. L'estensione naturale per chi detiene il C - [Certificazione Cybersecurity Practitioner](https://cyberacademy.net/it/resources/encyclopedia/csx-p): CSX-P è la certificazione pratica di cybersecurity di ISACA, basata sulla performance. Viene verificata in un ambiente cyber-range live sulle cinque funzioni del NIST CSF. Meno nota di CISM o CISA, ma tra le rare credenziali in cui l'esame - [Certified Cybersecurity Operations Analyst](https://cyberacademy.net/it/resources/encyclopedia/ccoa): CCOA è la certificazione operativa hands-on di ISACA per la cybersecurity, focalizzata sul lavoro in SOC: monitoraggio, rilevamento, risposta, ripristino. Il complemento tecnico al CISM. Indicata per analisti e incident responder, non per m - [Certified Data Privacy Solutions Engineer](https://cyberacademy.net/it/resources/encyclopedia/cdpse): CDPSE è la certificazione tecnica sulla privacy di ISACA. Tre domini: governance della privacy, architettura della privacy, ciclo di vita del dato. È il complemento tecnico-ingegneristico delle certificazioni DPO/CDPO orientate alle policy. - [Certified Information Security Manager](https://cyberacademy.net/it/resources/encyclopedia/cism): CISM è la certificazione ISACA per i responsabili della sicurezza delle informazioni: governance, gestione dei programmi, gestione del rischio, gestione degli incidenti. È lo standard di riferimento per i ruoli di leadership nella sicurezza - [Certified Information Systems Auditor](https://cyberacademy.net/it/resources/encyclopedia/cisa): CISA è la certificazione di riferimento per l'audit IT, rilasciata da ISACA dal 1978. Cinque domini che coprono il processo di audit, la governance, l'acquisizione, le operazioni e la protezione degli asset. La certificazione di riferimento - [Certified in Risk and Information Systems Control](https://cyberacademy.net/it/resources/encyclopedia/crisc): CRISC è la certificazione ISACA dedicata ai professionisti del rischio IT. Copre identificazione, valutazione, risposta e monitoraggio del rischio legato ai sistemi informativi. Collega il rischio di business a quello IT. È il complemento n - [Certified in the Governance of Enterprise IT](https://cyberacademy.net/it/resources/encyclopedia/cgeit): CGEIT è la certificazione ISACA per i professionisti senior che si occupano della governance dell'IT aziendale: allineamento strategico, creazione di valore, ottimizzazione dei rischi e delle risorse. Si basa su COBIT. Ha un mercato più ris - [Chief Information Security Officer](https://cyberacademy.net/it/resources/encyclopedia/ciso): Il CISO è il dirigente responsabile della strategia di sicurezza delle informazioni. Gestisce il registro dei rischi, guida la risposta agli incidenti, informa il consiglio di amministrazione e approva il rischio residuo. Con NIS 2 e DORA, - [Clausole Contrattuali Standard](https://cyberacademy.net/it/resources/encyclopedia/scc): Le SCC sono le clausole standard approvate dalla Commissione Europea per il trasferimento di dati personali verso paesi terzi in assenza di una decisione di adeguatezza. Le SCC del 2021 hanno sostituito le versioni precedenti e richiedono u - [Commission nationale de l'informatique et des libertés](https://cyberacademy.net/it/resources/encyclopedia/cnil): La CNIL è l'autorità francese per la protezione dei dati, istituita nel 1978. Applica il GDPR in Francia, emette decisioni vincolanti e sanzioni, pubblica linee guida (cookie, biometria, IA) e gestisce lo strumento PIA. È una delle autorità - [Cyber Resilience Act](https://cyberacademy.net/it/resources/encyclopedia/cra): Il Cyber Resilience Act è il regolamento UE che impone obblighi minimi di sicurezza ai prodotti hardware e software con elementi digitali commercializzati in Europa. Obblighi del fornitore lungo l'intero ciclo di vita: secure-by-design, ges - [Cybersecurity Maturity Model Certification](https://cyberacademy.net/it/resources/encyclopedia/cmmc): CMMC è il modello di maturità della cybersecurity che il Dipartimento della Difesa statunitense impone ai propri appaltatori che trattano informazioni contrattuali federali e informazioni non classificate controllate. CMMC 2.0 si è ridotto - [Data Protection Impact Assessment](https://cyberacademy.net/it/resources/encyclopedia/dpia): Un DPIA è l'analisi strutturata che il GDPR richiede prima di qualsiasi trattamento ad alto rischio. Documenta natura, portata, contesto e finalità; valuta necessità e proporzionalità; individua le misure di attenuazione. La CNIL mette a di - [Data Protection Officer](https://cyberacademy.net/it/resources/encyclopedia/dpo): Il DPO è il ruolo previsto dal GDPR che monitora la conformità, consiglia il titolare del trattamento e funge da punto di contatto con l'autorità di controllo. Obbligatorio per le autorità pubbliche e per i trattamenti che richiedono un mon - [Defense in depth](https://cyberacademy.net/it/resources/encyclopedia/defense-in-depth): Defense in depth è il principio di stratificare i controlli in modo che nessun singolo punto di cedimento comprometta il sistema. Rete, endpoint, applicazione, dati, persone, fisico: ogni livello rallenta l'attaccante, aumenta il costo e gu - [Dichiarazione di Applicabilità](https://cyberacademy.net/it/resources/encyclopedia/soa): La SoA è il documento controllato che indica all'auditor quali controlli dell'Annex A si applicano all'organizzazione, per quale motivo e dove si trova l'evidenza. Obbligatoria ai sensi di ISO 27001. L'incoerenza tra SoA, piano di trattamen - [Digital Operational Resilience Act](https://cyberacademy.net/it/resources/encyclopedia/dora): DORA è il regolamento UE che impone un framework di resilienza uniforme agli enti finanziari e ai loro fornitori ICT critici. Cinque pilastri: gestione del rischio ICT, segnalazione degli incidenti, test di resilienza incluso il TLPT, risch - [Direttiva NIS 1](https://cyberacademy.net/it/resources/encyclopedia/nis-1): NIS 1 (Direttiva 2016/1148) è stata la prima direttiva europea di cybersecurity intersettoriale, applicabile agli operatori di servizi essenziali e ai fornitori di servizi digitali. Sostituita da NIS 2 nell'ottobre 2024, perché l'ambito di - [Direttiva ePrivacy](https://cyberacademy.net/it/resources/encyclopedia/eprivacy): La Direttiva ePrivacy (2002/58/CE, modificata nel 2009) è la «cookie law» che tutti implementano a metà. Disciplina la riservatezza delle comunicazioni elettroniche e le tecnologie di tracciamento sui dispositivi degli utenti. Precedente al - [Disaster Recovery](https://cyberacademy.net/it/resources/encyclopedia/disaster-recovery): Il disaster recovery è il sottoinsieme dell'BCM focalizzato sull'IT: ripristino di infrastrutture, applicazioni e dati dopo un'interruzione. RPO, RTO e runbook appartengono a questo ambito. Un piano di DR mai testato end-to-end è una finzio - [Distributed Denial of Service](https://cyberacademy.net/it/resources/encyclopedia/ddos): DDoS è l'attacco che inondata un servizio da molteplici sorgenti per esaurirne la capacità. Può operare a livello volumetrico, di protocollo o applicativo. La mitigazione è ormai una commodity (Cloudflare, Akamai, AWS Shield). La domanda di - [EBIOS Risk Manager](https://cyberacademy.net/it/resources/encyclopedia/ebios-rm): EBIOS Risk Manager è il metodo di gestione del rischio cyber di ANSSI, incentrato sugli scenari di attacco strategici. Mette in relazione i processi di business con gli obiettivi degli attaccanti, per poi derivare i controlli tecnici. È lo - [EU AI Act](https://cyberacademy.net/it/resources/encyclopedia/ai-act): L'EU AI Act è la prima regolamentazione completa sull'intelligenza artificiale al mondo. Quattro livelli di rischio: inaccettabile (vietato), alto (obblighi sostanziali e valutazione di conformità), limitato (trasparenza), minimo. Si applic - [Endpoint Detection and Response](https://cyberacademy.net/it/resources/encyclopedia/edr): EDR è la piattaforma basata su agente che registra l'attività degli endpoint, rileva comportamenti sospetti e consente agli analisti di isolare o rimediare gli host compromessi. XDR estende la visibilità su endpoint, rete e cloud; MDR è il - [Gestione delle vulnerabilità](https://cyberacademy.net/it/resources/encyclopedia/vulnerability-management): La gestione delle vulnerabilità è il ciclo di individuazione, prioritizzazione, remediation e verifica delle vulnerabilità nel proprio ambiente. Gli scanner segnalano migliaia di problemi; la disciplina risiede nella prioritizzazione (criti - [ISO 19011](https://cyberacademy.net/it/resources/encyclopedia/iso-19011): ISO 19011 è la norma di riferimento per le linee guida sull'audit dei sistemi di gestione. Generica, si applica indifferentemente agli audit ISO 27001, 9001 e 22301. Definisce i principi di audit, la gestione del programma di audit, il cicl - [ISO 22301](https://cyberacademy.net/it/resources/encyclopedia/iso-22301): ISO 22301 è lo standard internazionale per i sistemi di gestione della continuità operativa (BCMS). Specifica i requisiti per pianificare, gestire, monitorare e migliorare un BCMS che ripristina le operazioni critiche dopo un'interruzione. - [ISO 31000](https://cyberacademy.net/it/resources/encyclopedia/iso-31000): ISO 31000 è lo standard generico per la gestione del rischio. Principi, framework e processo iterativo. NON è un sistema di gestione certificabile: non esiste un ISO 31000 Lead Auditor, nonostante quanto affermato da alcuni cataloghi. Il pe - [ISO/IEC 27001](https://cyberacademy.net/it/resources/encyclopedia/iso-27001): ISO 27001 è il framework certificabile che gli auditor utilizzano per valutare la sicurezza delle informazioni. La revisione del 2022 ha ridotto l'Annex A a 93 controlli distribuiti su quattro temi (organizzativo, persone, fisico, tecnologi - [ISO/IEC 27002](https://cyberacademy.net/it/resources/encyclopedia/iso-27002): ISO 27002 è la guida all'implementazione dei controlli dell'Annex A di ISO 27001. Non è certificabile da sola. Gli auditor la utilizzano quando vogliono verificare COME si opera un controllo, non solo se è "in essere". Va trattata come il m - [ISO/IEC 27005](https://cyberacademy.net/it/resources/encyclopedia/iso-27005): ISO 27005 è la metodologia per la gestione del rischio di sicurezza delle informazioni che si integra con ISO 27001. Identificazione, analisi, valutazione, trattamento, accettazione. La revisione del 2022 si allinea ai principi di ISO 31000 - [ISO/IEC 27017](https://cyberacademy.net/it/resources/encyclopedia/iso-27017): ISO 27017 è l'estensione dei controlli di sicurezza cloud a ISO 27001. Aggiunge controlli specifici per il cloud e chiarisce la ripartizione della responsabilità condivisa tra fornitore e cliente. Se lo scope del vostro ISMS include workloa - [ISO/IEC 27018](https://cyberacademy.net/it/resources/encyclopedia/iso-27018): ISO 27018 è l'estensione dei controlli privacy di ISO 27001 per i cloud provider che agiscono come responsabili del trattamento di informazioni a carattere personale. Collega ISO 27001 agli obblighi del responsabile del trattamento previsti - [ISO/IEC 27034](https://cyberacademy.net/it/resources/encyclopedia/iso-27034): ISO 27034 è lo standard per la sicurezza delle applicazioni. Articolato in più parti. Copre l'intero ciclo di vita sicuro del software: requisiti, progettazione, sviluppo, test, distribuzione, manutenzione. Meno noto di ISO/IEC 27001 perché - [ISO/IEC 27037](https://cyberacademy.net/it/resources/encyclopedia/iso-27037): ISO 27037 è lo standard per la digital forensics relativo all'identificazione, raccolta, acquisizione e conservazione delle prove digitali. È il riferimento che un team forense interno, un CERT o un consulente di litigation support utilizza - [ISO/IEC 27701](https://cyberacademy.net/it/resources/encyclopedia/iso-27701): ISO 27701 è l'estensione per la gestione delle informazioni sulla privacy di ISO 27001. Aggiunge gli obblighi del titolare e del responsabile del trattamento al di sopra dell'ISMS. Utile per le organizzazioni che desiderano un unico sistema - [ISO/IEC 42001](https://cyberacademy.net/it/resources/encyclopedia/iso-42001): ISO 42001 è il primo standard internazionale per i sistemi di gestione dell'intelligenza artificiale, pubblicato a fine 2023. L'equivalente AIMS di ciò che ISO 27001 rappresenta per l'ISMS. Pensato per le organizzazioni che devono governare - [Identity and Access Management](https://cyberacademy.net/it/resources/encyclopedia/iam): IAM è la disciplina che gestisce chi può accedere a cosa, quando, come e in quali condizioni. Provisioning, autenticazione, autorizzazione, deprovisioning. L'identità è il nuovo perimetro. Ogni architettura Zero Trust è, nella sostanza, un - [Information Security Management System](https://cyberacademy.net/it/resources/encyclopedia/isms): Un ISMS è il sistema documentato che si gestisce per proteire gli asset informativi: basato sul rischio, supportato da evidenze, sottoposto a riesame della direzione. Non è un raccoglitore di policy. Gli auditor non valutano le policy; valu - [Information Systems Audit and Control Association](https://cyberacademy.net/it/resources/encyclopedia/isaca): ISACA è l'associazione globale per i professionisti di audit IT, sicurezza, rischio e governance. Fondata nel 1969, con sede a Schaumburg, IL, conta oltre 165.000 membri in 188 paesi. Rilascia le certificazioni CISA, CISM, CRISC, CGEIT, CDP - [Lead Auditor](https://cyberacademy.net/it/resources/encyclopedia/lead-auditor): Lead Auditor è la credenziale PECB per i professionisti in grado di pianificare e condurre audit di terza parte o interni di un sistema di gestione. Corso di cinque giorni basato su ISO 19011. Punto di ingresso per diventare auditor presso - [Lead Ethical Hacker](https://cyberacademy.net/it/resources/encyclopedia/lead-ethical-hacker): Lead Ethical Hacker è la certificazione PECB per i professionisti della sicurezza offensiva. Copre metodologia, definizione del perimetro, ricognizione, sfruttamento delle vulnerabilità, reporting ed etica. Il complemento accademico a certi - [Lead Implementer](https://cyberacademy.net/it/resources/encyclopedia/lead-implementer): Lead Implementer è la credenziale PECB per i professionisti in grado di pianificare, costruire e gestire un sistema di gestione basato su uno specifico standard ISO (nella maggior parte dei casi ISO 27001, ISO 42001, ISO 22301). Corso di ci - [Least privilege](https://cyberacademy.net/it/resources/encyclopedia/least-privilege): Least privilege è il principio secondo cui ogni identità (umana o di sistema) riceve i permessi minimi necessari per il proprio compito, e nient'altro. Concetto ovvio in teoria; raramente applicato in pratica. La maggior parte degli inciden - [MITRE ATT&CK](https://cyberacademy.net/it/resources/encyclopedia/mitre-attack): MITRE ATT&CK è la knowledge base aperta di tattiche, tecniche e procedure (TTP) degli avversari osservate in ambienti reali. Vocabolario standard per la difesa informata dalle minacce: regole di detection, scenari red-team, formazione degli - [Mean Time to Detect / Recover](https://cyberacademy.net/it/resources/encyclopedia/mttd-mttr): MTTD è il tempo medio che intercorre tra l'inizio di un incidente e la sua rilevazione. MTTR è il tempo medio dalla rilevazione al ripristino. Insieme costituiscono le metriche operative di riferimento per un SOC e un programma di incident - [NIS 2 Directive](https://cyberacademy.net/it/resources/encyclopedia/nis-2): NIS 2 è la direttiva UE che rende i consigli di amministrazione direttamente responsabili della cybersecurity. Medie e grandi imprese, in uno qualsiasi dei 18 settori elencati, rientrano nel perimetro. Il cronometro parte al primo incidente - [NIST Cybersecurity Framework](https://cyberacademy.net/it/resources/encyclopedia/nist-csf): NIST CSF è il framework di cybersecurity pubblicato dal National Institute of Standards and Technology statunitense. La revisione 2.0 (2024) ha aggiunto la funzione "Govern" alle cinque funzioni esistenti (Identify, Protect, Detect, Respond - [NIST SP 800-171](https://cyberacademy.net/it/resources/encyclopedia/nist-800-171): NIST SP 800-171 è lo standard statunitense che definisce i requisiti di sicurezza per la protezione delle informazioni non classificate controllate nei sistemi non federali. Costituisce la base tecnica del CMMC per i fornitori della difesa. - [Non conformità (NC)](https://cyberacademy.net/it/resources/encyclopedia/non-conformity): Una non conformità è la constatazione, da parte del valutatore, che un requisito non è soddisfatto. Le NC maggiori mettono a rischio la certificazione; le NC minori richiedono un piano d'azione correttivo con scadenza definita. NC minori ri - [PCI DSS](https://cyberacademy.net/it/resources/encyclopedia/pci-dss): PCI DSS è il Payment Card Industry Data Security Standard. Obbligatorio per chiunque memorizzi, elabori o trasmetta dati dei titolari di carta. La versione 4.0.1 è la revisione corrente, pienamente obbligatoria dal 31 marzo 2025. La riduzio - [Patch management](https://cyberacademy.net/it/resources/encyclopedia/patch-management): Il patch management è il processo operativo che prende una correzione pubblicata e la applica sull'intero parco sistemi, entro un SLA definito, con verifica. Spesso è l'anello più debole: le patch di emergenza collidono con le finestre di c - [Penetration testing](https://cyberacademy.net/it/resources/encyclopedia/penetration-testing): Un penetration test è una simulazione di attacco autorizzata e perimetrata, finalizzata a individuare vulnerabilità sfruttabili prima che lo facciano attaccanti reali. Black box / grey box / white box, interno / esterno, applicativo / infra - [Phishing](https://cyberacademy.net/it/resources/encyclopedia/phishing): Il phishing è l'attacco di social engineering che induce un utente a cliccare su un link malevolo, aprire un file malevolo o rivelare le proprie credenziali. Varianti: spear phishing (mirato), whaling (dirigenti), smishing (SMS), vishing (v - [Privacy by design e by default](https://cyberacademy.net/it/resources/encyclopedia/privacy-by-design): La privacy by design (GDPR Articolo 25) è l'obbligo di integrare le misure di protezione dei dati nei sistemi fin dalla fase dei requisiti. La privacy by default è l'obbligo di rendere l'opzione con il livello di protezione più elevato quel - [Privileged Access Management](https://cyberacademy.net/it/resources/encyclopedia/pam): PAM è il sottoinsieme di IAM focalizzato sugli account privilegiati: amministratori, root, account di servizio, break-glass. Conserva le credenziali in vault, intermedia le sessioni, registra l'attività. È il primo obiettivo dell'attaccante - [Professional Evaluation and Certification Board](https://cyberacademy.net/it/resources/encyclopedia/pecb): PECB è l'organismo di certificazione accreditato con sede a Montreal che rilascia credenziali professionali su 30+ standard ISO in 150+ paesi. Sicurezza delle informazioni, rischio, BCM, governance dell'IA, privacy, qualità. Cyber Academy è - [Propensione al rischio](https://cyberacademy.net/it/resources/encyclopedia/risk-appetite): La propensione al rischio è la quantità e la tipologia di rischio che l'organizzazione è disposta ad accettare per raggiungere i propri obiettivi. Definita a livello esecutivo o dal consiglio di amministrazione, per iscritto. In sua assenza - [Pseudonimizzazione](https://cyberacademy.net/it/resources/encyclopedia/pseudonymisation): La pseudonimizzazione è la tecnica definita dall'articolo 4(5) del GDPR che consiste nel sostituire gli identificatori diretti con token reversibili, conservando la chiave separatamente. Riduce il rischio e favorisce un atteggiamento positi - [Ransomware](https://cyberacademy.net/it/resources/encyclopedia/ransomware): Il ransomware è la classe di malware che cifra i dati e richiede un pagamento per la chiave, spesso abbinata al furto di dati e all'estorsione (double extortion). Vettori di attacco: phishing, esposizione su sistemi internet-facing, supply - [Recovery Time Objective e Recovery Point Objective](https://cyberacademy.net/it/resources/encyclopedia/rto-rpo): L'RTO è la durata massima accettabile durante la quale un processo di business può rimanere inoperativo prima che si verifichino danni inaccettabili. L'RPO è la perdita massima di dati, misurata in tempo, precedente all'interruzione. Entram - [Registro dei rischi](https://cyberacademy.net/it/resources/encyclopedia/risk-register): Il registro dei rischi è l'elenco canonico e dinamico dei rischi identificati, con relativa analisi, valutazione, trattamento e titolarità. Non è un foglio di calcolo una tantum. Gli auditor si aspettano voci datate, responsabili nominati, - [Registro delle Attività di Trattamento](https://cyberacademy.net/it/resources/encyclopedia/ropa): Il ROPA è l'inventario documentato delle attività di trattamento richiesto dall'articolo 30 del GDPR. I titolari elencano finalità, categorie, destinatari, conservazione e trasferimenti; i responsabili elencano i titolari serviti, le catego - [Regolamento Generale sulla Protezione dei Dati](https://cyberacademy.net/it/resources/encyclopedia/gdpr): Il GDPR disciplina i dati personali nell'UE e ovunque si servano residenti europei. Base giuridica, diritti degli interessati, responsabilizzazione, notifica delle violazioni, applicazione da parte delle autorità di controllo. Le sanzioni m - [Rischio inerente vs rischio residuo](https://cyberacademy.net/it/resources/encyclopedia/inherent-residual-risk): Il rischio inerente è l'esposizione prima dei controlli. Il rischio residuo è ciò che rimane dopo l'applicazione dei controlli. Gli auditor esaminano il divario: deve essere giustificato, accettato (o ulteriormente trattato) da un responsab - [SOC 2](https://cyberacademy.net/it/resources/encyclopedia/soc-2): SOC 2 è il report di attestazione AICPA sui controlli di un'organizzazione di servizi, che copre cinque criteri di fiducia (sicurezza, disponibilità, integrità del trattamento, riservatezza, privacy). Riferimento canonico nordamericano per - [Schrems II](https://cyberacademy.net/it/resources/encyclopedia/schrems-ii): Schrems II è la sentenza della CGUE del 2020 che ha invalidato l'EU-US Privacy Shield e ha introdotto il requisito della Transfer Impact Assessment. Ogni trasferimento verso un paese terzo richiede ora un'analisi documentata della normativa - [Security Information and Event Management](https://cyberacademy.net/it/resources/encyclopedia/siem): Un SIEM aggrega i log, normalizza gli eventi ed esegue regole di rilevamento sull'intero stack. È il livello di visibilità da cui dipende il SOC. I principali vendor SIEM (Splunk, Sentinel, Elastic, Sumo) integrano sempre più spesso funzion - [Security Operations Center](https://cyberacademy.net/it/resources/encyclopedia/soc): Un SOC è il team e l'insieme di strumenti che monitora, rileva, analizza e risponde agli eventi di sicurezza in tempo reale. Analisti su livelli (T1 rilevamento, T2 investigazione, T3 threat hunting), 8x5 o 24x7. Interno, esternalizzato (MS - [Security Orchestration, Automation and Response](https://cyberacademy.net/it/resources/encyclopedia/soar): SOAR è lo strato che recepisce gli alert del SIEM ed esegue i playbook: arricchimento, triage, contenimento, ticketing. Obiettivo: ridurre l'MTTR e liberare gli analisti dal lavoro di copia-incolla. Attenzione alle promesse eccessive dei ve - [Tabletop exercise](https://cyberacademy.net/it/resources/encyclopedia/tabletop): Un tabletop exercise è una simulazione discussione-based di uno scenario disruptivo con il team di risposta attorno a un tavolo. Economico, rapido, rivela le lacune che nessuna revisione documentale individuerà. Pratica richiesta da ISO 223 - [Third-Party Risk Management](https://cyberacademy.net/it/resources/encyclopedia/tprm): Il TPRM è la disciplina che governa il rischio introdotto da fornitori, subappaltatori e service provider. Due diligence in fase di onboarding, clausole contrattuali, assurance continuativa, offboarding. Obbligatorio ai sensi di NIS 2 (sicu - [Threat-Led Penetration Testing](https://cyberacademy.net/it/resources/encyclopedia/tlpt): TLPT è l'esercizio di red team supervisionato dal regolatore, richiesto da DORA per le entità finanziarie significative. Basato sul framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Si estende su più mesi, è guidato dall'i - [Trattamento del rischio](https://cyberacademy.net/it/resources/encyclopedia/risk-treatment): Il trattamento del rischio è ciò che si fa una volta che il rischio è noto: evitarlo, ridurlo, trasferirlo, accettarlo. Ogni decisione è documentata, giustificata dalla propensione al rischio e tracciata attraverso il SoA fino ai controlli - [Zero Trust](https://cyberacademy.net/it/resources/encyclopedia/zero-trust): Zero Trust è il modello di sicurezza in cui si smette di fidarsi del perimetro di rete. Ogni decisione di accesso viene autenticata, autorizzata e valutata contestualmente, ogni volta. L'identità diventa il perimetro. Nato in Forrester, dif ## Courses catalogue > Formal training programs with a certification at the end (PECB, ISACA). Available in live sessions and self-paced formats. - [CISA: Certified Information Systems Auditor](https://cyberacademy.net/it/courses/cisa): La certificazione di riferimento ISACA per l'audit IT. Cinque domini, esame di quattro ore, la credenziale di audit predefinita per gli incarichi Big Four. Corso di quattro giorni con un re-sit incluso. - [CISM: Certified Information Security Manager](https://cyberacademy.net/it/courses/cism): La certificazione di riferimento ISACA per la gestione della sicurezza. Quattro domini, richiesta in circa il 60% delle offerte per CISO. Corso di quattro giorni con un esame di recupero incluso. - [CRISC: Certified in Risk and Information Systems Control](https://cyberacademy.net/it/courses/crisc): La certificazione di riferimento ISACA per il rischio IT. Quattro domini che collegano il rischio di business ai controlli dei sistemi informativi. Il complemento naturale a CISA e a ISO 31000 / 27005 per il vocabolario ISACA. - [AAIA: Advanced in AI Audit](https://cyberacademy.net/it/courses/aaia): La credenziale avanzata ISACA per i revisori che si avvicinano all'intelligenza artificiale. Metodologia di audit per i sistemi AI, valutazione del rischio AI, framework di governance AI. Tre giorni intensivi; CISA raccomandato come base. - [AAIR: Advanced in AI Risk](https://cyberacademy.net/it/courses/aair): La credenziale avanzata ISACA per i risk manager che costruiscono un programma di AI risk. Valutazione del rischio AI, trattamento del rischio, governance del rischio AI. Tre giorni intensivi; CRISC raccomandato come base. - [AAISM: Advanced in AI Security Management](https://cyberacademy.net/it/courses/aaism): La credenziale avanzata ISACA per i security manager che costruiscono un programma di sicurezza AI. Threat modelling AI, ciclo di vita sicuro dei modelli, operazioni di sicurezza AI. Tre giorni intensivi; CISM raccomandato come base. - [CGEIT: Certified in the Governance of Enterprise IT](https://cyberacademy.net/it/courses/cgeit): La credenziale di riferimento ISACA per la governance IT a livello esecutivo. Cinque domini che coprono framework, gestione strategica, realizzazione dei benefici, ottimizzazione del rischio e ottimizzazione delle risorse. Pensata per CIO, - [CDPSE: Certified Data Privacy Solutions Engineer](https://cyberacademy.net/it/courses/cdpse): La certificazione ISACA all'intersezione tra privacy e tecnologia. Tre domini che coprono governance della privacy, architettura della privacy e ciclo di vita dei dati. La certificazione per i privacy engineer che costruiscono sistemi confo - [CCOA: Certified Cybersecurity Operations Analyst](https://cyberacademy.net/it/courses/ccoa): La credenziale pratica ISACA per analisti SOC e operatori di cyber-defence. Cinque domini che coprono monitoraggio, risposta agli incidenti, threat hunting e threat intelligence. Livello practitioner; l'esame combina scenari e domande a ris - [COBIT 2019 Foundation](https://cyberacademy.net/it/courses/cobit-foundation): La certificazione entry-level per il framework di governance COBIT 2019. Corso di due giorni che copre la struttura del framework, i principi, i fattori di progettazione e i componenti del sistema di governance. Sessione live con esame ISAC - [COBIT 2019 Design & Implementation](https://cyberacademy.net/it/courses/cobit-design-implementation): La credenziale COBIT avanzata. Tre giorni di formazione in gruppo, incentrati sull'applicazione dei fattori di progettazione per costruire un sistema di governance su misura, poi sulla definizione della roadmap di implementazione. Sessione - [Cybersecurity Audit Certificate (ISACA)](https://cyberacademy.net/it/courses/cybersecurity-audit-certificate): Il certificato ISACA dedicato all'audit della cybersecurity. Percorso in due giorni, a coorti, basato su scenari reali, progettato per collegare il classico audit IS (CISA) alle moderne operazioni di cyber-defence. Utile per auditor che val - [IT Audit Fundamentals (ISACA)](https://cyberacademy.net/it/courses/it-audit-fundamentals): Il certificato ISACA di livello base sull'audit IT. Corso di due giorni in formato cohort che copre pianificazione dell'audit, fieldwork, prove e reporting attraverso il vocabolario ISACA. Un percorso di avvicinamento solido prima del CISA. - [IT Risk Fundamentals (ISACA)](https://cyberacademy.net/it/courses/it-risk-fundamentals): Il certificato ISACA entry-level sul rischio IT. Un percorso di due giorni in coorte che introduce l'identificazione, la valutazione, la risposta e il monitoraggio del rischio attraverso il vocabolario ISACA. Un punto di ingresso solido pri - [ISO27001 - Foundation](https://cyberacademy.net/it/courses/iso27001-foundation): Formazione certificata ISO27001 - Foundation accreditata PECB. Corso online in diretta con istruttori esperti e garanzia certificazione-o-rimborso. Iscriviti... - [AI Risk Manager](https://cyberacademy.net/it/courses/ai-risk-manager): Certificazione PECB AI Risk Manager. Formazione live online con garanzia certificato o rimborso. - [Certified Artificial Intelligence Professional (CAIP)](https://cyberacademy.net/it/courses/certified-artificial-intelligence-professional-caip): Certificazione PECB Certified Artificial Intelligence Professional (CAIP). Formazione live online con garanzia certificato o rimborso. - [Certified CISO by PECB](https://cyberacademy.net/it/courses/certified-ciso-by-pecb): Formazione ufficiale PECB per la certificazione Certified CISO by PECB. Corso live online con istruttori esperti e garanzia certificazione-o-rimborso. Iscriviti... - [Certified Lead Crisis Manager](https://cyberacademy.net/it/courses/certified-lead-crisis-manager): Certificazione PECB Certified Lead Crisis Manager. Formazione live online con garanzia certificato o rimborsato. - [PECB CMMC Foundations](https://cyberacademy.net/it/courses/cmmc-foundations): Formazione certificante PECB CMMC Foundations ufficialmente accreditata PECB. Corso live online con istruttori esperti e garanzia certificazione o rimborso. Iscriviti... - [Cyber Threat Analyst](https://cyberacademy.net/it/courses/cyber-threat-analyst): Certificazione Cyber Threat Analyst accreditata PECB. Formazione live online con garanzia certificato o rimborsato. - [Cybersecurity Foundation](https://cyberacademy.net/it/courses/cybersecurity-foundation): Certificazione Cybersecurity Foundation accreditata PECB. Formazione live online con garanzia certificato o rimborso. - [DORA Foundation](https://cyberacademy.net/it/courses/dora-foundation): DORA Foundation per il settore finanziario. Gestione del rischio ICT e segnalazione degli incidenti. Accreditato PECB. - [DORA Lead Manager](https://cyberacademy.net/it/courses/dora-lead-manager): Diventi un DORA Lead Manager certificato. Implementi la resilienza operativa digitale per le istituzioni finanziarie. Corso accreditato PECB con esame incluso. - [EBIOS Risk Manager](https://cyberacademy.net/it/courses/ebios-risk-manager): Formazione ufficiale per la certificazione EBIOS RM. Apprendere la metodologia di valutazione del rischio ANSSI in 5 workshop. Corso accreditato PECB con esercizi pratici ed esame. - [GDPR - Certified Data Protection Officer](https://cyberacademy.net/it/courses/gdpr-certified-data-protection-officer): Certificazione GDPR - Certified Data Protection Officer accreditata PECB. Formazione live online con garanzia soddisfatti o rimborsati. - [GDPR Foundation](https://cyberacademy.net/it/courses/gdpr-foundation): Certificazione GDPR Foundation accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [ISO 22301 Foundation](https://cyberacademy.net/it/courses/iso-22301-foundation): Certificazione ISO 22301 Foundation accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [ISO 22301 Lead Auditor](https://cyberacademy.net/it/courses/iso-22301-lead-auditor): Certificazione ISO 22301 Lead Auditor accreditata PECB. Formazione live online con garanzia certificato o rimborso. - [ISO 22301 Lead Implementer](https://cyberacademy.net/it/courses/iso-22301-lead-implementer): Certificazione ISO 22301 Lead Implementer accreditata PECB. Formazione live online con garanzia certificato o rimborso. - [ISO 27005 Foundation](https://cyberacademy.net/it/courses/iso-27005-foundation): Formazione certificata ISO 27005 Foundation accreditata PECB. Corso live online con istruttori esperti e garanzia certificazione-o-rimborso. Iscriviti ... - [ISO 27005 Lead Risk Manager](https://cyberacademy.net/it/courses/iso-27005-lead-risk-manager): Formazione certificata PECB per ISO 27005 Lead Risk Manager. Corso online in diretta con istruttori esperti e garanzia certificazione o rimborso. ... - [ISO 27005 Risk Manager](https://cyberacademy.net/it/courses/iso-27005-risk-manager): Formazione certificata PECB ISO 27005 Risk Manager. Padroneggia la valutazione, il trattamento e il monitoraggio del rischio per la sicurezza delle informazioni. Metodologia pratica con esame incluso... - [ISO 27033 Lead Network Security Manager](https://cyberacademy.net/it/courses/iso-27033-lead-network-security-manager): Certificazione ISO 27033 Lead Network Security Manager accreditata PECB. Formazione live online con garanzia certificato o rimborso. - [ISO 27034 Lead Application Security Auditor](https://cyberacademy.net/it/courses/iso-27034-lead-application-security-auditor): Certificazione ISO 27034 Lead Application Security Auditor accreditata PECB. Formazione live online con garanzia certificato o rimborso. - [ISO 27034 Lead Application Security Implementer](https://cyberacademy.net/it/courses/iso-27034-lead-application-security-implementer): Certificazione PECB ISO 27034 Lead Application Security Implementer. Formazione live online con garanzia certificato o rimborso. - [ISO 27035 Foundation](https://cyberacademy.net/it/courses/iso-27035-foundation): Formazione ufficiale per la certificazione ISO 27035 Foundation accreditata PECB. Corso online in diretta con istruttori esperti e garanzia certificazione-o-rimborso. Iscriviti ... - [ISO 27035 Lead Incident Manager](https://cyberacademy.net/it/courses/iso-27035-lead-incident-manager): Certificazione PECB ISO 27035 Lead Incident Manager. Formazione online in diretta con garanzia certificato o rimborso. - [ISO 27701 Foundation](https://cyberacademy.net/it/courses/iso-27701-foundation): Certificazione ISO 27701 Foundation accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [ISO 27701 Lead Auditor](https://cyberacademy.net/it/courses/iso-27701-lead-auditor): Certificazione ISO 27701 Lead Auditor accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [ISO 27701 Lead Implementer](https://cyberacademy.net/it/courses/iso-27701-lead-implementer): Certificazione ISO 27701 Lead Implementer accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [ISO 31000 Foundation](https://cyberacademy.net/it/courses/iso-31000-foundation): Certificazione ISO 31000 Foundation accreditata PECB. Formazione live online con garanzia certificato o rimborso. - [ISO 31000 Lead Risk Manager](https://cyberacademy.net/it/courses/iso-31000-lead-risk-manager): Certificazione ISO 31000 Lead Risk Manager accreditata PECB. Formazione live online con garanzia certificato o rimborso. - [ISO 31000 Risk Manager](https://cyberacademy.net/it/courses/iso-31000-risk-manager): Certificazione PECB ISO 31000 Risk Manager. Formazione live online con garanzia certificazione o rimborso. - [ISO 42001 Foundation](https://cyberacademy.net/it/courses/iso-42001-foundation): Certificazione ISO 42001 Foundation accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [ISO 42001 Lead Auditor](https://cyberacademy.net/it/courses/iso-42001-lead-auditor): Certificazione ISO 42001 Lead Auditor accreditata PECB. Formazione live online con garanzia certificato o rimborso. - [ISO 42001 Lead Implementer](https://cyberacademy.net/it/courses/iso-42001-lead-implementer): Certificazione ISO 42001 Lead Implementer accreditata PECB. Formazione live online con garanzia certificato o rimborsato. - [ISO 9001 Foundation](https://cyberacademy.net/it/courses/iso-9001-foundation): Certificazione ISO 9001 Foundation accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [ISO 9001 Lead Auditor](https://cyberacademy.net/it/courses/iso-9001-lead-auditor): Certificazione ISO 9001 Lead Auditor accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [ISO 9001 Lead Implementer](https://cyberacademy.net/it/courses/iso-9001-lead-implementer): Certificazione ISO 9001 Lead Implementer accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [ISO27001 - Lead Auditor](https://cyberacademy.net/it/courses/iso27001-lead-auditor): Formazione certificante ISO27001 - Lead Auditor, ufficialmente accreditata PECB. Corso live online con istruttori esperti e garanzia certificazione o rimborso. Iscri... - [ISO27001 - Lead Implementer](https://cyberacademy.net/it/courses/iso27001-lead-implementer): Formazione certificante ufficiale PECB ISO27001 - Lead Implementer. Corso live online con istruttori esperti e garanzia certificato-o-rimborsato. ... - [ISO27002 Foundation](https://cyberacademy.net/it/courses/iso27002-foundation): Formazione certificata PECB-accreditata ISO27002 Foundation. Corso online in diretta con istruttori esperti e garanzia certificazione o rimborso. Iscriviti s... - [ISO27002 Lead Manager](https://cyberacademy.net/it/courses/iso27002-lead-manager): Formazione certificata PECB ISO27002 Lead Manager. Corso live online con istruttori esperti e garanzia certificazione-o-rimborso. Iscriviti... - [ISO27002 Manager](https://cyberacademy.net/it/courses/iso27002-manager): Formazione ufficiale PECB-accreditata per la certificazione ISO27002 Manager. Corso live online con istruttori esperti e garanzia certificazione-o-rimborso. Iscriviti oggi. - [Lead Cloud Security Manager](https://cyberacademy.net/it/courses/lead-cloud-security-manager): Certificazione Lead Cloud Security Manager accreditata PECB. Formazione live online con garanzia certificato o rimborso. - [Lead Cybersecurity Manager](https://cyberacademy.net/it/courses/lead-cybersecurity-manager): Certificazione PECB Lead Cybersecurity Manager. Formazione live online con garanzia certificato o rimborso. - [Lead Disaster Recovery Manager](https://cyberacademy.net/it/courses/lead-disaster-recovery-manager): Certificazione PECB Lead Disaster Recovery Manager. Formazione online in diretta con garanzia certificato o rimborso. - [Lead Ethical Hacker](https://cyberacademy.net/it/courses/lead-ethical-hacker): Certificazione Lead Ethical Hacker accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [Lead Operational Resilience Manager](https://cyberacademy.net/it/courses/lead-operational-resilience-manager): Certificazione PECB Lead Operational Resilience Manager. Formazione live online con garanzia certificato o rimborso. - [Lead SOC 2 Analyst](https://cyberacademy.net/it/courses/lead-soc-2-analyst): Certificazione Lead SOC 2 Analyst accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso. - [NIS 2 Directive Foundation](https://cyberacademy.net/it/courses/nis-2-directive-foundation): Certificazione NIS 2 Directive Foundation accreditata PECB. Formazione online live con garanzia certificato o rimborso. - [NIS 2 Directive Lead Implementer](https://cyberacademy.net/it/courses/nis-2-directive-lead-implementer): Certificazione PECB NIS 2 Directive Lead Implementer. Formazione online in diretta con garanzia certificato o rimborso. - [NIST Cybersecurity Consultant](https://cyberacademy.net/it/courses/nist-cybersecurity-consultant): Certificazione NIST Cybersecurity Consultant accreditata PECB. Formazione live online con garanzia certificato o rimborso. ## Articles (blog) > Short-form articles on regulatory news, practical templates, and career guidance. Most recent first. - [Come preparare la propria organizzazione alla conformità NIS 2](https://cyberacademy.net/it/resources/blog/how-to-prepare-your-organization-for-nis2-compliance): L'enforcement NIS 2 arriverà nel 2026. Ecco la roadmap pratica, diretta e senza fronzoli per portare la propria organizzazione alla conformità; senza annegare nella burocrazia né sprecare mesi in teoria. - [Come pianificare audit interni su più standard](https://cyberacademy.net/it/resources/blog/how-to-plan-internal-audits-across-multiple-standards): Gestire contemporaneamente ISO 27001, GDPR, NIS2, DORA, SOC 2 e altri framework può sembrare impossibile. Ecco come costruire un programma di audit interno unico ed efficiente, valido per ogni framework. - [Come integrare il rischio AI nel proprio ISMS e Risk Register esistenti](https://cyberacademy.net/it/resources/blog/how-to-integrate-ai-risk-into-your-existing-isms-and-risk-register): L'AI introduce nuovi rischi che il vostro ISMS non è stato progettato per gestire. Ecco il metodo chiaro e pratico per integrare il rischio AI nel vostro Risk Register ISO 27001 esistente, senza dover reinventare l'intero modello di governa - [Come valutare i fornitori terzi come un CISO (il metodo reale)](https://cyberacademy.net/it/resources/blog/how-to-evaluate-third-party-vendors-like-a-ciso-the-real-way): La sicurezza dei fornitori non riguarda le checklist; riguarda il contesto, i contratti, la governance e la credibilità. Ecco la guida concreta e collaudata sul campo per valutare le terze parti nel modo in cui un CISO moderno lo fa davvero - [Come costruire un audit trail che regga all'esame dei controlli](https://cyberacademy.net/it/resources/blog/how-to-build-an-audit-trail-that-stands-up-to-scrutiny): Autorità di vigilanza, auditor e tribunali non si interessano a ciò che si intendeva fare; si interessano a ciò che si riesce a dimostrare. Ecco come costruire un audit trail che superi i controlli previsti da NIS2, DORA, GDPR, AI Act e la - [Come costruire un registro dei rischi AI (con template)](https://cyberacademy.net/it/resources/blog/how-to-build-an-ai-risk-register-with-template): L'AI introduce nuovi rischi che i registri dei rischi tradizionali non riescono a catturare. Ecco il metodo chiaro e pragmatico per costruire un registro dei rischi AI; e un template pronto all'uso che puoi applicare oggi stesso. - [Come l'AI sta trasformando la gestione di audit e compliance](https://cyberacademy.net/it/resources/blog/how-ai-is-changing-audit-and-compliance-management): L'AI non sostituisce auditor e team di compliance; ne ridefinisce il modo di lavorare. Ecco un'analisi pratica e collaudata sul campo di come l'AI trasforma rischio, audit, evidenze e governance nel 2026 e oltre. - [Valutare i fornitori cloud nell'ambito di DORA e NIS2](https://cyberacademy.net/it/resources/blog/evaluating-cloud-providers-under-dora-nis2): I fornitori cloud si trovano oggi al centro dell'attenzione regolamentare. Ecco come valutarli correttamente nell'ambito di DORA e NIS2, senza essere sopraffatti dalla burocrazia né trascurare i rischi critici. - [Compliance continua: trasformare gli audit in una pratica operativa permanente](https://cyberacademy.net/it/resources/blog/continuous-compliance-turning-audits-into-ongoing-practice): Gli audit annuali sono superati. La compliance continua è l'unico modello che regge NIS2, DORA, ISO 27001, SOC 2, GDPR e l'AI Act. Ecco come trasformare la compliance in un'abitudine operativa viva e concreta; non in un momento di panico da - [ChatGPT può redigere la vostra policy ISMS? Un test reale](https://cyberacademy.net/it/resources/blog/can-chatgpt-draft-your-isms-policy-a-real-test): L'IA può scrivere le vostre policy ISMS? Sì; ma non nel modo in cui la maggior parte delle persone immagina. Ecco un'analisi testata sul campo di ciò che funziona, ciò che non funziona e come utilizzare l'IA in modo sicuro nel vostro progra - [Costruire una Compliance Dashboard che Parli il Linguaggio del Consiglio](https://cyberacademy.net/it/resources/blog/building-a-compliance-dashboard-that-speaks-board-language): La maggior parte delle compliance dashboard sommerge i dirigenti con informazioni superflue. Ecco come costruirne una che parli il linguaggio del Consiglio: chiara, strategica e pronta a supportare le decisioni. - [La prossima mossa di Bruxelles: cosa viene dopo NIS2 e DORA](https://cyberacademy.net/it/resources/blog/brussels-next-move-what-comes-after-nis2-and-dora): NIS2 e DORA erano solo la Fase 1. AI Act, Data Act, CRA, EUCS e le nuove norme sulla responsabilità stanno per definire la Fase 2. Ecco la roadmap concreta che i responsabili GRC devono prepararsi ad affrontare. - [Integrare GDPR, NIS2 e DORA per una conformità unificata](https://cyberacademy.net/it/resources/blog/bridging-gdpr-nis2-and-dora-for-unified-compliance): GDPR, NIS2 e DORA si sovrappongono più di quanto la maggior parte delle organizzazioni si renda conto. Ecco come costruire un unico modello di conformità invece di tre percorsi separati e ingestibili. - [Il programma di Awareness è morto.](https://cyberacademy.net/it/resources/blog/awareness-program-is-dead): La formazione di sensibilizzazione riduce il rischio, ma solo quando è progettata per esseri umani reali, incentivi reali e un contesto reale. Ecco perché la maggior parte dei programmi fallisce; e cosa funziona davvero. - [ISO 27001: Ho ereditato un ISMS. Era una cartella SharePoint con 200 documenti e una preghiera.](https://cyberacademy.net/it/resources/blog/iso27001-i-inherited-an-isms): Quello che nessuno vi dice sull'implementazione di ISO 27001 e come smettere di fingere in 5 giorni. 11–15 maggio, online. - [NIS 2 È in vigore. Il suo regolatore non aspetta.](https://cyberacademy.net/it/resources/blog/nis-2-is-live-your-regulator-wont-wait): Come passare da "Ho letto la direttiva" a "So come implementarla" in 5 giorni. 4–8 maggio, online. - [La Sua BIA È Probabilmente un Foglio di Calcolo Compilato da Qualcuno da Solo.](https://cyberacademy.net/it/resources/blog/your-bia-is-probably-a-spreadsheet-someone-filled-in-alone): Template gratuito di Business Impact Assessment. Tre sezioni. Matrice di impatto preconfigurata. Pronto per ISO 22301. - [Il Template di Policy BC/DR Che Non Muore in SharePoint](https://cyberacademy.net/it/resources/blog/the-bc-dr-policy-template-that-doesnt-die-in-sharepoint): Download gratuito. Costruito da progetti reali. Non l'ennesimo copia-incolla ISO. - [Storytelling per i responsabili della compliance](https://cyberacademy.net/it/resources/blog/storytelling-for-compliance-leaders): Perché i dati informano, ma le storie fanno sì che le persone si interessino alla compliance. - [KPI GRC che contano: come dimostrare la conformità con i numeri](https://cyberacademy.net/it/resources/blog/grc-kpis-that-matter-how-to-prove-compliance-with-numbers): La maggior parte dei KPI GRC è inutile. Ecco quelli che dimostrano davvero la conformità e guidano le decisioni. - [Come convincere i dirigenti a occuparsi seriamente del rischio](https://cyberacademy.net/it/resources/blog/how-to-get-executives-to-care-about-risk): Come fare in modo che i dirigenti si preoccupino davvero del rischio e agiscano di conseguenza. - [Dashboard GRC che i dirigenti leggono davvero](https://cyberacademy.net/it/resources/blog/grc-dashboards-executives-actually-read): Se si vuole che i dirigenti prestino attenzione, bisogna smettere di rendicontare come un compliance officer e iniziare a farlo come un business partner. - [Come condurre una valutazione del rischio che non annoi il consiglio di amministrazione](https://cyberacademy.net/it/resources/blog/how-to-run-a-risk-assessment-that-doesnt-bore-the-board): Se vuole che il consiglio di amministrazione sia davvero coinvolto, e non si limiti a sopportare le sue slide, deve trasformare la valutazione del rischio da rito di reportistica in conversazione decisionale. Ecco come. - [Come parlare di compliance a chi non si occupa di GRC (e farlo interessare)](https://cyberacademy.net/it/resources/blog/how-to-talk-compliance-to-non-grc-people-and-make-them-care): Come parlare di GRC a chi non se ne occupa (e farlo interessare) - [5 errori nei registri dei rischi (e come correggerli)](https://cyberacademy.net/it/resources/blog/5-mistakes-in-risk-registers-and-how-to-fix-them): Perché la maggior parte dei registri dei rischi non è altro che costosi fogli di calcolo pieni di wishful thinking. - [I 10 gap principali che gli auditor cercheranno nell'ambito di NIS 2](https://cyberacademy.net/it/resources/blog/top-10-gaps-auditors-will-look-for-under-nis2): E perché "abbiamo una policy per questo" non sarà sufficiente questa volta con NIS 2 - [Dal Checklist alla Strategia: La Fine della Conformità di Facciata](https://cyberacademy.net/it/resources/blog/from-checkbox-to-strategy-the-death-of-fake-compliance): La conformità costruita sulle checklist è al capolinea. Ecco come le organizzazioni passano da una maturità fittizia a una sicurezza strategica reale. - [AI Governance e AI Compliance: qual è la differenza?](https://cyberacademy.net/it/resources/blog/ai-governance-vs-ai-compliance-whats-the-difference): E perché confondere AI Governance e AI Compliance può creare seri problemi. - [La guida definitiva alle certificazioni ISO per i professionisti GRC](https://cyberacademy.net/it/resources/blog/the-ultimate-guide-to-iso-certifications-for-grc-pros): Una guida pratica e collaudata sul campo alle certificazioni ISO che ogni professionista GRC dovrebbe conoscere; e perché contano nella realtà operativa. - [Come scrivere policy che le persone seguono davvero](https://cyberacademy.net/it/resources/blog/how-to-write-policies-people-actually-follow): Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this. - [Policy di classificazione dei dati che funzionano davvero](https://cyberacademy.net/it/resources/blog/data-classification-policies-that-actually-work): Because most “Confidential / Internal / Public” labels are just data decorative. - [Da stagista a CISO: come costruire una carriera GRC che scala nel tempo](https://cyberacademy.net/it/resources/blog/from-intern-to-ciso-how-to-build-a-grc-career-that-scales): Una roadmap collaudata sul campo per la carriera da analista GRC junior a CISO, senza perdersi tra template, audit o confusione aziendale. - [Lezioni dagli audit falliti: cosa ogni organizzazione dovrebbe imparare](https://cyberacademy.net/it/resources/blog/lessons-from-failed-audits-what-every-organization-should-learn): Perché gli audit falliscono, cosa significa realmente e le lezioni che ogni organizzazione deve apprendere per non ripetere gli stessi errori. - [Lead Auditor vs. Lead Implementer: quale certificazione fa per Lei?](https://cyberacademy.net/it/resources/blog/lead-auditor-vs-lead-implementer-which-certification-fits-you): Come parlare di GRC a chi non è del settore (e far sì che gli importi) - [Top 10 Non Conformità di Audit nel 2025: Quelle Vere](https://cyberacademy.net/it/resources/blog/top-10-audit-findings-in-2025-the-real-ones): Note sul campo da reali gap assessment condotti in tutta Europa, non dai libri di testo. - [Come costruire una cultura della conformità che vada oltre le checklist](https://cyberacademy.net/it/resources/blog/how-to-build-a-compliance-culture-beyond-checklists): La cultura della conformità non si costruisce con policy o checklist; si costruisce con comportamenti, responsabilità e chiarezza. - [Come distinguersi come vCISO](https://cyberacademy.net/it/resources/blog/how-to-stand-out-as-a-vciso): Come un vCISO può distinguersi davvero in un mercato affollato, essendo pratico, umano e costantemente utile. - [Perché il 2026 sarà l'anno della convergenza della compliance](https://cyberacademy.net/it/resources/blog/why-2026-is-the-year-of-compliance-convergence): Come parlare di GRC a chi non è GRC (e far sì che gli importi) Entro il 2026, le aziende che sopravviveranno alla tempesta normativa, NIS2, DORA, AI Act, CRA Act, DATA Act, ESG, privacy e quant'altro, saranno quelle che avranno finalmente s - [Quando Excel è sufficiente e quando serve una vera piattaforma GRC](https://cyberacademy.net/it/resources/blog/when-excel-is-enough-and-when-you-need-a-real-grc-platform): Excel funziona… fino a quando non funziona più. Ecco la linea pragmatica tra i fogli di calcolo "abbastanza buoni" e il momento in cui la vostra organizzazione ha davvero bisogno di una piattaforma GRC. --- ## Optional - Upcoming live sessions: https://cyberacademy.net/it/sessions - Sitemap: https://cyberacademy.net/sitemap.xml