Resources
Materiale di riferimento GRC testato sul campo, scritto da un CISO attivo. Articoli, pillar approfonditi, un'enciclopedia in crescita e una newsletter settimanale che non ti fa perdere tempo.
Blog
Articoli brevi su normative, audit e la scrivania del CISO.
Pillars
Le guide complete su NIS 2, DORA, ISO 27001, AI Act e altro.
Encyclopedia
Definizioni in linguaggio chiaro di ogni termine che incontrerai sul campo.
Newsletter
Cinque link selezionati sulla regolamentazione cyber EU. Senza fronzoli.
Latest

La cybersecurity e la sicurezza personale poggiano sulle stesse fondamenta: contesto, consapevolezza, difese a strati e capacità di risposta. Ecco perché la sicurezza non è solo un lavoro; è una mentalità che si applica ovunque.
Read
Orientato all'ISO? All'audit? Alla governance tecnica? Ecco il confronto diretto tra PECB, ISACA ed Exin; e quale percorso di certificazione si adatta davvero agli obiettivi di carriera GRC.
Read
NIS2 diventa applicabile nel 2026 e rappresenta un cambiamento sostanziale per i CISO. Ecco un'analisi diretta di ciò che cambia realmente: governance, sanzioni, responsabilità del Board, rischio della supply chain, notifica degli incidenti e aspettative operative.
ReadDeep dives
Pillar
Nell'ambito di applicazione: 18 settori, entità di medie dimensioni (50+ dipendenti / 10M+ di fatturato) e di dimensioni maggiori. Due categorie, essenziali e importanti, con diversa intensità di vigilanza.Dieci misure di gestione dei rischi di cybersecurity ai sensi dell'Articolo 21. La direttiva indica cosa fare; ISO 27001 è il come più diffuso.Segnalazione degli incidenti: preallarme entro 24 ore, notifica entro 72 ore, relazione completa entro un mese. Definisci il percorso prima di averne bisogno.La responsabilità personale e l'accountability del management sono ora esplicite. Il consiglio di amministrazione è chiamato in causa, non solo il CISO.Lo stato di recepimento varia da Paese a Paese: verifica la tua autorità nazionale prima di dare per scontato che il testo UE si applichi così com'è.
Leggi la guidaPillar
Si applica a circa 20 categorie di entità finanziarie più i fornitori terzi di servizi ICT designati come critici, dal 17 gennaio 2025.Cinque pilastri. Il registro dei terzi (Pilastro 4) e i test di resilienza (Pilastro 3, compreso il TLPT per le entità significative) sono i più operativi e i più sottoposti ad audit.Per le entità significative, test di penetrazione guidati dalla minaccia ogni tre anni, supervisionati dall'autorità nazionale nell'ambito di TIBER-EU.I fornitori terzi di servizi ICT critici sono supervisionati direttamente dalle Autorità europee di vigilanza (ESA). Il loro rischio di concentrazione ora conta a livello UE.Da abbinare a ISO 22301 per il BCMS, ISO 27001 per la gestione del rischio ICT, e a Lead Operational Resilience Manager per il livello rivolto al regolatore.
Leggi la guidaPillar
Foundation è il prerequisito. Fornisce il vocabolario e il modello mentale del sistema di gestione. Due giorni, esame di 1 ora.Lead Implementer (5 giorni) ti insegna a costruire l'ISMS, redigere la SoA, condurre il trattamento del rischio e gestire il ciclo del riesame della direzione.Lead Auditor (5 giorni) ti insegna a pianificare e guidare audit di terza parte o interni. Una mentalità diversa: evidenze, campionamento, tecnica di intervista, reportistica.La maggior parte dei CISO e dei responsabili della sicurezza segue Lead Implementer. Gli auditor interni e i consulenti delle Big Four seguono Lead Auditor. È comune fare entrambi nell'arco di 12-18 mesi.Tassi di superamento sulle nostre sessioni PECB con docente: 99,1% al primo tentativo nella nostra erogazione; la media di mercato è dell'80%-85% a seconda del partner.
Leggi la guidaVocabulary
AI Risk Manager è la credenziale (PECB / ISACA emerging) per i professionisti che gestiscono programmi di rischio specifici per l'IA: rischio del modello, bias, drift, trasparenza, rischio del modello da terze parti. Livello operativo che completa ISO/IEC 42001 (livello di sistema) e l'AI Act (livello regolatorio). Accompagnamento frequente al CISO o al Lead AI Auditor.
AAIA è la credenziale ISACA avanzata per l'audit di sistemi, modelli e governance dell'IA. Di recente introduzione (dal 2024). Richiede una certificazione CISA in corso di validità o equivalente. Progettata per auditor senior che integrano competenze in ambito IA, mappata su ISO 42001 e sugli obblighi ad alto rischio dell'AI Act europeo.
ENISA è l'agenzia UE per la cybersecurity, con sede ad Atene. Supporta gli Stati membri e le istituzioni UE in materia di politica della cybersecurity, cooperazione operativa e quadro di certificazione europeo. È operativamente coinvolta nella cooperazione NIS 2, negli standard tecnici di attuazione DORA e nella baseline di sicurezza dell'AI Act. Il loro rapporto sul panorama delle minacce è la pubblicazione annuale più citata in assoluto.
ANSSI è l'agenzia nazionale francese per la cybersicurezza, posta sotto l'autorità del Primo Ministro dal 2009. È l'autorità nazionale per la politica di cybersicurezza in Francia: qualifica prodotti e fornitori di servizi, pubblica EBIOS Risk Manager e agisce come autorità competente per il recepimento di NIS 2. Le sue qualificazioni (SecNumCloud, PVID, PASSI) rappresentano il riferimento di eccellenza nel settore pubblico francese.
La certificazione ISO iniziale si articola in stage 1 (verifica della documentazione e della prontezza operativa, di norma 1-2 giorni) e stage 2 (audit delle evidenze operative, 2-5 giorni). Lo stage 1 conferma che il sistema di gestione esiste sulla carta; lo stage 2 verifica che funzioni concretamente. La maggior parte degli audit stage 2 "falliti" sono problemi di stage 1 che nessuno ha corretto nel frattempo.
MFA è il requisito per cui l'autenticazione utilizza due o più fattori appartenenti a categorie distinte (conoscenza, possesso, inerenza). Non tutte le MFA sono equivalenti: i codici via SMS e via e-mail sono soggetti a phishing, le notifiche push espongono a fenomeni di fatigue, i token hardware e le passkey rappresentano le forme più robuste. NIS 2 e DORA impongono entrambi una MFA "forte" sugli accessi critici.
The GRC Brief
Regolamentazione cyber EU, risultati di audit, template e brevi commenti. Dalla scrivania di un CISO attivo. Gratuito. Senza fronzoli.
Iscriviti a The GRC Brief