La libreria di Cyber Academy.

Materiale di riferimento GRC testato sul campo, scritto da un CISO attivo. Articoli, pillar approfonditi, un'enciclopedia in crescita e una newsletter settimanale che non ti fa perdere tempo.

Resources

Le pagine pillar

See all

Pillar

NIS 2: la guida che sostituisce il tuo monitoraggio legale.

Nell'ambito di applicazione: 18 settori, entità di medie dimensioni (50+ dipendenti / 10M+ di fatturato) e di dimensioni maggiori. Due categorie, essenziali e importanti, con diversa intensità di vigilanza.Dieci misure di gestione dei rischi di cybersecurity ai sensi dell'Articolo 21. La direttiva indica cosa fare; ISO 27001 è il come più diffuso.Segnalazione degli incidenti: preallarme entro 24 ore, notifica entro 72 ore, relazione completa entro un mese. Definisci il percorso prima di averne bisogno.La responsabilità personale e l'accountability del management sono ora esplicite. Il consiglio di amministrazione è chiamato in causa, non solo il CISO.Lo stato di recepimento varia da Paese a Paese: verifica la tua autorità nazionale prima di dare per scontato che il testo UE si applichi così com'è.

Leggi la guida

Pillar

DORA: quello che il tuo RSSI non ti ha detto.

Si applica a circa 20 categorie di entità finanziarie più i fornitori terzi di servizi ICT designati come critici, dal 17 gennaio 2025.Cinque pilastri. Il registro dei terzi (Pilastro 4) e i test di resilienza (Pilastro 3, compreso il TLPT per le entità significative) sono i più operativi e i più sottoposti ad audit.Per le entità significative, test di penetrazione guidati dalla minaccia ogni tre anni, supervisionati dall'autorità nazionale nell'ambito di TIBER-EU.I fornitori terzi di servizi ICT critici sono supervisionati direttamente dalle Autorità europee di vigilanza (ESA). Il loro rischio di concentrazione ora conta a livello UE.Da abbinare a ISO 22301 per il BCMS, ISO 27001 per la gestione del rischio ICT, e a Lead Operational Resilience Manager per il livello rivolto al regolatore.

Leggi la guida

Pillar

ISO 27001: Foundation, Lead Implementer, Lead Auditor, quale scegliere?

Foundation è il prerequisito. Fornisce il vocabolario e il modello mentale del sistema di gestione. Due giorni, esame di 1 ora.Lead Implementer (5 giorni) ti insegna a costruire l'ISMS, redigere la SoA, condurre il trattamento del rischio e gestire il ciclo del riesame della direzione.Lead Auditor (5 giorni) ti insegna a pianificare e guidare audit di terza parte o interni. Una mentalità diversa: evidenze, campionamento, tecnica di intervista, reportistica.La maggior parte dei CISO e dei responsabili della sicurezza segue Lead Implementer. Gli auditor interni e i consulenti delle Big Four seguono Lead Auditor. È comune fare entrambi nell'arco di 12-18 mesi.Tassi di superamento sulle nostre sessioni PECB con docente: 99,1% al primo tentativo nella nostra erogazione; la media di mercato è dell'80%-85% a seconda del partner.

Leggi la guida

Encyclopedia preview

See all 87

AI Risk Manager

AI Risk Manager è la credenziale (PECB / ISACA emerging) per i professionisti che gestiscono programmi di rischio specifici per l'IA: rischio del modello, bias, drift, trasparenza, rischio del modello da terze parti. Livello operativo che completa ISO/IEC 42001 (livello di sistema) e l'AI Act (livello regolatorio). Accompagnamento frequente al CISO o al Lead AI Auditor.

Advanced in AI Audit

AAIA

AAIA è la credenziale ISACA avanzata per l'audit di sistemi, modelli e governance dell'IA. Di recente introduzione (dal 2024). Richiede una certificazione CISA in corso di validità o equivalente. Progettata per auditor senior che integrano competenze in ambito IA, mappata su ISO 42001 e sugli obblighi ad alto rischio dell'AI Act europeo.

Agenzia dell'Unione Europea per la Cybersecurity

ENISA

ENISA è l'agenzia UE per la cybersecurity, con sede ad Atene. Supporta gli Stati membri e le istituzioni UE in materia di politica della cybersecurity, cooperazione operativa e quadro di certificazione europeo. È operativamente coinvolta nella cooperazione NIS 2, negli standard tecnici di attuazione DORA e nella baseline di sicurezza dell'AI Act. Il loro rapporto sul panorama delle minacce è la pubblicazione annuale più citata in assoluto.

Agenzia nazionale francese per la cybersicurezza

ANSSI

ANSSI è l'agenzia nazionale francese per la cybersicurezza, posta sotto l'autorità del Primo Ministro dal 2009. È l'autorità nazionale per la politica di cybersicurezza in Francia: qualifica prodotti e fornitori di servizi, pubblica EBIOS Risk Manager e agisce come autorità competente per il recepimento di NIS 2. Le sue qualificazioni (SecNumCloud, PVID, PASSI) rappresentano il riferimento di eccellenza nel settore pubblico francese.

Audit stage 1 / stage 2

La certificazione ISO iniziale si articola in stage 1 (verifica della documentazione e della prontezza operativa, di norma 1-2 giorni) e stage 2 (audit delle evidenze operative, 2-5 giorni). Lo stage 1 conferma che il sistema di gestione esiste sulla carta; lo stage 2 verifica che funzioni concretamente. La maggior parte degli audit stage 2 "falliti" sono problemi di stage 1 che nessuno ha corretto nel frattempo.

Autenticazione a più fattori

MFA

MFA è il requisito per cui l'autenticazione utilizza due o più fattori appartenenti a categorie distinte (conoscenza, possesso, inerenza). Non tutte le MFA sono equivalenti: i codici via SMS e via e-mail sono soggetti a phishing, le notifiche push espongono a fenomeni di fatigue, i token hardware e le passkey rappresentano le forme più robuste. NIS 2 e DORA impongono entrambi una MFA "forte" sugli accessi critici.

Cinque link selezionati ogni lunedì alle 8:00.

Regolamentazione cyber EU, risultati di audit, template e brevi commenti. Dalla scrivania di un CISO attivo. Gratuito. Senza fronzoli.

Iscriviti a The GRC Brief