Articles
Articoli di professionisti di Christophe Mazzola e del pool di trainer di Cyber Academy. Audit reali, board reali, incidenti reali, messi per iscritto e datati. Nessun comunicato stampa.
I pezzi che avremmo voluto leggere quando abbiamo iniziato nel GRC.

Gli standard ISO possono sembrare una giungla impenetrabile: 27001, 27002, 27005, 31000, 42001… Ecco la mappa chiara e senza fronzoli di cui i professionisti GRC hanno davvero bisogno.

ISO/IEC 27701 ha subito la sua trasformazione più significativa dalla pubblicazione. L'edizione 2025 non è più un'estensione aggiuntiva di ISO 27001; è uno standard autonomo e completo per la gestione della privacy. Ecco cosa è cambiato, perché è importante e come prepararsi.

L'enforcement NIS 2 arriverà nel 2026. Ecco la roadmap pratica, diretta e senza fronzoli per portare la propria organizzazione alla conformità; senza annegare nella burocrazia né sprecare mesi in teoria.

Gestire contemporaneamente ISO 27001, GDPR, NIS2, DORA, SOC 2 e altri framework può sembrare impossibile. Ecco come costruire un programma di audit interno unico ed efficiente, valido per ogni framework.

L'AI introduce nuovi rischi che il vostro ISMS non è stato progettato per gestire. Ecco il metodo chiaro e pratico per integrare il rischio AI nel vostro Risk Register ISO 27001 esistente, senza dover reinventare l'intero modello di governance.

La sicurezza dei fornitori non riguarda le checklist; riguarda il contesto, i contratti, la governance e la credibilità. Ecco la guida concreta e collaudata sul campo per valutare le terze parti nel modo in cui un CISO moderno lo fa davvero.

Autorità di vigilanza, auditor e tribunali non si interessano a ciò che si intendeva fare; si interessano a ciò che si riesce a dimostrare. Ecco come costruire un audit trail che superi i controlli previsti da NIS2, DORA, GDPR, AI Act e la revisione forense.

L'AI introduce nuovi rischi che i registri dei rischi tradizionali non riescono a catturare. Ecco il metodo chiaro e pragmatico per costruire un registro dei rischi AI; e un template pronto all'uso che puoi applicare oggi stesso.

L'AI non sostituisce auditor e team di compliance; ne ridefinisce il modo di lavorare. Ecco un'analisi pratica e collaudata sul campo di come l'AI trasforma rischio, audit, evidenze e governance nel 2026 e oltre.

I fornitori cloud si trovano oggi al centro dell'attenzione regolamentare. Ecco come valutarli correttamente nell'ambito di DORA e NIS2, senza essere sopraffatti dalla burocrazia né trascurare i rischi critici.

Gli audit annuali sono superati. La compliance continua è l'unico modello che regge NIS2, DORA, ISO 27001, SOC 2, GDPR e l'AI Act. Ecco come trasformare la compliance in un'abitudine operativa viva e concreta; non in un momento di panico da ripetere una volta l'anno.

L'IA può scrivere le vostre policy ISMS? Sì; ma non nel modo in cui la maggior parte delle persone immagina. Ecco un'analisi testata sul campo di ciò che funziona, ciò che non funziona e come utilizzare l'IA in modo sicuro nel vostro programma di governance.

La maggior parte delle compliance dashboard sommerge i dirigenti con informazioni superflue. Ecco come costruirne una che parli il linguaggio del Consiglio: chiara, strategica e pronta a supportare le decisioni.

NIS2 e DORA erano solo la Fase 1. AI Act, Data Act, CRA, EUCS e le nuove norme sulla responsabilità stanno per definire la Fase 2. Ecco la roadmap concreta che i responsabili GRC devono prepararsi ad affrontare.

GDPR, NIS2 e DORA si sovrappongono più di quanto la maggior parte delle organizzazioni si renda conto. Ecco come costruire un unico modello di conformità invece di tre percorsi separati e ingestibili.

La formazione di sensibilizzazione riduce il rischio, ma solo quando è progettata per esseri umani reali, incentivi reali e un contesto reale. Ecco perché la maggior parte dei programmi fallisce; e cosa funziona davvero.

Quello che nessuno vi dice sull'implementazione di ISO 27001 e come smettere di fingere in 5 giorni. 11–15 maggio, online.

Come passare da "Ho letto la direttiva" a "So come implementarla" in 5 giorni. 4–8 maggio, online.

Template gratuito di Business Impact Assessment. Tre sezioni. Matrice di impatto preconfigurata. Pronto per ISO 22301.

Perché i dati informano, ma le storie fanno sì che le persone si interessino alla compliance.

La maggior parte dei KPI GRC è inutile. Ecco quelli che dimostrano davvero la conformità e guidano le decisioni.

Come fare in modo che i dirigenti si preoccupino davvero del rischio e agiscano di conseguenza.

Se si vuole che i dirigenti prestino attenzione, bisogna smettere di rendicontare come un compliance officer e iniziare a farlo come un business partner.

Se vuole che il consiglio di amministrazione sia davvero coinvolto, e non si limiti a sopportare le sue slide, deve trasformare la valutazione del rischio da rito di reportistica in conversazione decisionale. Ecco come.

Come parlare di GRC a chi non se ne occupa (e farlo interessare)

Perché la maggior parte dei registri dei rischi non è altro che costosi fogli di calcolo pieni di wishful thinking.

E perché "abbiamo una policy per questo" non sarà sufficiente questa volta con NIS 2

La conformità costruita sulle checklist è al capolinea. Ecco come le organizzazioni passano da una maturità fittizia a una sicurezza strategica reale.

E perché confondere AI Governance e AI Compliance può creare seri problemi.

Una guida pratica e collaudata sul campo alle certificazioni ISO che ogni professionista GRC dovrebbe conoscere; e perché contano nella realtà operativa.

Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this.

Because most “Confidential / Internal / Public” labels are just data decorative.

Una roadmap collaudata sul campo per la carriera da analista GRC junior a CISO, senza perdersi tra template, audit o confusione aziendale.

Perché gli audit falliscono, cosa significa realmente e le lezioni che ogni organizzazione deve apprendere per non ripetere gli stessi errori.

Come parlare di GRC a chi non è del settore (e far sì che gli importi)

Note sul campo da reali gap assessment condotti in tutta Europa, non dai libri di testo.

La cultura della conformità non si costruisce con policy o checklist; si costruisce con comportamenti, responsabilità e chiarezza.

Come un vCISO può distinguersi davvero in un mercato affollato, essendo pratico, umano e costantemente utile.

Come parlare di GRC a chi non è GRC (e far sì che gli importi) Entro il 2026, le aziende che sopravviveranno alla tempesta normativa, NIS2, DORA, AI Act, CRA Act, DATA Act, ESG, privacy e quant'altro, saranno quelle che avranno finalmente smesso di gestire i framework in isolamento. Stiamo entrando nell'era della convergenza GRC

Excel funziona… fino a quando non funziona più. Ecco la linea pragmatica tra i fogli di calcolo "abbastanza buoni" e il momento in cui la vostra organizzazione ha davvero bisogno di una piattaforma GRC.
La newsletter The GRC Brief pubblica una breve edizione ogni lunedì alle 8:00 CET. Cinque link, un breve commento. Tre minuti di lettura, senza fronzoli AI.