Note dal campo dalla sala audit.

Articoli di professionisti di Christophe Mazzola e del pool di trainer di Cyber Academy. Audit reali, board reali, incidenti reali, messi per iscritto e datati. Nessun comunicato stampa.

I pezzi che avremmo voluto leggere quando abbiamo iniziato nel GRC.

giugno 2026

10 articles
Mapping the ISO Jungle: 27001, 27002, 27005, 31000, 42001
AI Act

Orientarsi nella giungla ISO: 27001, 27002, 27005, 31000, 42001

Gli standard ISO possono sembrare una giungla impenetrabile: 27001, 27002, 27005, 31000, 42001… Ecco la mappa chiara e senza fronzoli di cui i professionisti GRC hanno davvero bisogno.

30 Jun 2026Read
ISO 27701:2025: What Changed and Why It Matters
GDPR & privacy

ISO 27701:2025, Cosa è cambiato e perché è importante

ISO/IEC 27701 ha subito la sua trasformazione più significativa dalla pubblicazione. L'edizione 2025 non è più un'estensione aggiuntiva di ISO 27001; è uno standard autonomo e completo per la gestione della privacy. Ecco cosa è cambiato, perché è importante e come prepararsi.

27 Jun 2026Read
How to Prepare Your Organization for NIS2 Compliance
NIS 2

Come preparare la propria organizzazione alla conformità NIS 2

L'enforcement NIS 2 arriverà nel 2026. Ecco la roadmap pratica, diretta e senza fronzoli per portare la propria organizzazione alla conformità; senza annegare nella burocrazia né sprecare mesi in teoria.

24 Jun 2026Read
How to Plan Internal Audits Across Multiple Standards
Audit room

Come pianificare audit interni su più standard

Gestire contemporaneamente ISO 27001, GDPR, NIS2, DORA, SOC 2 e altri framework può sembrare impossibile. Ecco come costruire un programma di audit interno unico ed efficiente, valido per ogni framework.

21 Jun 2026Read
How to Integrate AI Risk into Your Existing ISMS and Risk Register
AI Act

Come integrare il rischio AI nel proprio ISMS e Risk Register esistenti

L'AI introduce nuovi rischi che il vostro ISMS non è stato progettato per gestire. Ecco il metodo chiaro e pratico per integrare il rischio AI nel vostro Risk Register ISO 27001 esistente, senza dover reinventare l'intero modello di governance.

18 Jun 2026Read
How to Evaluate Third-Party Vendors Like a CISO
CISO life

Come valutare i fornitori terzi come un CISO (il metodo reale)

La sicurezza dei fornitori non riguarda le checklist; riguarda il contesto, i contratti, la governance e la credibilità. Ecco la guida concreta e collaudata sul campo per valutare le terze parti nel modo in cui un CISO moderno lo fa davvero.

15 Jun 2026Read
How to Build an Audit Trail that Stands Up to Scrutiny
Audit room

Come costruire un audit trail che regga all'esame dei controlli

Autorità di vigilanza, auditor e tribunali non si interessano a ciò che si intendeva fare; si interessano a ciò che si riesce a dimostrare. Ecco come costruire un audit trail che superi i controlli previsti da NIS2, DORA, GDPR, AI Act e la revisione forense.

12 Jun 2026Read
How to Build an AI Risk Register
AI Act

Come costruire un registro dei rischi AI (con template)

L'AI introduce nuovi rischi che i registri dei rischi tradizionali non riescono a catturare. Ecco il metodo chiaro e pragmatico per costruire un registro dei rischi AI; e un template pronto all'uso che puoi applicare oggi stesso.

09 Jun 2026Read
How AI Is Changing Audit and Compliance Management
AI Act

Come l'AI sta trasformando la gestione di audit e compliance

L'AI non sostituisce auditor e team di compliance; ne ridefinisce il modo di lavorare. Ecco un'analisi pratica e collaudata sul campo di come l'AI trasforma rischio, audit, evidenze e governance nel 2026 e oltre.

06 Jun 2026Read
Evaluating Cloud Providers under DORA and NIS2
NIS 2

Valutare i fornitori cloud nell'ambito di DORA e NIS2

I fornitori cloud si trovano oggi al centro dell'attenzione regolamentare. Ecco come valutarli correttamente nell'ambito di DORA e NIS2, senza essere sopraffatti dalla burocrazia né trascurare i rischi critici.

03 Jun 2026Read

maggio 2026

6 articles
Continuous Compliance: Turning Audits into Ongoing Practice
Audit room

Compliance continua: trasformare gli audit in una pratica operativa permanente

Gli audit annuali sono superati. La compliance continua è l'unico modello che regge NIS2, DORA, ISO 27001, SOC 2, GDPR e l'AI Act. Ecco come trasformare la compliance in un'abitudine operativa viva e concreta; non in un momento di panico da ripetere una volta l'anno.

31 May 2026Read
Can ChatGPT Draft Your ISMS Policy
AI Act

ChatGPT può redigere la vostra policy ISMS? Un test reale

L'IA può scrivere le vostre policy ISMS? Sì; ma non nel modo in cui la maggior parte delle persone immagina. Ecco un'analisi testata sul campo di ciò che funziona, ciò che non funziona e come utilizzare l'IA in modo sicuro nel vostro programma di governance.

28 May 2026Read
Building a Compliance Dashboard that Speaks Board Language
Audit room

Costruire una Compliance Dashboard che Parli il Linguaggio del Consiglio

La maggior parte delle compliance dashboard sommerge i dirigenti con informazioni superflue. Ecco come costruirne una che parli il linguaggio del Consiglio: chiara, strategica e pronta a supportare le decisioni.

25 May 2026Read
Brussels' Next Move: What Comes After NIS2 and DORA
NIS 2

La prossima mossa di Bruxelles: cosa viene dopo NIS2 e DORA

NIS2 e DORA erano solo la Fase 1. AI Act, Data Act, CRA, EUCS e le nuove norme sulla responsabilità stanno per definire la Fase 2. Ecco la roadmap concreta che i responsabili GRC devono prepararsi ad affrontare.

22 May 2026Read
Bridging GDPR, NIS2, and DORA for Unified Compliance
NIS 2

Integrare GDPR, NIS2 e DORA per una conformità unificata

GDPR, NIS2 e DORA si sovrappongono più di quanto la maggior parte delle organizzazioni si renda conto. Ecco come costruire un unico modello di conformità invece di tre percorsi separati e ingestibili.

19 May 2026Read
Awareness Program is dead
CISO life

Il programma di Awareness è morto.

La formazione di sensibilizzazione riduce il rischio, ma solo quando è progettata per esseri umani reali, incentivi reali e un contesto reale. Ecco perché la maggior parte dei programmi fallisce; e cosa funziona davvero.

16 May 2026Read

marzo 2026

3 articles

febbraio 2026

1 article

gennaio 2026

21 articles
Storytelling for Compliance Leaders

Storytelling per i responsabili della compliance

Perché i dati informano, ma le storie fanno sì che le persone si interessino alla compliance.

01 Jan 2026Read
GRC KPIs That Matter: How to Prove Compliance with Numbers

KPI GRC che contano: come dimostrare la conformità con i numeri

La maggior parte dei KPI GRC è inutile. Ecco quelli che dimostrano davvero la conformità e guidano le decisioni.

01 Jan 2026Read
How to Get Executives to Care About Risk

Come convincere i dirigenti a occuparsi seriamente del rischio

Come fare in modo che i dirigenti si preoccupino davvero del rischio e agiscano di conseguenza.

01 Jan 2026Read
GRC Dashboards Executives Actually Read

Dashboard GRC che i dirigenti leggono davvero

Se si vuole che i dirigenti prestino attenzione, bisogna smettere di rendicontare come un compliance officer e iniziare a farlo come un business partner.

01 Jan 2026Read
How to Run a Risk Assessment that Doesn't Bore the Board

Come condurre una valutazione del rischio che non annoi il consiglio di amministrazione

Se vuole che il consiglio di amministrazione sia davvero coinvolto, e non si limiti a sopportare le sue slide, deve trasformare la valutazione del rischio da rito di reportistica in conversazione decisionale. Ecco come.

01 Jan 2026Read
How to Talk Compliance to Non-GRC People (and Make Them Care)

Come parlare di compliance a chi non si occupa di GRC (e farlo interessare)

Come parlare di GRC a chi non se ne occupa (e farlo interessare)

01 Jan 2026Read
5 Mistakes in Risk Registers (and How to Fix Them)

5 errori nei registri dei rischi (e come correggerli)

Perché la maggior parte dei registri dei rischi non è altro che costosi fogli di calcolo pieni di wishful thinking.

01 Jan 2026Read
Top 10 Gaps Auditors Will Look for Under NIS2

I 10 gap principali che gli auditor cercheranno nell'ambito di NIS 2

E perché "abbiamo una policy per questo" non sarà sufficiente questa volta con NIS 2

01 Jan 2026Read
From Checkbox to Strategy: The Death of Fake Compliance

Dal Checklist alla Strategia: La Fine della Conformità di Facciata

La conformità costruita sulle checklist è al capolinea. Ecco come le organizzazioni passano da una maturità fittizia a una sicurezza strategica reale.

01 Jan 2026Read
AI Governance vs. AI Compliance: What's the Difference

AI Governance e AI Compliance: qual è la differenza?

E perché confondere AI Governance e AI Compliance può creare seri problemi.

01 Jan 2026Read
The Ultimate Guide to ISO Certifications for GRC Pros

La guida definitiva alle certificazioni ISO per i professionisti GRC

Una guida pratica e collaudata sul campo alle certificazioni ISO che ogni professionista GRC dovrebbe conoscere; e perché contano nella realtà operativa.

01 Jan 2026Read
How to Write Policies People Actually Follow

Come scrivere policy che le persone seguono davvero

Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this.

01 Jan 2026Read
Data Classification Policies that Actually Work

Policy di classificazione dei dati che funzionano davvero

Because most “Confidential / Internal / Public” labels are just data decorative.

01 Jan 2026Read
From intern to CISO: How to Build a GRC Career That Scales

Da stagista a CISO: come costruire una carriera GRC che scala nel tempo

Una roadmap collaudata sul campo per la carriera da analista GRC junior a CISO, senza perdersi tra template, audit o confusione aziendale.

01 Jan 2026Read
Lessons from Failed Audits: What Every Organization Should Learn

Lezioni dagli audit falliti: cosa ogni organizzazione dovrebbe imparare

Perché gli audit falliscono, cosa significa realmente e le lezioni che ogni organizzazione deve apprendere per non ripetere gli stessi errori.

01 Jan 2026Read
Lead Auditor vs. Lead Implementer: Which Certification Fits You

Lead Auditor vs. Lead Implementer: quale certificazione fa per Lei?

Come parlare di GRC a chi non è del settore (e far sì che gli importi)

01 Jan 2026Read
Top 10 Audit Findings in 2025: The Real Ones

Top 10 Non Conformità di Audit nel 2025: Quelle Vere

Note sul campo da reali gap assessment condotti in tutta Europa, non dai libri di testo.

01 Jan 2026Read
How to Build a Compliance Culture Beyond Checklists

Come costruire una cultura della conformità che vada oltre le checklist

La cultura della conformità non si costruisce con policy o checklist; si costruisce con comportamenti, responsabilità e chiarezza.

01 Jan 2026Read
How to Stand Out as a vCISO

Come distinguersi come vCISO

Come un vCISO può distinguersi davvero in un mercato affollato, essendo pratico, umano e costantemente utile.

01 Jan 2026Read
Why 2026 Is the Year of Compliance Convergence

Perché il 2026 sarà l'anno della convergenza della compliance

Come parlare di GRC a chi non è GRC (e far sì che gli importi) Entro il 2026, le aziende che sopravviveranno alla tempesta normativa, NIS2, DORA, AI Act, CRA Act, DATA Act, ESG, privacy e quant'altro, saranno quelle che avranno finalmente smesso di gestire i framework in isolamento. Stiamo entrando nell'era della convergenza GRC

01 Jan 2026Read
When Excel Is Enough and When You Need a Real GRC Platform

Quando Excel è sufficiente e quando serve una vera piattaforma GRC

Excel funziona… fino a quando non funziona più. Ecco la linea pragmatica tra i fogli di calcolo "abbastanza buoni" e il momento in cui la vostra organizzazione ha davvero bisogno di una piattaforma GRC.

01 Jan 2026Read

Vuoi la prossima nota dal campo nella tua casella di posta?

La newsletter The GRC Brief pubblica una breve edizione ogni lunedì alle 8:00 CET. Cinque link, un breve commento. Tre minuti di lettura, senza fronzoli AI.