Skip to main content

Regolamenti nazionali e internazionali

Consulta l’elenco di regolamentazioni attualmente distribuite nelle nostre campagne di compliance

GDPR

Titolari e Responsabili devono proteggere i dati personali

Ambito e descrizione delle domande previste dalle campagne

  • Consapevolezza e Formazione

    GDPR Titolare
    • Formazione dei dipendenti: I dipendenti sono adeguatamente formati sul GDPR e sulle politiche aziendali relative alla protezione dei dati personali?
    • Ruolo del DPO: È stato nominato un Responsabile della Protezione dei Dati (DPO), se necessario?

  • Registrazione dei Trattamenti

    GDPR Titolare
    GDPR Responsabile
    • Registro dei trattamenti: È stato creato e mantenuto un registro dei trattamenti dei dati personali?
    • Finalità del trattamento: Ogni trattamento dei dati è documentato con finalità precise e legittime?

  • Base Giuridica del Trattamento

    GDPR Titolare
    • Legittimità del trattamento: Per ogni trattamento dei dati, è stata identificata una base giuridica (consenso, contratto, obbligo legale, legittimo interesse, ecc.)?
    • Consenso: Se il trattamento si basa sul consenso, è stato ottenuto in modo chiaro, esplicito e documentato?

  • Trasparenza e Informativa

    GDPR Titolare
    • Informativa privacy: L’informativa sulla privacy è chiara, completa e facilmente accessibile per gli interessati?
    • Informazioni obbligatorie: L’informativa include tutte le informazioni richieste dal GDPR (es. finalità, base giuridica, periodi di conservazione, diritti dell’interessato)?

  • Diritti degli Interessati

    GDPR Titolare
    • Accesso ai dati: I soggetti interessati possono facilmente esercitare il diritto di accesso ai propri dati personali?
    • Correzione e cancellazione: Sono previsti processi per rispondere a richieste di correzione, cancellazione o portabilità dei dati?
    • Obiezioni e reclami: È stato previsto un processo per gestire le obiezioni o i reclami in merito al trattamento dei dati?

  • Sicurezza dei Dati

    GDPR Titolare
    GDPR Responsabili
    • Misure di sicurezza: Sono state adottate misure di sicurezza adeguate per proteggere i dati personali da accessi non autorizzati, distruzione o alterazione accidentale?
    • Crittografia e pseudonimizzazione: Se necessario, vengono utilizzate tecniche di crittografia o pseudonimizzazione per i dati sensibili?

  • Gestione dei Fornitori e Terze Parti

    GDPR Titolare
    GDPR Responsabili
    • Contratti con fornitori: I contratti con fornitori o terze parti prevedono clausole specifiche per la protezione dei dati personali (ad esempio, nomina di responsabili del trattamento)?
    • Valutazione del rischio: È stata effettuata una valutazione dei rischi associati ai fornitori esterni?

  • Controllo e Audit

    GDPR Responsabili
    GDPR Responsabile
    • Possibilità di audit: Il contratto prevede il diritto del titolare del trattamento di effettuare audit e ispezioni presso il fornitore per verificare la conformità al GDPR?
    • Rapporti e verifiche: Il fornitore è obbligato a fornire al titolare documentazione che dimostri l’adozione delle misure di sicurezza e il rispetto degli obblighi del GDPR (ad esempio, certificazioni, rapporti di audit)?

  • Data Breach (Violazione dei Dati)

    GDPR Titolare
    GDPR Responsabile
    • Piano di risposta agli incidenti: È stato sviluppato un piano per la gestione delle violazioni dei dati?
    • Notifica delle violazioni: È previsto il processo per notificare tempestivamente le violazioni dei dati alle autorità competenti e agli interessati, se necessario?

  • Conservazione dei Dati

    GDPR Titolare
    GDPR Responsabile
    • Politica di conservazione dei dati: Esiste una politica chiara sulla conservazione dei dati personali, che stabilisce la durata del trattamento e la distruzione dei dati non più necessari?
    • Verifica della conformità: Sono stati effettuati audit periodici per verificare che i dati vengano conservati solo per il periodo necessario?
    • Durata della conservazione: Il contratto stabilisce chiaramente i periodi di conservazione dei dati trattati dal fornitore? I dati devono essere conservati solo per il tempo necessario per le finalità del trattamento?
    • Distruzione dei dati: Il fornitore ha procedure per la cancellazione sicura dei dati personali al termine del contratto o quando non sono più necessari?

  • Valutazione di Impatto sulla Protezione dei Dati (DPIA)

    GDPR Titolare
    • DPIA: È stata eseguita una valutazione d’impatto sulla protezione dei dati per trattamenti che presentano rischi elevati per i diritti e le libertà degli interessati?
    • Azioni correttive: Sono state implementate azioni correttive o mitigative per ridurre i rischi identificati nelle DPIA?

  • Trasferimento dei Dati al di fuori dell’UE

    GDPR Titolare
    GDPR Responsabile
    • Trasferimenti internazionali: I trasferimenti di dati personali verso paesi al di fuori dell’UE avvengono nel rispetto delle condizioni stabilite dal GDPR (ad esempio, utilizzando le clausole contrattuali standard)?
NIS 2

Misure a per cybersecurity e resilienza

Ambito e descrizione delle domande previste dalle campagne

  • Governance e gestione del rischio

    NIS 2
    • Responsabilità chiare: È stato designato un responsabile della sicurezza informatica (CSO o equivalente) con il potere di gestire le politiche di sicurezza?
    • Politiche di sicurezza documentate: Sono in atto politiche di sicurezza informatica, compresa la gestione del rischio, la gestione degli incidenti e la gestione delle vulnerabilità?
    • Gestione dei rischi: È stato implementato un processo formale di valutazione e gestione dei rischi per i sistemi e le reti critiche?
    • Monitoraggio continuo del rischio: Sono previsti monitoraggi regolari e aggiornamenti delle valutazioni dei rischi informatici?
    • Cultura della sicurezza: La sicurezza informatica è una priorità strategica a livello aziendale e viene promossa una cultura della sicurezza tra tutti i dipendenti?

  • Resilienza operativa e continuità dei servizi

    NIS 2
    • Piani di continuità operativa (BCP): Esiste un piano formale di continuità operativa per garantire il funzionamento dei servizi essenziali durante un incidente informatico?
    • Test di continuità: I piani di continuità operativa sono testati regolarmente attraverso simulazioni o scenari di crisi?
    • Ripristino rapido: Sono stati stabiliti processi di recupero per il ripristino rapido dei sistemi in caso di interruzione?

  • Sicurezza dei sistemi e delle reti

    NIS 2
    • Misure di protezione della rete: Sono state implementate soluzioni di sicurezza per la rete (firewall, intrusion detection, etc.)?
    • Gestione delle vulnerabilità: È in atto un programma di gestione delle vulnerabilità e patch management per i sistemi IT?
    • Cifratura dei dati: Sono utilizzate tecniche di cifratura per proteggere i dati sia a riposo che in transito?
    • Monitoraggio e logging: I sistemi sono monitorati per rilevare attività anomale, e vengono registrati eventi e transazioni significativi?

  • Gestione degli incidenti di sicurezza

    NIS 2
    • Piano di risposta agli incidenti: Esiste un piano di risposta agli incidenti che descriva le procedure da seguire in caso di attacco informatico?
    • Notifica degli incidenti: Gli incidenti di sicurezza sono notificati alle autorità competenti entro i termini stabiliti (di solito entro 24 ore)?
    • Gestione post-incidente: Sono stati implementati processi per l’analisi post-incidente e il miglioramento delle difese informatiche dopo un attacco?
    • Comunicazione con le terze parti: Esistono canali chiari per la comunicazione con le autorità nazionali e altre organizzazioni coinvolte nella gestione degli incidenti?

  • Sicurezza della supply chain e dei fornitori

    NIS 2
    • Valutazione dei fornitori: Sono stati eseguiti controlli di sicurezza sui fornitori e partner critici che forniscono servizi o infrastrutture essenziali?
    • Contratti di sicurezza: I contratti con i fornitori di servizi critici includono clausole di sicurezza e misure adeguate per proteggere i dati e le informazioni?
    • Monitoraggio della sicurezza dei fornitori: È stato implementato un sistema di monitoraggio continuo della sicurezza dei fornitori?

  • Conformità e audit

    NIS 2
    • Audit di sicurezza regolari: Sono previsti audit regolari per verificare la conformità alle politiche di sicurezza e alla NIS 2?
    • Verifica della conformità: Esistono meccanismi per garantire la conformità alle normative di cybersecurity, come ispezioni da parte delle autorità competenti?
    • Sanzioni e correttivi: Sono previste sanzioni interne per non conformità e processi per adottare azioni correttive?

  • Formazione e sensibilizzazione

    NIS 2
    • Formazione sulla sicurezza informatica: I dipendenti ricevono formazione continua sulla sicurezza informatica e sulle minacce emergenti (phishing, malware, etc.)?
    • Simulazioni di attacchi: Vengono condotte simulazioni di incidenti informatici per testare la reazione dei dipendenti e delle funzioni aziendali?
    • Campagne di sensibilizzazione: Esistono campagne di sensibilizzazione periodiche per mantenere alta l’attenzione sulla sicurezza tra i dipendenti?

  • Certificazioni e standard di sicurezza

    NIS 2
    • Certificazioni di sicurezza: I sistemi e i processi sono certificati secondo standard di sicurezza riconosciuti, come ISO/IEC 27001 o equivalenti?
    • Standard di sicurezza applicati: Le pratiche di sicurezza seguono standard internazionali di cybersecurity, come quelli stabiliti dall’EU Cybersecurity Certification Framework?

  • Sicurezza del cloud e dei servizi digitali

    NIS 2
    • Controlli di sicurezza per il cloud: Se si utilizzano servizi cloud, sono in atto misure di sicurezza specifiche per proteggere i dati e i sistemi nel cloud?
    • Gestione dell’accesso al cloud: Sono stati implementati controlli rigorosi per la gestione degli accessi ai dati e alle applicazioni nel cloud?

  • Reporting e collaborazione con le autorità

    NIS 2
    • Comunicazione con le autorità competenti: È stato implementato un sistema di comunicazione tempestiva e di collaborazione con le autorità competenti in caso di incidenti di sicurezza informatica?
    • Collaborazione intersettoriale: L’organizzazione collabora con altre aziende del settore o con reti di collaborazione settoriali per migliorare la sicurezza informatica?
AI

Valutazione dei rischi e sicurezza nell’uso dell’AI

Ambito e descrizione delle domande previste dalle campagne

  • Identificazione e Classificazione dei Sistemi di AI

    AI ACT
    • È stato effettuato un inventario dei sistemi di AI utilizzati o sviluppati dall’organizzazione?
    • È stato valutato e documentato il livello di rischio (inaccettabile, alto, limitato, minimo) di ciascun sistema di AI in base all’AI Act?
    • Sono chiaramente identificati i sistemi di AI considerati ad alto rischio?

  • Conformità per i Sistemi di AI ad Alto Rischio

    AI ACT
    • Sono implementate misure per garantire la trasparenza e la fornitura di informazioni adeguate agli utenti dei sistemi di AI ad alto rischio?
    • Sono in atto politiche e procedure per la governance dei dati utilizzati nei sistemi di AI ad alto rischio (qualità, sicurezza, integrità)?
    • È disponibile la documentazione tecnica completa per i sistemi di AI ad alto rischio, conforme ai requisiti dell’AI Act?
    • I sistemi di AI ad alto rischio sono progettati per consentire la tracciabilità delle decisioni?
    • Sono implementate misure per garantire un livello adeguato di accuratezza e robustezza dei sistemi di AI ad alto rischio?
    • Sono previsti meccanismi di supervisione umana appropriati per i sistemi di AI ad alto rischio?
    • Sono state stabilite procedure per la valutazione della conformità dei sistemi di AI ad alto rischio?

  • Obblighi per i Sistemi di AI a Rischio Limitato

    AI ACT
    • Per i sistemi di AI a rischio limitato (es. chatbot), sono rispettati gli obblighi di trasparenza (informare l’utente dell’interazione con un’AI)?

  • Sistemi di AI Proibiti

    AI ACT
    • È stata verificata l’assenza di utilizzo o sviluppo di sistemi di AI considerati proibiti dall’AI Act?

  • Governance e Responsabilità

    AI ACT
    • Sono stati identificati i ruoli e le responsabilità all’interno dell’organizzazione per garantire la conformità all’AI Act?
    • Sono state stabilite procedure per monitorare e mantenere la conformità all’AI Act nel tempo?

  • Documentazione e Registrazioni

    AI ACT
    • È mantenuta la documentazione relativa alla progettazione, sviluppo, implementazione e utilizzo dei sistemi di AI?
    • Sono presenti procedure per la gestione degli incidenti relativi ai sistemi di AI?
DORA

Verifica e misure per la continuità operativa nei contesti finanziari

Ambito e descrizione delle domande previste dalle campagne

  • Governance e Gestione del Rischio Operativo Digitale

    DORA
    • Responsabilità chiara per la resilienza operativa digitale: È stato nominato un responsabile per la resilienza operativa digitale a livello dirigenziale o di alta gestione?
    • Gestione del rischio operativo digitale: È stato implementato un sistema formale per la gestione del rischio operativo digitale, che include l’identificazione, la valutazione, e la mitigazione dei rischi legati alla tecnologia?
    • Valutazione periodica del rischio: Le valutazioni dei rischi informatici sono effettuate regolarmente e aggiornate per rispondere a nuove minacce o vulnerabilità?
    • Integrazione della gestione del rischio nella governance: La gestione del rischio informatico è integrata con i processi di governance aziendale?

  • Resilienza Operativa e Piani di Continuità

    DORA
    • Piano di continuità operativa (BCP): È stato sviluppato un piano formale di continuità operativa che include scenari di incidenti informatici?
    • Test di resilienza e continuità: Il piano di continuità operativa è testato regolarmente attraverso simulazioni di incidenti per garantire che l’organizzazione possa rispondere in modo efficace a vari tipi di attacchi informatici?
    • Capacità di recupero: È stato implementato un piano di ripristino rapido dei sistemi e dei servizi critici in caso di attacco informatico?
    • Monitoraggio della resilienza operativa: Esiste un sistema di monitoraggio continuo per identificare, rispondere e mitigare i rischi legati alla resilienza operativa digitale?

  • Gestione degli Incidenti e Notifica

    DORA
    • Piano di risposta agli incidenti: Esiste un piano formale di risposta agli incidenti informatici che descriva le azioni da intraprendere in caso di violazioni di sicurezza, attacchi o malfunzionamenti critici?
    • Notifica tempestiva: Gli incidenti informatici vengono notificati tempestivamente alle autorità competenti e alle altre parti rilevanti entro i tempi stabiliti (entro 24 ore, generalmente)?
    • Comunicazione interna ed esterna: Il piano di risposta prevede protocolli chiari per la comunicazione interna ed esterna durante un incidente informatico?
    • Analisi post-incidente: Vengono condotti post-mortem per analizzare l’incidente e migliorare continuamente la resilienza e la prevenzione?

  • Gestione della Supply Chain e dei Fornitori

    DORA
    • Valutazione del rischio dei fornitori: È in atto un processo di valutazione dei rischi informatici associati ai fornitori di servizi e tecnologie (ad esempio cloud, software, hardware)?
    • Contratti di sicurezza: I contratti con i fornitori includono clausole di sicurezza e obblighi in materia di continuità operativa, conformità e gestione degli incidenti?
    • Monitoraggio continuo dei fornitori: Sono implementati meccanismi di monitoraggio continuo per i fornitori che forniscono servizi critici (come la sicurezza dei dati, la gestione dei sistemi informatici)?
    • Valutazione delle terze parti: Esiste un processo formale per garantire che anche i fornitori terzi (es. subfornitori) rispettino gli stessi standard di sicurezza e resilienza?

  • Cybersecurity e Protezione dei Dati

    DORA
    • Protezione dei sistemi e dei dati: Sono state adottate misure di protezione informatica (cifratura, firewall, intrusion detection, etc.) per garantire la sicurezza dei dati e dei sistemi critici?
    • Gestione delle vulnerabilità: Esiste un processo di gestione delle vulnerabilità che include scansioni regolari dei sistemi, gestione delle patch e interventi tempestivi?
    • Controllo degli accessi: Sono implementati controlli rigorosi sugli accessi ai sistemi critici e alle informazioni sensibili (es. autenticazione multifattore)?
    • Protezione della privacy: I dati sensibili e personali sono protetti secondo le normative di privacy come il GDPR, con politiche adeguate per evitare abusi e perdite?

  • Testing e Certificazione della Resilienza

    DORA
    • Test di resilienza operativa: Sono stati effettuati test di resilienza digitale regolari per simulare possibili attacchi o interruzioni dei servizi?
    • Audit di sicurezza e conformità: È previsto un processo di audit di sicurezza regolare per verificare la conformità alle normative e agli standard di sicurezza (compreso DORA)?
    • Verifica delle capacità di recupero: Sono stati eseguiti test per verificare che i sistemi critici possano essere ripristinati rapidamente e completamente in caso di disastro informatico?

  • Report e Monitoraggio della Conformità

    DORA
    • Monitoraggio della conformità: Esiste un sistema di monitoraggio continuo per garantire la conformità a DORA e altre normative applicabili alla resilienza operativa digitale?
    • Reporting alle autorità: L’organizzazione è in grado di generare e fornire report periodici alle autorità di regolamentazione per documentare le attività di gestione dei rischi e degli incidenti informatici?
    • Auditor indipendenti: Viene svolto un audit esterno da parte di esperti indipendenti per verificare l’efficacia delle misure di resilienza operativa digitale?

  • Formazione e Consapevolezza

    DORA
    • Formazione del personale: Il personale è formato periodicamente sui rischi informatici, le best practices di sicurezza e il piano di risposta agli incidenti?
    • Simulazioni di attacchi: Vengono effettuate simulazioni di incidenti informatici per allenare il personale a reagire rapidamente ed efficacemente durante un attacco?
    • Sensibilizzazione continua: Esistono programmi di sensibilizzazione continua per mantenere alta l’attenzione sulla resilienza digitale e la sicurezza in tutta l’organizzazione?

  • Sanzioni e Conformità

    DORA
    • Politiche sanzionatorie: Sono previsti meccanismi di sanzioni interne per garantire che vengano rispettate le politiche di sicurezza e resilienza?
    • Gestione delle violazioni: In caso di violazioni o incidenti di sicurezza, sono definiti processi di gestione delle sanzioni in base alla gravità dell’incidente?

  • Governance e Gestione del Rischio Operativo Digitale

    DORA
    • Responsabilità chiara per la resilienza operativa digitale: È stato nominato un responsabile per la resilienza operativa digitale a livello dirigenziale o di alta gestione?
    • Gestione del rischio operativo digitale: È stato implementato un sistema formale per la gestione del rischio operativo digitale, che include l’identificazione, la valutazione, e la mitigazione dei rischi legati alla tecnologia?
    • Valutazione periodica del rischio: Le valutazioni dei rischi informatici sono effettuate regolarmente e aggiornate per rispondere a nuove minacce o vulnerabilità?
    • Integrazione della gestione del rischio nella governance: La gestione del rischio informatico è integrata con i processi di governance aziendale?

  • Governance e Gestione del Rischio Operativo Digitale

    DORA
    • Responsabilità chiara per la resilienza operativa digitale: È stato nominato un responsabile per la resilienza operativa digitale a livello dirigenziale o di alta gestione?
    • Gestione del rischio operativo digitale: È stato implementato un sistema formale per la gestione del rischio operativo digitale, che include l’identificazione, la valutazione, e la mitigazione dei rischi legati alla tecnologia?
    • Valutazione periodica del rischio: Le valutazioni dei rischi informatici sono effettuate regolarmente e aggiornate per rispondere a nuove minacce o vulnerabilità?
    • Integrazione della gestione del rischio nella governance: La gestione del rischio informatico è integrata con i processi di governance aziendale?