Vai al contenuto principale

Governance & Compliance

L’area Governance & Compliance di Cyber affianca le organizzazioni nella definizione di strategie di sicurezza evolute, nella strutturazione di modelli di governance efficaci e nella gestione integrata del rischio cyber. Progetta policy avanzate, modelli di controllo e meccanismi per valutare i rischi informatici – inclusi quelli legati alla supply chain digitale e alle nuove tecnologie (es. AI) – promuovendo al tempo stesso una cultura della sicurezza attraverso programmi mirati di formazione e consapevolezza.

Contattaci
Invia la tua richiesta

Come Deloitte supportiamo le organizzazioni nell’adeguamento a normative complesse come NIS2, DORA, CRA e ai principali standard internazionali, grazie a modelli di conformità consolidati e processi end-to-end che coprono tutte le fasi: dall’analisi dei requisiti normativi, alla definizione delle priorità di intervento, fino alla progettazione e implementazione delle misure necessarie. Un approccio che consente alle aziende non solo di rispettare gli obblighi regolamentari, ma anche di trasformarli in leve di resilienza e di rafforzamento della governance complessiva della sicurezza.

NIS 2 | Uno sguardo verso la direttiva

La Direttiva NIS2, entrata in vigore a gennaio 2023, rappresenta un significativo passo avanti per migliorare la sicurezza e la resilienza informatica degli Stati Membri dell'Unione Europea. Questo nuovo quadro normativo introduce obblighi stringenti per le imprese, delineando un regime di supervisione e controllo più rigoroso rispetto alla precedente Direttiva NIS1.

In Italia, la Direttiva NIS2 è stata recepita con il Decreto Legislativo n. 138, pubblicato 4 settembre 2024. Il recepimento prevede l’ampliamento dell’ambito di applicazione della normativa, attraverso l’inclusione di nuovi settori e l’introduzione di obblighi specifici per le imprese. Tali obblighi riguardano l’adozione di misure di sicurezza, sia tecniche che organizzative, da parte di tutte le imprese di medie e grandi dimensioni operanti nei settori classificati come essenziali o importanti.

La Direttiva si applica a una vasta gamma di settori, tra cui energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, infrastrutture digitali, gestione dei servizi TIC, spazio, fornitori di servizi digitali, servizi postali, gestione dei rifiuti, ricerca e sostanze chimiche. Inoltre, include anche amministrazioni centrali, regionali e locali, e altri soggetti pubblici.

Tra i principali obblighi, la gestione del rischio Cyber, che richiede agli Organi di Amministrazione e Direttivi di

  • definire una strategia di gestione del rischio Cyber per migliorare la sicurezza informatica;
  • catalogare le attività svolte, comunicare e aggiornare l'elenco delle proprie attività e servizi;
  • adottare misure tecniche, operative e organizzative per la gestione del rischio Cyber;
  • valutare il livello di rischio Cyber dei propri fornitori per garantire la sicurezza della Supply Chain;
  • notificare gli incidenti, che impone alle imprese di inviare un preallarme entro 24 ore dal verificarsi di incidenti significativi e una notifica completa entro 72 ore.
     

Il supporto di Deloitte

Deloitte ha consolidato una forte esperienza in progetti complessi di compliance normativa, supportando aziende nazionali e internazionali nell’adeguamento a direttive europee come la NIS2. La nostra offerta multidisciplinare copre IT, OT e IoT, affrontando sfide legate a trasformazione digitale e sicurezza.

Con un approccio strutturato, assistiamo i clienti dall’analisi iniziale (AS-IS) all’implementazione di modelli di governance efficaci, identificando l’ambito di applicazione della NIS2 tramite analisi dei dati e caratteristiche di business. Valutiamo la preparazione con un Readiness Assessment e definiamo piani operativi, supportando lo sviluppo di framework con ruoli e responsabilità chiari.

Guidiamo le organizzazioni nel colmare gap di sicurezza, rafforzare la resilienza degli asset critici e strutturare controlli e risposte agli incidenti, trasformando la conformità alla NIS2 in un’opportunità per migliorare la postura cyber e la capacità di risposta alle minacce.


Per scoprire di più:

Recepimento della NIS2 in Italia. Ambiti di applicazione, vigilanza e sanzioni

L’approccio di Deloitte. Il nostro framework

Whitepaper - Una panoramica aggiornata sulle legislazioni locali NIS2

Il Cyber Resilience Act (CRA) è la prima normativa europea dedicata alla sicurezza informatica dei prodotti con elementi digitali, sia hardware che software. Introdotto dall'Unione Europea nell’ambito della Strategia di Sicurezza Cyber 2020, il CRA mira a garantire un livello uniforme di cybersecurity lungo l’intero ciclo di vita del prodotto: progettazione, sviluppo, distribuzione, aggiornamento e dismissione.
 

Un nuovo quadro normativo per la sicurezza digitale

Prima dell’introduzione del CRA, il panorama normativo europeo in materia di cybersecurity era frammentato. Il nuovo regolamento introduce obblighi chiari e uniformi per produttori, importatori e distributori, rendendoli responsabili dell’intero ciclo di vita del prodotto.

Il CRA definisce due principali ambiti di conformità:

  • Requisiti di sicurezza informatica del prodotto;
  • Requisiti per la gestione delle vulnerabilità.

La conformità a tali requisiti consente ai produttori di apporre il marchio CE, simbolo ufficiale dell’adeguamento agli standard europei di cybersicurezza e condizione necessaria per la commercializzazione all’interno del mercato dell’Unione Europea.


Tempistiche e impatti

Il regolamento è entrato in vigore il 10 dicembre 2024.

A partire dal 10 settembre 2026, scatteranno i primi obblighi per i produttori: notifica delle vulnerabilità sfruttate e degli incidenti gravi per tutti i prodotti rientranti nell’ambito di applicazione del regolamento.

L’applicazione di tutti gli altri obblighi previsti dal regolamento sarà effettiva dall’11 dicembre 2027.

Il regolamento classifica e distingue i prodotti in default, importanti e critici, considerando il loro livello di vulnerabilità e il grado di rischio intrinseco, con conseguenti obblighi diversificati in termini di sicurezza, gestione delle vulnerabilità e documentazione.


Come possiamo supportarti

Deloitte affianca le organizzazioni nel percorso verso la conformità al Cyber Resilience Act con un approccio integrato, multidisciplinare e scalabile, adattabile a diversi settori e livelli di maturità digitale.

Il nostro metodo di articola in quattro fasi:

  1. Analisi del perimetro di applicabilità normativa
    - Identificazione dei prodotti digitali in ambito e del loro livello di criticità in base alla classificazione prevista dal CRA
    - Supporto alla comprensione del Regolamento e all’identificazione degli obblighi normativi e tecnici previsti per i prodotti con elementi digitali
  2. Valutazione del livello di conformità al regolamento
    - Valutazione del livello di adeguamento rispetto alle disposizioni normative a livello organizzativo, procedurale e tecnologico
    - Identificazione di azioni di rimedio per colmare i gap normativi e tecnici e definizione piano di rimedio
    - Definizione di un modello operativo cross-funzione per garantire la compliance
  3. Attuazione del piano di adeguamento
    - Integrazione dei principi di Security by Design e Security by Default in ogni fase del ciclo di vita del prodotto
    - Sviluppo di strategie per il monitoraggio continuo, la gestione degli aggiornamenti di sicurezza e la definizione di processi di patching efficaci, con un focus sulla Software Bill of Materials (SBOM)
    - Preparazione della documentazione necessaria, inclusa la dichiarazione di conformità UE
  4. Servizio di Monitoraggio e Supporto
    - Servizio di monitoraggio continuo per tutto il ciclo vita del prodotto tramite (test e gestione di vulnerabilità)
    - Supporto alla preparazione dell’organizzazione per sostenere con successo le ispezioni da parte degli enti preposti


Per scoprire di più: Cyber Resilience Act

Il rischio cyber associato alla supply chain è oggi una delle principali priorità per le organizzazioni soggette a D.lgs. 138/2024 (attuazione Direttiva UE 2022/2555 - NIS2), DORA (Regolamento UE 2022/2554), CRA (Regolamento UE 2024/2847), e L. 90/2024. Le normative richiedono assessment strutturati, monitoraggio continuo e registri aggiornati dei fornitori critici: non è più sufficiente una valutazione occasionale. Eppure, molte organizzazioni non dispongono ancora di visibilità reale sulla postura di sicurezza dei propri vendor, né di metodologie e risorse dedicate per gestire questo ambito a regime.
 

Il servizio

CyberSupply360 è il servizio gestito di Deloitte che supporta le organizzazioni nell'analisi e nel monitoraggio continuo del rischio cyber della supply chain. Fondato su un approccio data-driven, trasforma dati eterogenei provenienti da fonti multiple in intelligence azionabile, abilitando decisioni più rapide e informate sulla postura di sicurezza dei vendor.

Il servizio combina expertise specialistica, tecnologia avanzata e presidio operativo costante, coprendo l'intero ciclo di vita del rischio cyber delle terze parti: dalla mappatura dei fornitori critici alla gestione delle azioni correttive. La struttura scalabile consente alle organizzazioni di adeguare progressivamente il livello di copertura alla crescita del proprio ecosistema di fornitori, senza dover riconfigurare processi o strumenti.Il servizio è progettato per rispondere nativamente ai requisiti normativi europei e italiani, garantendo output standardizzati pronti per gli audit e visibilità continua sulla postura di sicurezza dei vendor.


Modelli di servizio

CyberSupply360 è disponibile in tre modelli di servizio – Monitor, Guardian e Sentinel – che si differenziano per profondità di controllo e livello di assurance, ma condividono una stessa base operativa. A prescindere dal modello scelto, il canone CyberSupply360 mette infatti a disposizione un set di capability di base pensate per rendere strutturale, e non più occasionale, la gestione del rischio cyber dei fornitori.

In concreto, il canone CyberSupply360 include sempre:

  • Mappatura del processo di onboarding dei fornitori sulla piattaforma tecnologica
  • Definizione della risk taxonomy per il rischio cyber di terze parti
  • Finalizzazione della standard assurance checklist mappata su un framework cyber condiviso
  • Monitoraggio continuo dei fornitori selezionati• Analisi continua degli scostamenti di rating e reporting strutturato verso le funzioni di controllo
  • Triage degli alert con identificazione di vulnerabilità critiche o data breach
  • Erogazione e gestione operativa dei questionari di sicurezza (es. invii, solleciti, follow up)

Su questa base comune si innestano i tre modelli di servizio:

Monitor: Monitoraggio continuo dei security rating e analisi delle checklist di self assessment. Per le organizzazioni che necessitano di una visibilità strutturata di base sui fornitori critici.

Guardian: Include le attività del modello Monitor, con l'aggiunta di audit da remoto su un sottoinsieme critico di vendor e raccolta di evidenze tecniche verificate. Per chi richiede un livello di assurance superiore.

Sentinel: Include tutte le attività del modello Guardian, con l'aggiunta del supporto alla revisione delle clausole di sicurezza e continuità operativa nei contratti. Per le organizzazioni che adottano un approccio integrato e completo alla gestione del rischio cyber della supply chain.

Per tutti i modelli, il servizio può essere ulteriormente potenziato con attività specifiche attivabili on demand, tra cui Audit On Site, Incident Simulation, Cyber Threat Intelligence e Vulnerability Assessment.
 

Perché Deloitte

Deloitte mette a disposizione una practice cyber dedicata, con esperienza consolidata in materia di compliance cyber e di valutazione del rischio di sicurezza dei fornitori. Grazie all’uso di tecnologia AI e all’integrazione con partner globali come OneTrust, ServiceNow e SecurityScorecard, i processi di raccolta e analisi dei dati vengono automatizzati, riducendo i tempi di assessment della postura cyber del fornitore e migliorando la capacità di risposta. Un team dedicato gestisce l'intero processo per conto del cliente, dalla raccolta dati alla validazione analitica, fino alla remediation dei gap di sicurezza.
 

Scarica la brochure

Le ultime novità Governance & Compliance

Emerging Technology

Nel mondo industriale, ogni giorno cresce l’interconnessione tra le reti operative (OT) e sistemi IT. Questo porta efficienza, automazione e controllo… ma anche un’esposizione senza precedenti a minacce cyber.
I nostri servizi

L'approccio di Deloitte. Il nostro framework

Schema di D.Lgs. di Recepimento della Direttiva NIS 2

Cyber Resilience Act

Il Cyber Resilience Act (CRA) è un regolamento europeo nell’ambito della Strategia di Sicurezza Cyber dell’UE (2020-2030): si tratta della prima legislazione a stabilire un quadro comune di cybersecurity per tutti i prodotti con elementi digitali.

Recepimento della NIS2 in Italia. Ambiti di applicazione, vigilanza e sanzioni

Analisi dello Schema di decreto legislativo

Cyber Resilience Act

Luglio 2025

Whitepaper - Una panoramica aggiornata sulle legislazioni locali NIS2

June 2025 - A current view on local NIS2 legislations for organizations with cross-border European operations

Unisciti a noi

Decidere la carriera per te è più che un semplice "ottenere il lavoro". È trovare un posto in cui sai di fare la differenza ogni giorno, dove puoi essere te stesso in modo più autentico. È scegliere il tuo impatto.

Esplora le opportunità di lavoro

Meet our leader

Lorenzo Russo

Lorenzo Russo

Governance & Compliance Leader, Deloitte Italy