Vai al contenuto principale

Governance & Compliance

L’area Governance & Compliance di Cyber affianca le organizzazioni nella definizione di strategie di sicurezza evolute, nella strutturazione di modelli di governance efficaci e nella gestione integrata del rischio cyber. Progetta policy avanzate, modelli di controllo e meccanismi per valutare i rischi informatici – inclusi quelli legati alla supply chain digitale e alle nuove tecnologie (es. AI) – promuovendo al tempo stesso una cultura della sicurezza attraverso programmi mirati di formazione e consapevolezza.

Contattaci
Invia la tua richiesta

Come Deloitte supportiamo le organizzazioni nell’adeguamento a normative complesse come NIS2, DORA, CRA e ai principali standard internazionali, grazie a modelli di conformità consolidati e processi end-to-end che coprono tutte le fasi: dall’analisi dei requisiti normativi, alla definizione delle priorità di intervento, fino alla progettazione e implementazione delle misure necessarie. Un approccio che consente alle aziende non solo di rispettare gli obblighi regolamentari, ma anche di trasformarli in leve di resilienza e di rafforzamento della governance complessiva della sicurezza.

NIS 2 | Uno sguardo verso la direttiva

La Direttiva NIS2, entrata in vigore a gennaio 2023, rappresenta un significativo passo avanti per migliorare la sicurezza e la resilienza informatica degli Stati Membri dell'Unione Europea. Questo nuovo quadro normativo introduce obblighi stringenti per le imprese, delineando un regime di supervisione e controllo più rigoroso rispetto alla precedente Direttiva NIS1.

In Italia, la Direttiva NIS2 è stata recepita con il Decreto Legislativo n. 138, pubblicato 4 settembre 2024. Il recepimento prevede l’ampliamento dell’ambito di applicazione della normativa, attraverso l’inclusione di nuovi settori e l’introduzione di obblighi specifici per le imprese. Tali obblighi riguardano l’adozione di misure di sicurezza, sia tecniche che organizzative, da parte di tutte le imprese di medie e grandi dimensioni operanti nei settori classificati come essenziali o importanti.

La Direttiva si applica a una vasta gamma di settori, tra cui energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, infrastrutture digitali, gestione dei servizi TIC, spazio, fornitori di servizi digitali, servizi postali, gestione dei rifiuti, ricerca e sostanze chimiche. Inoltre, include anche amministrazioni centrali, regionali e locali, e altri soggetti pubblici.

Tra i principali obblighi, la gestione del rischio Cyber, che richiede agli Organi di Amministrazione e Direttivi di

  • definire una strategia di gestione del rischio Cyber per migliorare la sicurezza informatica;
  • catalogare le attività svolte, comunicare e aggiornare l'elenco delle proprie attività e servizi;
  • adottare misure tecniche, operative e organizzative per la gestione del rischio Cyber;
  • valutare il livello di rischio Cyber dei propri fornitori per garantire la sicurezza della Supply Chain;
  • notificare gli incidenti, che impone alle imprese di inviare un preallarme entro 24 ore dal verificarsi di incidenti significativi e una notifica completa entro 72 ore.
     

Il supporto di Deloitte

Deloitte ha consolidato una forte esperienza in progetti complessi di compliance normativa, supportando aziende nazionali e internazionali nell’adeguamento a direttive europee come la NIS2. La nostra offerta multidisciplinare copre IT, OT e IoT, affrontando sfide legate a trasformazione digitale e sicurezza.

Con un approccio strutturato, assistiamo i clienti dall’analisi iniziale (AS-IS) all’implementazione di modelli di governance efficaci, identificando l’ambito di applicazione della NIS2 tramite analisi dei dati e caratteristiche di business. Valutiamo la preparazione con un Readiness Assessment e definiamo piani operativi, supportando lo sviluppo di framework con ruoli e responsabilità chiari.

Guidiamo le organizzazioni nel colmare gap di sicurezza, rafforzare la resilienza degli asset critici e strutturare controlli e risposte agli incidenti, trasformando la conformità alla NIS2 in un’opportunità per migliorare la postura cyber e la capacità di risposta alle minacce.


Per scoprire di più:

Recepimento della NIS2 in Italia. Ambiti di applicazione, vigilanza e sanzioni

L’approccio di Deloitte. Il nostro framework

Whitepaper - Una panoramica aggiornata sulle legislazioni locali NIS2

Il Cyber Resilience Act (CRA) è la prima normativa europea dedicata alla sicurezza informatica dei prodotti con elementi digitali, sia hardware che software. Introdotto dall'Unione Europea nell’ambito della Strategia di Sicurezza Cyber 2020, il CRA mira a garantire un livello uniforme di cybersecurity lungo l’intero ciclo di vita del prodotto: progettazione, sviluppo, distribuzione, aggiornamento e dismissione.
 

Un nuovo quadro normativo per la sicurezza digitale

Prima dell’introduzione del CRA, il panorama normativo europeo in materia di cybersecurity era frammentato. Il nuovo regolamento introduce obblighi chiari e uniformi per produttori, importatori e distributori, rendendoli responsabili dell’intero ciclo di vita del prodotto.

Il CRA definisce due principali ambiti di conformità:

  • Requisiti di sicurezza informatica del prodotto;
  • Requisiti per la gestione delle vulnerabilità.

La conformità a tali requisiti consente ai produttori di apporre il marchio CE, simbolo ufficiale dell’adeguamento agli standard europei di cybersicurezza e condizione necessaria per la commercializzazione all’interno del mercato dell’Unione Europea.


Tempistiche e impatti

Il regolamento è entrato in vigore il 10 dicembre 2024.

A partire dal 10 settembre 2026, scatteranno i primi obblighi per i produttori: notifica delle vulnerabilità sfruttate e degli incidenti gravi per tutti i prodotti rientranti nell’ambito di applicazione del regolamento.

L’applicazione di tutti gli altri obblighi previsti dal regolamento sarà effettiva dall’11 dicembre 2027.

Il regolamento classifica e distingue i prodotti in default, importanti e critici, considerando il loro livello di vulnerabilità e il grado di rischio intrinseco, con conseguenti obblighi diversificati in termini di sicurezza, gestione delle vulnerabilità e documentazione.


Come possiamo supportarti

Deloitte affianca le organizzazioni nel percorso verso la conformità al Cyber Resilience Act con un approccio integrato, multidisciplinare e scalabile, adattabile a diversi settori e livelli di maturità digitale.

Il nostro metodo di articola in quattro fasi:

  1. Analisi del perimetro di applicabilità normativa
    - Identificazione dei prodotti digitali in ambito e del loro livello di criticità in base alla classificazione prevista dal CRA
    - Supporto alla comprensione del Regolamento e all’identificazione degli obblighi normativi e tecnici previsti per i prodotti con elementi digitali
  2. Valutazione del livello di conformità al regolamento
    - Valutazione del livello di adeguamento rispetto alle disposizioni normative a livello organizzativo, procedurale e tecnologico
    - Identificazione di azioni di rimedio per colmare i gap normativi e tecnici e definizione piano di rimedio
    - Definizione di un modello operativo cross-funzione per garantire la compliance
  3. Attuazione del piano di adeguamento
    - Integrazione dei principi di Security by Design e Security by Default in ogni fase del ciclo di vita del prodotto
    - Sviluppo di strategie per il monitoraggio continuo, la gestione degli aggiornamenti di sicurezza e la definizione di processi di patching efficaci, con un focus sulla Software Bill of Materials (SBOM)
    - Preparazione della documentazione necessaria, inclusa la dichiarazione di conformità UE
  4. Servizio di Monitoraggio e Supporto
    - Servizio di monitoraggio continuo per tutto il ciclo vita del prodotto tramite (test e gestione di vulnerabilità)
    - Supporto alla preparazione dell’organizzazione per sostenere con successo le ispezioni da parte degli enti preposti


Per scoprire di più: Cyber Resilience Act

Le ultime novità Governance & Compliance

Emerging Technology

Nel mondo industriale, ogni giorno cresce l’interconnessione tra le reti operative (OT) e sistemi IT. Questo porta efficienza, automazione e controllo… ma anche un’esposizione senza precedenti a minacce cyber.
I nostri servizi

L'approccio di Deloitte. Il nostro framework

Schema di D.Lgs. di Recepimento della Direttiva NIS 2

Cyber Resilience Act

Il Cyber Resilience Act (CRA) è un regolamento europeo nell’ambito della Strategia di Sicurezza Cyber dell’UE (2020-2030): si tratta della prima legislazione a stabilire un quadro comune di cybersecurity per tutti i prodotti con elementi digitali.

Recepimento della NIS2 in Italia. Ambiti di applicazione, vigilanza e sanzioni

Analisi dello Schema di decreto legislativo

Cyber Resilience Act

Luglio 2025

Whitepaper - Una panoramica aggiornata sulle legislazioni locali NIS2

June 2025 - A current view on local NIS2 legislations for organizations with cross-border European operations

Unisciti a noi

Decidere la carriera per te è più che un semplice "ottenere il lavoro". È trovare un posto in cui sai di fare la differenza ogni giorno, dove puoi essere te stesso in modo più autentico. È scegliere il tuo impatto.

Esplora le opportunità di lavoro

Meet our leader

Lorenzo Russo

Lorenzo Russo

Governance & Compliance Leader, Deloitte Italy