Marco Iacovitti - Proteggersi nel Digitale

Marco Iacovitti - Proteggersi nel Digitale INNOVATION MANAGER certificato UNI11814
Da vent'anni imprenditore principalmente in ambito ICT e Digital. Bio su ➡️ marcoiacovitti.bio.link

Sito web: www.marcoiacovitti.it

Tanti contenuti gratuiti per chi si registra all’ area riservata:
- Questionario sulla tua informatizzazione
- Questionario sua tua sicurezza informatica
- Consulenza gratuita
- Corso “Elementi di base di sicurezza informatica”
- Corso “GDPR e Sicurezza Informatica”
- Piattaforma di supporto remoto

Moltbok: il social popolato da chatbot con gli umani che osservano.Agenti chatbot che 24 su 24 dialogano tra loro…Una ri...
08/02/2026

Moltbok: il social popolato da chatbot con gli umani che osservano.
Agenti chatbot che 24 su 24 dialogano tra loro…
Una riflessione penso vada fatta sulla sicurezza delle informazioni a cui attingono e che pubblicano.

𝗡𝗼𝗺𝗶𝗻𝗮 𝗱𝗲𝗹 𝗥𝗲𝗳𝗲𝗿𝗲𝗻𝘁𝗲 𝗖𝗦𝗜𝗥𝗧 : 𝗰𝗵𝗶, 𝗰𝗼𝗺𝗲 𝗲 𝗽𝗲𝗿𝗰𝗵𝗲̀La scadenza del 31/12/2025 per la nomina del Referente CSIRT si avvicina...
08/12/2025

𝗡𝗼𝗺𝗶𝗻𝗮 𝗱𝗲𝗹 𝗥𝗲𝗳𝗲𝗿𝗲𝗻𝘁𝗲 𝗖𝗦𝗜𝗥𝗧 : 𝗰𝗵𝗶, 𝗰𝗼𝗺𝗲 𝗲 𝗽𝗲𝗿𝗰𝗵𝗲̀

La scadenza del 31/12/2025 per la nomina del Referente CSIRT si avvicina, e con essa una scelta strategica fondamentale per ogni azienda soggetta alla direttiva NIS2: affidarsi a una risorsa interna o a un consulente esterno?

La questione non è banale. Il Referente CSIRT è il punto di contatto operativo con le autorità in caso di incidente.

Deve gestire comunicazioni critiche in tempi strettissimi (24 ore per la prima segnalazione), possedere competenze specifiche di cybersecurity e, allo stesso tempo, conoscere a fondo l'infrastruttura di rete aziendale.

Per molte PMI, trovare una figura interna che unisca tutte queste capacità può essere complesso e oneroso. L'IT manager, infatti, durante una crisi è giustamente concentrato sul ripristino dei sistemi, non sulla gestione burocratica e comunicativa con le autorità.

Ecco perché il consulente esterno specializzato emerge come una soluzione strategica ed efficace.

𝗤𝘂𝗮𝗹𝗶 𝘀𝗼𝗻𝗼 𝗶 𝘃𝗮𝗻𝘁𝗮𝗴𝗴𝗶?
Competenza specialistica: Un CISO as a Service porta con sé un bagaglio di esperienze nella gestione di incidenti e una profonda conoscenza delle normative, competenze non sempre disponibili internamente

𝗙𝗼𝗰𝗮𝗹𝗶𝘇𝘇𝗮𝘇𝗶𝗼𝗻𝗲 𝘀𝘂𝗹 𝗿𝘂𝗼𝗹𝗼
Può dedicarsi interamente al dialogo con il CSIRT Italia, garantendo comunicazioni precise e professionali, senza sottrarre risorse cruciali alle attività di ripristino.

𝗚𝗲𝘀𝘁𝗶𝗼𝗻𝗲 𝘀𝘁𝗿𝗮𝘁𝗲𝗴𝗶𝗰𝗮
Un consulente esperto non si limita alla notifica, ma gestisce la comunicazione in modo maturo e intelligente, proteggendo l'azienda ed evitando di esporne le inevitabili debolezze organizzative.

La nomina sul portale ACN è solo uno dei passi.

Il vero lavoro consiste nel preparare l'organizzazione, definire i processi e scegliere una figura che abbia la competenza tecnica e l'approccio manageriale per governare la complessità.

𝙇𝙖 𝙧𝙚𝙨𝙥𝙤𝙣𝙨𝙖𝙗𝙞𝙡𝙞𝙩𝙖̀ 𝙡𝙚𝙜𝙖𝙡𝙚 𝙧𝙚𝙨𝙩𝙖 𝙙𝙚𝙜𝙡𝙞 𝙤𝙧𝙜𝙖𝙣𝙞 𝙖𝙥𝙞𝙘𝙖𝙡𝙞, 𝙢𝙖 𝙦𝙪𝙚𝙡𝙡𝙖 𝙤𝙥𝙚𝙧𝙖𝙩𝙞𝙫𝙖 𝙧𝙞𝙘𝙝𝙞𝙚𝙙𝙚 𝙪𝙣 𝙥𝙧𝙤𝙛𝙚𝙨𝙨𝙞𝙤𝙣𝙞𝙨𝙩𝙖 𝙙𝙚𝙙𝙞𝙘𝙖𝙩𝙤.

TIMELINE del VIDEO:
00:00 Intro
00:10 Referente CSIRT
00:30 Perché si rende necessaria questa figura?
01:10 La notifica tempestiva delle violazioni
01:50 Competenze richieste alla figura di Referente CSIRT
03:00 Uno sguardo all'organizzazione interna
03:30 Inserimento su portale ACN
04:10 Responsabilità diretta e Indiretta del referente CSIRT
05:10 Sintesi dei punti precedenti



𝗡𝗼𝗺𝗶𝗻𝗮 𝗱𝗲𝗹 𝗥𝗲𝗳𝗲𝗿𝗲𝗻𝘁𝗲 𝗖𝗦𝗜𝗥𝗧 : 𝗰𝗵𝗶, 𝗰𝗼𝗺𝗲 𝗲 𝗽𝗲𝗿𝗰𝗵𝗲̀La scadenza del 31/12/2025 per la nomina del Referente CSIRT si avvicina...

𝐒𝐂𝐀𝐃𝐄𝐍𝐙𝐄 𝐝𝐢 𝐅𝐈𝐍𝐄 𝐀𝐍𝐍𝐎 𝟐𝟎𝟐𝟓 𝐞 𝐈𝐍𝐈𝐙𝐈𝐎 𝐀𝐍𝐍𝐎 𝟐𝟎𝟐𝟔Per la fine di questo anno e l'inizio dell'anno nuovo, abbiamo due scadenze...
05/12/2025

𝐒𝐂𝐀𝐃𝐄𝐍𝐙𝐄 𝐝𝐢 𝐅𝐈𝐍𝐄 𝐀𝐍𝐍𝐎 𝟐𝟎𝟐𝟓 𝐞 𝐈𝐍𝐈𝐙𝐈𝐎 𝐀𝐍𝐍𝐎 𝟐𝟎𝟐𝟔
Per la fine di questo anno e l'inizio dell'anno nuovo, abbiamo due scadenze importanti:
- Registrazione referente CSIRT in piattaforma ACN (31/12/2025)
- Obbligo segnalazione tempestiva degli incidenti (dal 01/01/2026)

In questo video introduco le due scadenze, iniziando a dare un riferimento logico agli obblighi previsti.

Dobbiamo prevedere una figura che dialoghi con CSIRT in caso d'incidente.
Dobbiamo iniziare a prevedere un piano d''incidenti e di relativa comunicazione.

TIMELINE del VIDEO
00:00 Introduzione
00:20 Scadenze previste ai 18 mesi e quelle di metà percorso (9 mesi)
01:14 Come rispettare le scadenze

SCADENZE di FINE ANNO 2025 e INIZIO ANNO 2026

Per la fine di questo anno e l'inizio dell'anno nuovo, abbiamo due scadenze importanti:- Registrazione referente CSIRT in piattaforma ACN- Obbligo segnalazio...

13/11/2025

𝗟𝗮 𝘀𝗰𝗮𝗱𝗲𝗻𝘇𝗮 𝗱𝗲𝗹 𝟯𝟭/𝟭𝟮/𝟮𝟬𝟮𝟱 si avvicina rapidamente, portando con sé adempimenti cruciali come la designazione del 𝗥𝗲𝗳𝗲𝗿𝗲𝗻𝘁𝗲 𝗖𝗦𝗜𝗥𝗧 e la redazione dell'𝗜𝗻𝗰𝗶𝗱𝗲𝗻𝘁 𝗥𝗲𝘀𝗽𝗼𝗻𝘀𝗲 𝗣𝗹𝗮𝗻 (𝗜𝗥𝗣).

Questi non sono semplici formalità, ma pilastri fondamentali della vostra strategia di resilienza.
Il mio ruolo è affiancarvi in questo percorso:

🟡 𝗔𝗻𝗮𝗹𝗶𝘀𝗶 𝗲 𝗢𝗻𝗯𝗼𝗮𝗿𝗱𝗶𝗻𝗴: Definiamo un piano d'azione chiaro per rispettare le scadenze, partendo da una valutazione precisa delle vostre necessità.

🟡 𝗥𝗲𝗳𝗲𝗿𝗲𝗻𝘁𝗲 𝗖𝗦𝗜𝗥𝗧: Supportiamo la vostra azienda, anche ricoprendo direttamente il ruolo di Referente CSIRT esterno. Questa figura è essenziale per dialogare con le autorità in caso di incidente, un compito che non può gravare sull'IT manager, già impegnato nel ripristino operativo.

🟡 𝗚𝗼𝘃𝗲𝗿𝗻𝗮𝗻𝗰𝗲 𝗲 𝗖𝗼𝗺𝗽𝗹𝗶𝗮𝗻𝗰𝗲: Lavoriamo insieme per implementare policy, procedure e controlli richiesti dalla NIS2, trasformando l'obbligo normativo in un vantaggio competitivo.

La conformità non s’improvvisa.
È un percorso che richiede competenza e una profonda conoscenza dell'infrastruttura.

Se desiderate approfondire e capire come prepararvi concretamente alle prossime scadenze, sono a vostra completa disposizione per un confronto.

𝗦𝗖𝗔𝗗𝗘𝗡𝗭𝗘 𝟯𝟭/𝟭𝟮/𝟮𝟬𝟮
- Figura del Referente CSIRT
- Comunicazione e Coordinamento
- Percorso Onboarding
- Incident Response Plan
- Scadenza Ottobre 2026
- Governance
- Operations
- Link YouTube, Sito marcoiacovitti.it , Linkedin

Con la direttiva NIS2, si fa finalmente chiarezza sulla ripartizione delle responsabilità in caso di incidente informati...
10/11/2025

Con la direttiva NIS2, si fa finalmente chiarezza sulla ripartizione delle responsabilità in caso di incidente informatico.

Una delle distinzioni più importanti riguarda il ruolo del 𝗥𝗲𝗳𝗲𝗿𝗲𝗻𝘁𝗲 𝗖𝗦𝗜𝗥𝗧 e quello degli organi direttivi. È un errore pensare che coincidano.

Il Referente CSIRT ha una responsabilità operativa ben definita:

🟡 𝗚𝗲𝘀𝘁𝗶𝗼𝗻𝗲 𝗲 𝗡𝗼𝘁𝗶𝗳𝗶𝗰𝗮: È il punto di contatto tecnico con lo CSIRT Italia. Il suo compito è notificare tempestivamente gli incidenti, coordinare la risposta e monitorare le vulnerabilità.

🟡 𝗖𝗼𝗻𝗼𝘀𝗰𝗲𝗻𝘇𝗮 𝗧𝗲𝗰𝗻𝗶𝗰𝗮: Deve possedere una conoscenza approfondita dei sistemi aziendali e competenze specifiche in materia di cybersecurity e incident management. Non è un ruolo amministrativo.

🟡 𝗣𝗿𝗼𝗮𝘁𝘁𝗶𝘃𝗶𝘁𝗮̀: Deve monitorare attivamente i canali informativi (CSIRT, CERT) per anticipare le minacce e garantire che le vulnerabilità siano risolte.

La responsabilità legale e strategica, invece, ricade interamente sugli organi di amministrazione e direttivi:

➡️ 𝗦𝘂𝗽𝗲𝗿𝘃𝗶𝘀𝗶𝗼𝗻𝗲 𝗲 𝗖𝗼𝗻𝗳𝗼𝗿𝗺𝗶𝘁𝗮̀: Sono loro a dover sovrintendere alla corretta implementazione delle misure di sicurezza e a garantire la conformità normativa (art. 23 e 38 del decreto NIS).

➡️𝗥𝗲𝘀𝗽𝗼𝗻𝘀𝗮𝗯𝗶𝗹𝗶𝘁𝗮̀ 𝗽𝗲𝗿 𝗹𝗲 𝗩𝗶𝗼𝗹𝗮𝘇𝗶𝗼𝗻𝗶: In caso di mancata registrazione, comunicazione o aggiornamento delle informazioni, o di non conformità dell'infrastruttura, la responsabilità legale è del vertice aziendale.

𝗧𝗘𝗠𝗣𝗜𝗦𝗧𝗜𝗖𝗛𝗘 𝗲 𝗢𝗕𝗕𝗟𝗜𝗚𝗛𝗜:

𝟭.𝗗𝗲𝘀𝗶𝗴𝗻𝗮𝘇𝗶𝗼𝗻𝗲:
Il referente CSIRT deve essere designato dal Punto di Contatto entro il 31 dicembre 2025 tramite la procedura telematica disponibile sul Portale ACN.

𝟮.𝗡𝗼𝘁𝗶𝗳𝗶𝗰𝗮 𝗱𝗲𝗴𝗹𝗶 𝗜𝗻𝗰𝗶𝗱𝗲𝗻𝘁𝗶:
Gli incidenti significativi devono essere notificati entro i termini stabiliti dal Decreto NIS, generalmente entro 9 mesi dalla notifica di inclusione nell'elenco degli enti NIS.

𝟯. 𝗔𝗴𝗴𝗶𝗼𝗿𝗻𝗮𝗺𝗲𝗻𝘁𝗶 𝗲 𝗠𝗼𝗻𝗶𝘁𝗼𝗿𝗮𝗴𝗴𝗶𝗼:
Aggiornare continuamente le informazioni e monitorare i canali di comunicazione per garantire una risposta tempestiva alle vulnerabilità e agli incidenti.

𝗜𝗻 𝘀𝗶𝗻𝘁𝗲𝘀𝗶:

𝗖𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝘀𝗲𝗻𝘇𝗮 𝗰𝗮𝗼𝘀: 𝗶𝗹 𝗽𝗼𝘁𝗲𝗿𝗲 𝗱𝗲𝗹 𝗺𝗼𝗱𝗲𝗹𝗹𝗼 𝗥𝗔𝗖𝗜Chi fa cosa quando c'è un incidente informatico?Chi approva le polic...
28/08/2025

𝗖𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝘀𝗲𝗻𝘇𝗮 𝗰𝗮𝗼𝘀: 𝗶𝗹 𝗽𝗼𝘁𝗲𝗿𝗲 𝗱𝗲𝗹 𝗺𝗼𝗱𝗲𝗹𝗹𝗼 𝗥𝗔𝗖𝗜
Chi fa cosa quando c'è un incidente informatico?
Chi approva le policy? Chi agisce? Chi va solo informato?

Il modello RACI (Responsabile, Accountable, Consultato, Informato) è uno strumento di governance utilizzato per chiarire ruoli e responsabilità all’interno dei processi aziendali — ed è fondamentale anche in ambito cybersecurity.
Serve a definire chi fa cosa nei processi legati alla sicurezza informatica (es. gestione vulnerabilità, incident response, backup, compliance, ecc.), evitando sovrapposizioni, ambiguità o mancanze operative.

👉 Troppe aziende oggi vivono nella confusione dei ruoli, e questo — in ambito cybersecurity — può diventare fatale.

📌 Il modello RACI è uno strumento semplice, ma potentissimo:
🔹assegna responsabilità operative e decisionali,
🔹chiarisce chi consulta chi,
🔹evita ritardi e rimpalli nei momenti critici.

È fondamentale per costruire governance, processi e compliance, anche in vista della NIS2.

Un consiglio?
Mappa i tuoi processi di sicurezza con un RACI chiaro, e scopri subito dove mancano ruoli, coperture o approvazioni.

Se non sai da dove partire, possiamo farlo insieme.

📌𝐋𝐄 𝐍𝐎𝐑𝐌𝐄 𝐒𝐓𝐀𝐍𝐍𝐎 𝐄𝐍𝐓𝐑𝐀𝐍𝐃𝐎 𝐀 𝐑𝐄𝐆𝐈𝐌𝐄 Molte PMI trattano NIS2, Data Act e Cyber Resilience come burocrazia. Risultato:❌ Bac...
28/08/2025

📌𝐋𝐄 𝐍𝐎𝐑𝐌𝐄 𝐒𝐓𝐀𝐍𝐍𝐎 𝐄𝐍𝐓𝐑𝐀𝐍𝐃𝐎 𝐀 𝐑𝐄𝐆𝐈𝐌𝐄

Molte PMI trattano NIS2, Data Act e Cyber Resilience come burocrazia. Risultato:
❌ Backup non testati → disponibilità del dato a rischio.
❌ Privilegi eccessivi → una singola credenziale compromessa apre tutta la rete... 𝐈𝐍 𝐂𝐀𝐒𝐎 𝐃'𝐈𝐍𝐂𝐈𝐃𝐄𝐍𝐓𝐄❓
Nessun runbook → nei primi 60 minuti dopo un incidente “chi-fa-cosa”.?

La normativa non è un fascicolo da riempire: è una roadmap operativa.
È lo stesso approccio che i professionisti seri applicano da anni (ISO 27001, NIST-CSF).

L’obiettivo non è “avere tutto a posto oggi”, ma ridurre il rischio in modo strutturato e dimostrabile (audit-ready).

𝟓 𝐌𝐎𝐒𝐒𝐄 𝐄𝐒𝐒𝐄𝐍𝐙𝐈𝐀𝐋𝐈
✅Mappa superficie esposta e asset critici (IT/OT/Cloud/SaaS).
✅Minimo privilegio & IAM: ruoli chiari, MFA ovunque, separazione privilegi.
✅Backup 3–2–1, isolati dalla rete e con test di restore regolari.
✅Runbook di Incident Response, Business Continuity e Disaster Recovery.

𝐏𝐄𝐑 𝐀𝐕𝐄𝐑𝐄:
🟡 Audit superati con meno attriti.
🟡 Rischio reale più basso (ransomware, data breach, fermi produzione).
🟡 Reputazione e fiducia della committenza.
🟡 Decisioni manageriali basate su metriche, non su scorciatoie.

💭 Qual è oggi il tuo collo di bottiglia: privilegi eccessivi, backup non verificati o assenza di runbook❓
𝐆𝐮𝐚𝐫𝐝𝐚 𝐢𝐥 𝐯𝐢𝐝𝐞𝐨 👉 https://www.youtube.com/watch?v=2NP1un2u7NI
o scrivimi nei commenti o in DM: ti mostro come mettere ordine senza bloccare l’operatività.

🚨 𝐓𝐫𝐚 𝐪𝐮𝐚𝐥𝐜𝐡𝐞 𝐬𝐞𝐭𝐭𝐢𝐦𝐚𝐧𝐚 𝐢𝐧𝐢𝐳𝐢𝐞𝐫𝐞𝐦𝐨 𝐚 𝐭𝐢𝐫𝐚𝐫𝐞 𝐥𝐞 𝐬𝐨𝐦𝐦𝐞 𝐬𝐮𝐥𝐥𝐚  #𝐍𝐈𝐒𝟐Le PMI continuano a sottovalutare un rischio che può ca...
26/08/2025

🚨 𝐓𝐫𝐚 𝐪𝐮𝐚𝐥𝐜𝐡𝐞 𝐬𝐞𝐭𝐭𝐢𝐦𝐚𝐧𝐚 𝐢𝐧𝐢𝐳𝐢𝐞𝐫𝐞𝐦𝐨 𝐚 𝐭𝐢𝐫𝐚𝐫𝐞 𝐥𝐞 𝐬𝐨𝐦𝐦𝐞 𝐬𝐮𝐥𝐥𝐚 #𝐍𝐈𝐒𝟐

Le PMI continuano a sottovalutare un rischio che può cambiare le sorti di un’azienda:
▪ manager rimossi per responsabilità diretta,
▪ gare p***e per mancanza di conformità,
▪ commesse bloccate per assenza di documentazione cyber sui fornitori.

👉 Fino a quando non ci saranno casi eclatanti sui giornali, molte imprese continueranno a considerare la cybersecurity come un costo e non come un investimento strategico.

Oggi non basta “mettere a budget la sanzione”.
💣La vera “sanzione” arriva dall’hacker: attacchi, blocco della produzione, perdita di clienti. E spesso non si sopravvive.

❌ Tre errori che vedo ogni giorno nelle PMI
▪ Pensare che la conformità sia solo “carta” e non organizzazione.
▪ Aspettare la richiesta di un bando o di un cliente per correre ai ripari.
▪ Sottovalutare la responsabilità diretta del management.

💬La domandona del momento è:
>

𝐓𝐫𝐚 𝐪𝐮𝐚𝐥𝐜𝐡𝐞 𝐬𝐞𝐭𝐭𝐢𝐦𝐚𝐧𝐚 𝐢𝐧𝐢𝐳𝐢𝐞𝐫𝐞𝐦𝐨 𝐚 𝐭𝐢𝐫𝐚𝐫𝐞 𝐥𝐞 𝐬𝐨𝐦𝐦𝐞.

25/08/2025

Molte aziende si scoprono vulnerabili solo quando è troppo tardi.
Magari hanno un ISO 27001 “su carta”, ma non superano un audit di committenza.
Con NIS2 e DORA la responsabilità ricade direttamente sugli organi di direzione e se i fornitori non sono allineati alla cybersecurity, in caso d'incidente informatico ne rispondono i soggetti apicali.

La conformità non è un punto di arrivo: è un percorso strutturato che unisce organizzazione e tecnologia.
Serve un modello scalabile che ti dica CHI-FA-COSA-QUANDO-COME in caso di incidente, e che lo tenga aggiornato.

In questo video offro una panoramica del mio approccio.
Fornire alle aziende un modello di governance, organizzazione e strumenti tecnici per garantire compliance reale, non solo formale, con NIS2, DORA, ISO 27001 e GDPR.

𝗖𝗼𝗻𝘁𝗲𝘀𝘁𝗼 𝗲 𝘁𝗮𝗿𝗴𝗲𝘁 𝗰𝗹𝗶𝗲𝗻𝘁𝗶
• Aziende già certificate (ISO 27001) “su carta” ma con lacune operative reali.
• Imprese che devono superare audit di committenza o adeguarsi a NIS2 e DORA.
• Responsabilità legale in capo agli organi di direzione per la conformità dei fornitori.
• Settore finance già attivo con audit stringenti.

𝗔𝗽𝗽𝗿𝗼𝗰𝗰𝗶𝗼 𝗼𝗽𝗲𝗿𝗮𝘁𝗶𝘃𝗼
• Audit preliminare veloce e gratuito
→ Questionario online + call di 40-45 minuti.
• Fase tecnica (se necessaria)
→ Inventario asset hardware, software e utenti.
→ Vulnerability scanning e patch management (PT quando necessario).
→ Cronoprogramma di mitigazione obbligatorio per legge (annuale).
→ Agevolazioni per clienti ricorrenti.
• Fase organizzativa
→ Definizione ruoli e responsabilità (RACI).
→ Modello di risposta agli incidenti.
→ Allineamento a “stato dell’arte” (GDPR art. 32).

𝗦𝘂𝗽𝗽𝗼𝗿𝘁𝗼 𝗲 𝗰𝗼𝗺𝗽𝗲𝘁𝗲𝗻𝘇𝗲
• Marco Iacovitti come CISO o vCISO certificato UNI 11814 e ISO 27001.
• Integrazione con strumenti evoluti tramite partnership.
• Supporto anche a team interni, tipicamente con competenze IT operative ma non manageriali.

Timeline YouTube
0:00 – Introduzione -
0:45 – Nuove responsabilità e norme - NIS2 e DORA sulla governance e responsabilità direzionale.
1:30 – Audit stringenti da banche e finanziarie ai fornitori.
2:15 – Audit preliminare gratuito - Questionario online + call 40-45 min.
3:00 – Fase tecnica - Inventari asset e utenti, vulnerability scanning, patch management.

21/08/2025

🚨 𝗧𝗿𝗮𝘀𝗳𝗼𝗿𝗺𝗶 𝗹𝗮 “𝘀𝗰𝗮𝗿𝘁𝗼𝗳𝗳𝗶𝗮” 𝗶𝗻 𝗿𝗲𝘀𝗶𝗹𝗶𝗲𝗻𝘇𝗮… 𝗼 𝗮𝘀𝗽𝗲𝘁𝘁𝗶 𝗶𝗹 𝗽𝗿𝗼𝘀𝘀𝗶𝗺𝗼 𝗶𝗻𝗰𝗶𝗱𝗲𝗻𝘁𝗲❓

In questo video ti racconto come trasformare NIS2, Data Act e Cyber Resilience in concrete roadmap operative che, se applicate con criterio, guidano le aziende in un percorso strutturato di sicurezza reale.

Vedremo come le nuove leggi (NIS2, Data Act, Cyber Resilience) non siano solo burocrazia, ma una guida per “fare le cose per bene” seguendo pratiche già adottate dai professionisti più esperti.
La normativa chiede un percorso a step, non di avere “tutto a posto” subito.
Il rischio zero non esiste, ma si può ridurre in modo strutturato.
Backup testati e separati dalla rete, Prevenzione della privilege escalation e del movimento laterale.
Predisposizione di Business Continuity Plan, Disaster Recovery e Incident Response per sapere chi-fa-cosa in caso di incidente.

Purtroppo molte aziende approcciano le normative (NIS2, Data Act, Cyber Resilience, ISO 27001) come burocrazia.
Risultato?
• 𝗕𝗮𝗰𝗸𝘂𝗽 𝗻𝗼𝗻 𝘁𝗲𝘀𝘁𝗮𝘁𝗶 ⇒ nessuna garanzia di disponibilità del dato.
• 𝗔𝗰𝗰𝗼𝘂𝗻𝘁 𝗮𝗺𝗺𝗶𝗻𝗶𝘀𝘁𝗿𝗮𝘁𝗶𝘃𝗶 𝘀𝗲𝗻𝘇𝗮 𝗰𝗼𝗻𝘁𝗿𝗼𝗹𝗹𝗼 ⇒ addio riservatezza se quelle credenziali vengono compromesse.
• 𝗣𝗿𝗶𝘃𝗶𝗹𝗲𝗴𝗲 𝗲𝘀𝗰𝗮𝗹𝗮𝘁𝗶𝗼𝗻 𝗲 𝗺𝗼𝘃𝗶𝗺𝗲𝗻𝘁𝗼 𝗹𝗮𝘁𝗲𝗿𝗮𝗹𝗲 ⇒ l’attaccante arriva a server e backup.
• 𝗡𝗶𝗲𝗻𝘁𝗲 𝗕𝗖𝗣/𝗗𝗥/𝗜𝗥 ⇒ nei primi 60 minuti di un incidente nessuno sa chi-fa-cosa.

La normativa non è un fascicolo da riempire: è una roadmap operativa. I requisiti sono gli stessi che i professionisti seri applicano da anni (ISO 27001, NIST-CSF/SP800, CIS). L’obiettivo non è “avere tutto a posto oggi” (impossibile), ma mettere a terra un percorso che riduca il rischio e renda l’azienda audit-ready in modo sostenibile.

𝟱 𝗠𝗼𝘀𝘀𝗲 𝗲𝘀𝘀𝗲𝗻𝘇𝗶𝗮𝗹𝗶 (zero fronzoli):
→ Mappa superficie esposta e asset critici (IT/OT/Cloud/SaaS).
→ Minimo privilegio & IAM: ruoli chiari, MFA ovunque, separazione privilegi.
→ Backup 3–2–1 con test di restore e separati dalla rete.
→ Runbook per Incident Response, Business Continuity e Disaster
→ Recovery con CHI–FA–COSA–QUANDO.

Questo è l'unico modo per ottenere:
1) Audit superati con meno attrito operativo.
2) Riduzione del rischio reale (ransomware, data breach, fermi produzione).
3)Reputazione e fiducia della committenza.
4)Decisioni manageriali basate su metriche, non su “scorciatoie”.

Qual è il tuo collo di bottiglia oggi: privilegi eccessivi, backup non verificati, o assenza di runbook? Scrivimi nei commenti o in DM: posso mostrarti come mettere ordine senza bloccare l’operatività.

TIMELINE VIDEO:
00:00 – Introduzione: la normativa come opportunità
01:10 – Il percorso di conformità, non il traguardo immediato
02:10 – Disponibilità, riservatezza e integrità dei dati (GDPR)
02:40 – Minimo privilegio e controllo degli accessi, Backup testati e separati dalla rete.
03:50 – Il gap manageriale nelle PMI

🛡️ 𝗟’𝗲𝘀𝘀𝗲𝗻𝘇𝗶𝗮𝗹𝗲 𝗱𝗲𝗹𝗹𝗮 𝗰𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆, 𝘁𝗿𝗮 𝗻𝗼𝗿𝗺𝗮𝘁𝗶𝘃𝗲 𝗲 𝗜𝗧, 𝗰𝗼𝗺𝗲 𝗼𝗿𝗴𝗮𝗻𝗶𝘇𝘇𝗮𝗿𝘀𝗶 𝗰𝗼𝗻 𝗽𝗼𝗰𝗵𝗲 𝗺𝗼𝘀𝘀𝗲 𝗰𝗼𝗻𝗰𝗿𝗲𝘁𝗲In questo video ti po...
18/08/2025

🛡️ 𝗟’𝗲𝘀𝘀𝗲𝗻𝘇𝗶𝗮𝗹𝗲 𝗱𝗲𝗹𝗹𝗮 𝗰𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆, 𝘁𝗿𝗮 𝗻𝗼𝗿𝗺𝗮𝘁𝗶𝘃𝗲 𝗲 𝗜𝗧, 𝗰𝗼𝗺𝗲 𝗼𝗿𝗴𝗮𝗻𝗶𝘇𝘇𝗮𝗿𝘀𝗶 𝗰𝗼𝗻 𝗽𝗼𝗰𝗵𝗲 𝗺𝗼𝘀𝘀𝗲 𝗰𝗼𝗻𝗰𝗿𝗲𝘁𝗲

In questo video ti porto l’essenziale della sicurezza informatica “per tutti” perché la cybersecurity non è solo un tema tecnico: quali sono le minacce davvero probabili (phishing, ransomware, furto credenziali), e soprattutto come organizzarti con poche mosse concrete.

𝗟𝗮 𝗰𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗻𝗼𝗻 𝗲̀ (𝘀𝗼𝗹𝗼) 𝗜𝗧: 𝗲̀ 𝗴𝗼𝘃𝗲𝗿𝗻𝗮𝗻𝗰𝗲, 𝗿𝗲𝘀𝗽𝗼𝗻𝘀𝗮𝗯𝗶𝗹𝗶𝘁𝗮̀ 𝗲 𝗽𝗿𝗼𝗰𝗲𝘀𝘀𝗶.
L’ordine giusto è: CHI–FA–COSA–QUANDO–COME e poi tecnologia.
Documentato, tracciabile, riusabile tra NIS2, DORA e ISO 27001.

𝗦𝗼𝗻𝗼 𝗺𝗼𝗹𝘁𝗶 𝗶 𝗯𝗲𝗻𝗲𝗳𝗶𝗰𝗶 𝗱𝗶 𝘂𝗻 𝗮𝗽𝗽𝗿𝗼𝗰𝗰𝗶𝗼 𝗽𝗿𝗼𝗮𝘁𝘁𝗶𝘃𝗼.
Meno downtime, meno rischio legale, più fiducia del mercato, audit senza sorprese.
Audit-readiness credibile e ripetibile.
Tempi di risposta ridotti, meno interruzioni e meno emergenze.
Investimenti mirati (niente strumenti “in vetrina” che non usi).

𝗘' 𝗰𝗵𝗶𝗮𝗿𝗼 𝗰𝗼𝘀𝗮 𝗯𝗶𝘀𝗼𝗴𝗻𝗮 𝗺𝗲𝘁𝘁𝗲𝗿𝗲 𝗶𝗻 𝗰𝗮𝗺𝗽𝗼.
Mappa rapida della superficie esposta (domini, servizi pubblici, account privilegiati).
Ruoli & RACI (Responsible, Accountable, Consulted, Informed) per sicurezza e Incident Response (decisioni in ore, non in giorni).
𝗖𝗢𝗡𝗧𝗥𝗢𝗟𝗟𝗜:
MFA, privilegi minimi, revoche e log, logging centralizzato essenziale.
𝗜𝗡𝗩𝗘𝗡𝗧𝗔𝗥𝗜𝗢
Asset e servizi interni ed esposti (on‑prem, cloud, SaaS)
𝗕𝗔𝗖𝗞𝗨𝗣:
Backup 3‑2‑1 con test di ripristino a calendario
𝗙𝗢𝗥𝗡𝗜𝗧𝗢𝗥𝗜:
Requisiti, SLA e clausole NIS2-ready (oneri chiari = rischi ridotti).
Clausole di sicurezza, DPIA ove necessario, verifica periodica
𝗥𝗨𝗡𝗕𝗢𝗢𝗞 𝗜𝗡𝗖𝗜𝗗𝗘𝗡𝗧𝗜
Canali di escalation, evidenze, tempi di notifica e post-mortem.
Piano IR con ruoli/responsabilità e simulazioni trimestrali.

𝗘 𝘁𝘂? 𝗤𝘂𝗮𝗻𝘁𝗼 𝘀𝗲𝗶 𝗱𝗮𝘃𝘃𝗲𝗿𝗼 𝗽𝗿𝗼𝗻𝘁𝗼 𝗼𝗴𝗴𝗶?
Dove sei più scoperto: governance, controllo fornitori o detection/response?
Che budget hai allocato per passare da “su carta” a “in esercizio”?

Hai un piano d’incidente con ruoli e tempi?
Quando hai testato l’ultimo restore?
Che budget hai allocato per processi (non solo tool)?

GUARDA IL VIDEO
https://www.youtube.com/watch?v=fB0cdD6X4tg

Timeline
00:00 Introduzione: perché la sicurezza non è solo “roba da IT”
00:40 Normative cybersecurity
01:45 Come aiutiamo le Aziende
03:20 NIS2: sfruttiamo il momento per metterci a posto
04:20 Una breve descrizione del percorso di accompagnamento
07:45 GDPR: l'importanza dei tre pilastri(riservatezza, integrità, disponibilità)
08:30 Il Castello da Proteggere
09:00 Ambiti in cui interveniamo
10:00 Le precauzioni per dormire sonni tranquilli

🚨 𝗖𝗬𝗕𝗘𝗥𝗦𝗘𝗖𝗨𝗥𝗜𝗧𝗬: 𝗶𝗹 𝗽𝗿𝗼𝗯𝗹𝗲𝗺𝗮 𝗱𝗲𝗹𝗹𝗮 “𝗡𝗢𝗡 𝗖𝗢𝗡𝗙𝗢𝗥𝗠𝗜𝗧𝗔̀” 𝗻𝗼𝗻 𝗲́ 𝗹𝗮 𝘀𝗮𝗻𝘇𝗶𝗼𝗻𝗲 𝗺𝗮 𝗶𝗹 “𝗙𝗘𝗥𝗠𝗢 𝗢𝗣𝗘𝗥𝗔𝗧𝗜𝗩𝗢”...anche dei fornitori.Co...
29/07/2025

🚨 𝗖𝗬𝗕𝗘𝗥𝗦𝗘𝗖𝗨𝗥𝗜𝗧𝗬: 𝗶𝗹 𝗽𝗿𝗼𝗯𝗹𝗲𝗺𝗮 𝗱𝗲𝗹𝗹𝗮 “𝗡𝗢𝗡 𝗖𝗢𝗡𝗙𝗢𝗥𝗠𝗜𝗧𝗔̀” 𝗻𝗼𝗻 𝗲́ 𝗹𝗮 𝘀𝗮𝗻𝘇𝗶𝗼𝗻𝗲 𝗺𝗮 𝗶𝗹 “𝗙𝗘𝗥𝗠𝗢 𝗢𝗣𝗘𝗥𝗔𝗧𝗜𝗩𝗢”...anche dei fornitori.

Con gli accordi di cooperazione inseriti nei contratti, come già accade in molte situazioni, i requisiti NIS2 si espandono direttamente alla catena dei fornitori (io lo vivo con le PMI che rientrano nel DORA).

L’allargamento della platea coinvolta é poco considerato ma é già una realtà.

Un’esigenza imprescindibile per aumentare la consapevolezza su un tema delicato e sensibile come la cybersecurity dove il problema della “NON CONFORMITÀ” non é la sanzione ma il “FERMO
OPERATIVO” e la mancata erogazione di servizi che possono bloccare un’intera filiera produttiva per intere settimane.

💡 Non è più solo un tema IT.
È business continuity, è reputazione, è governance.

❌ 3 errori che vedo ogni settimana:
→ Delegare tutto all’IT interno (la security è un’altra storia)
→ Inserire clausole generiche nei contratti di fornitura
→ Ignorare l’impatto sulla filiera (PMI e microfornitori inclusi)

✅ Un approccio proattivo ti garantisce:
• Continuità operativa anche in caso di incidente
• Maggiore fiducia da parte di clienti e stakeholder
• Un posizionamento solido per audit, bandi e certificazioni

💬 𝗧𝗜 𝗟𝗔𝗦𝗖𝗜𝗢 𝗖𝗢𝗡 𝗨𝗡𝗔 𝗗𝗢𝗠𝗔𝗡𝗗𝗔
Hai già esteso la conformità ai tuoi fornitori critici?
(Non aspettare che sia un cliente a chiedertelo)

Indirizzo

Via Tor Pagnotta 94
Rome
00143

Orario di apertura

Lunedì 10:00 - 18:30
Martedì 10:00 - 18:30
Mercoledì 10:00 - 18:30
Giovedì 10:00 - 18:30
Venerdì 10:00 - 18:30

Notifiche

Lasciando la tua email puoi essere il primo a sapere quando Marco Iacovitti - Proteggersi nel Digitale pubblica notizie e promozioni. Il tuo indirizzo email non verrà utilizzato per nessun altro scopo e potrai annullare l'iscrizione in qualsiasi momento.

Contatta L'azienda

Invia un messaggio a Marco Iacovitti - Proteggersi nel Digitale:

Condividi