legal / cybercompliance

Cybercompliance

Audit GDPR e NIS2, policy, contratti e incident response legale: la conformità che si può dimostrare, con documenti, registri e notifiche pronti prima che servano.

richiedi_informazioni

Essere conformi non basta: bisogna poterlo dimostrare. Il GDPR ha un nome preciso per questo principio, accountability (artt. 5(2) e 24): l’art. 32 chiede misure tecniche e organizzative «adeguate al rischio», e sta a te provare che lo siano. Quando arriva una richiesta del Garante, un audit richiesto da un grande cliente o un questionario di filiera NIS2, la differenza la fa avere documenti, registri e procedure già pronti — non da ricostruire in emergenza. La compliance è la normativa edilizia della sicurezza: nessuno la nota, finché non trema.

Un incidente, due notifiche

È il punto che molti scoprono nel momento peggiore: uno stesso incidente può imporre due notifiche autonome e cumulabili. Se la violazione riguarda dati personali, va notificata al Garante entro 72 ore (art. 33 GDPR) — un percorso frequente: la Relazione 2024 del Garante conta 2.204 data breach notificati in un anno. Se l’organizzazione è un soggetto NIS2, l’incidente significativo viaggia anche su un secondo binario, verso il CSIRT Italia: pre-notifica entro 24 ore, notifica entro 72, relazione finale entro un mese (art. 25 d.lgs. 138/2024, operativo da gennaio 2026). Cambiano l’autorità, i contenuti e i tempi. Le prime 24 ore di un incidente sono il momento sbagliato per chiedersi quale binario ti riguarda: il piano di risposta si scrive prima, in coordinamento con chi gestisce l’emergenza tecnica — il nostro CSIRT.

Le sanzioni, con misura

I massimali sono noti e non serve drammatizzarli: per la NIS2, fino a 10 milioni di euro o il 2% del fatturato mondiale per i soggetti essenziali, fino a 7 milioni o l’1,4% per gli importanti (art. 38 d.lgs. 138/2024). Più del numero conta chi risponde: il decreto prevede la responsabilità anche per gli organi di amministrazione. E l’enforcement non è un’ipotesi di scuola: la Relazione 2024 del Garante registra oltre 24 milioni di euro di sanzioni riscosse in un anno, e il piano ispettivo del primo semestre 2026 punta proprio su data breach e segnalazioni whistleblowing. Detto questo, per una PMI il rischio più concreto raramente è la multa: è l’esclusione da una gara o da una filiera perché la documentazione non regge la verifica di un cliente.

Cosa facciamo

  • Audit di conformità GDPR e NIS2 in quattro fasi — valutazione preliminare, interviste ai responsabili di area, analisi tecnica dei sistemi (integrabile con un penetration test) e report finale — per far emergere le lacune reali, non quelle di facciata
  • Redazione e implementazione di policy aziendali — accessi, dispositivi, protezione dei dati, risposta agli incidenti — con sessioni formative di rollout: una policy che il personale non conosce non dimostra nulla
  • Assistenza contrattuale: clausole di sicurezza e protezione dati nei contratti con fornitori, partner e provider cloud, con supporto anche in fase di negoziazione
  • Incident response legale: piano di risposta costruito prima dell’incidente, raccolta delle prove, notifiche al Garante e al CSIRT Italia nei termini di legge, valutazione post-evento con le lezioni apprese
  • Percorso verso la certificazione ISO/IEC 27001: costruzione del sistema di gestione della sicurezza delle informazioni (ISMS) e preparazione alla verifica dell’ente indipendente
  • Audit periodici e formazione del personale sugli obblighi normativi e sui comportamenti che contano davvero

Cosa ottieni

  • Un report di audit con i gap rilevati e un piano di adeguamento ordinato per priorità
  • Il corpo documentale completo — policy, registri, procedure — pronto per un’ispezione, non solo per l’archivio
  • Un piano di notifica che stabilisce già chi avvisa quale autorità, con quali contenuti, entro quali termini
  • Un riferimento legale-tecnico in caso di incidente, dalla prima ora fino alla relazione finale
  • Verifiche periodiche che tengono la conformità allineata alle scadenze normative

La conformità si costruisce prima che serva. Scrivici per un audit preliminare: in un incontro capiamo dove sei rispetto a GDPR e NIS2 e cosa serve per colmare la distanza.

// domande frequenti

La mia azienda rientra nella NIS2? Come faccio a saperlo?

La NIS2 è recepita in Italia con il d.lgs. 138/2024 e si applica ai soggetti «essenziali» e «importanti» inseriti nell'elenco dell'ACN: 18 settori, oltre 80 tipologie di soggetti e la regola del size-cap, per circa 21.800 soggetti identificati nel perimetro. L'inserimento nell'elenco viene comunicato da ACN, l'autorità nazionale competente. Anche chi non rientra, però, la incontra di riflesso: i clienti soggetti alla norma girano questionari di sicurezza ai propri fornitori.

Quali scadenze NIS2 valgono nel 2026?

Per i soggetti del primo ciclo, censiti nel 2025: la notifica degli incidenti significativi al CSIRT Italia è operativa da gennaio 2026; le misure di sicurezza di base vanno implementate entro ottobre 2026, dopodiché ACN può ispezionare. Sempre nel 2026 cadono due adempimenti di mappatura della filiera: la comunicazione dei fornitori rilevanti (15 aprile–31 maggio) e la categorizzazione di attività e servizi (1 maggio–30 giugno).

Abbiamo subito un data breach: quanto tempo abbiamo per le notifiche e a chi?

Se la violazione riguarda dati personali, la notifica al Garante va presentata entro 72 ore (e comunque senza ingiustificato ritardo) dal momento in cui se ne viene a conoscenza (art. 33 GDPR). Se l'organizzazione è un soggetto NIS2, lo stesso incidente — quando significativo — va notificato anche al CSIRT Italia: pre-notifica entro 24 ore, notifica entro 72, relazione finale entro un mese (art. 25 d.lgs. 138/2024). Sono due canali autonomi e cumulabili, con autorità, contenuti e tempi propri: il modo più affidabile per rispettarli è un piano di risposta scritto prima dell'incidente.

A quanto ammontano le sanzioni GDPR e NIS2?

Per il GDPR, fino a 10 milioni di euro o il 2% del fatturato mondiale annuo, oppure fino a 20 milioni o il 4%, a seconda della violazione (art. 83). Per la NIS2, fino a 10 milioni o il 2% del fatturato mondiale per i soggetti essenziali e fino a 7 milioni o l'1,4% per gli importanti, con responsabilità prevista anche per gli organi di amministrazione (art. 38 d.lgs. 138/2024). Sono massimali, non importi automatici: contano la gravità della violazione e le misure già adottate.

Quanto costa e quanto dura un audit di conformità?

Dipende da pochi fattori concreti: il numero di sedi e di sistemi da esaminare, quali norme entrano nel perimetro (solo GDPR oppure anche NIS2), la profondità della verifica tecnica e quanto è già strutturato il sistema documentale esistente. Un'azienda con policy e registri già in ordine richiede un lavoro di allineamento; una che parte da zero richiede di costruirli. In un incontro preliminare delimitiamo il perimetro e ti diamo una stima realistica di impegno e tempi, prima di qualsiasi attività.

Abbiamo già un DPO o un consulente privacy: questo servizio si sovrappone?

No, lavora accanto a loro. Il DPO presidia la protezione dei dati personali; la cybercompliance copre anche ciò che sta fuori dal GDPR — perimetro NIS2, clausole di sicurezza nei contratti di fornitura, gestione legale-tecnica degli incidenti — e aggiunge la verifica tecnica dei sistemi, che un presidio solo legale di norma non esegue. CyberQuake coordina i due piani: gli esiti dell'audit diventano materiale di lavoro condiviso con il DPO e i consulenti già attivi in azienda.

// incident response

Sotto attacco? Agisci ora.

Il CSIRT risponde 24/7: contenimento, analisi e ripristino, a partire dalla prima chiamata.

sono_stato_hackerato

csirt 24/7 --> +39 376 25 89 182