Il management aziendale approva e promuove le politiche di gestione del rischio informatico e ne monitora l’effettiva applicazione?

Tutti i dipendenti sono formati periodicamente sui rischi informatici, incluse le buone pratiche di sicurezza e il riconoscimento delle minacce comuni (es. phishing)?

I vertici aziendali partecipano a iniziative di formazione sulla cybersecurity e sono consapevoli delle responsabilità strategiche in materia?

È stato adottato un approccio basato sul rischio per identificare, valutare e trattare i rischi per la sicurezza delle informazioni e delle reti aziendali?

L’ambiente fisico che ospita le infrastrutture critiche (server, sistemi di rete, archivi) è protetto da misure fisiche e logiche, anch’esse definite tramite una valutazione del rischio?

È presente un inventario aggiornato degli asset ICT (hardware, software, sistemi in cloud, ecc.) con assegnazione delle responsabilità di gestione?

La documentazione di sicurezza (policy, procedure, ruoli, classificazione degli asset) è aggiornata, accessibile e conosciuta dal personale coinvolto?

È implementata una procedura di continuità operativa che include backup regolari, test di ripristino e gestione del disaster recovery?

Sono gestiti attivamente i rischi cyber nella supply chain, con valutazioni periodiche dei fornitori critici e obblighi contrattuali di sicurezza?

È obbligatorio l’utilizzo dell’autenticazione a più fattori (MFA) per l’accesso a sistemi critici o contenenti dati sensibili?

L’organizzazione effettua un monitoraggio continuo delle minacce e delle vulnerabilità, anche tramite sistemi automatici (es. SIEM, IDS, XDR)?

Sono stati definiti indicatori di performance (KPI) o indicatori di rischio (KRI) per monitorare l’efficacia delle misure di sicurezza adottate?

L’organizzazione ha definito un processo per comunicare rapidamente ai clienti eventuali incidenti che possano compromettere i servizi erogati?

Sono stati definiti e comunicati canali interni per la segnalazione tempestiva di incidenti di sicurezza informatica?

In caso di incidente rilevante, l'Azienda è in grado di notificare l'evento al CSIRT Italia entro 24 ore dal rilevamento e di indicare dettagli e azioni di mitigazione entro 72 ore?

Entro un mese dal rilevamento dell’incidente, l’azienda è in grado di fornire al CSIRT Italia una relazione dettagliata sulla sua gestione?