ISO 27001:2022: evidenze di formazione per NIS2 e DORA
Sono le 09:12 di un martedì mattina di febbraio 2026. Un analista dell’area finanza di una FinTech in rapida crescita riceve un’e-mail che sembra provenire dal CFO e richiede il riesame urgente di un file di pagamento a un fornitore. L’allegato apre una pagina di accesso Microsoft molto convincente. L’analista esita, ricorda la simulazione di phishing e il modulo sulle frodi nei pagamenti del mese precedente e segnala l’e-mail tramite il portale di sicurezza invece di inserire le credenziali.
Per il Responsabile della sicurezza delle informazioni, quella singola decisione è un controllo che funziona nella realtà operativa.
Per l’auditor, il racconto non è sufficiente.
La richiesta di evidenze arriva una settimana dopo: “Fornire evidenza di un programma completo e basato sui ruoli di formazione e consapevolezza in materia di sicurezza delle informazioni, incluse metriche di efficacia e registrazioni che dimostrino la copertura di tutto il personale, inclusa la direzione.”
Quella frase cambia la conversazione. Un foglio di calcolo che mostra “Completato” accanto al 97 percento dei dipendenti non è più sufficiente. L’auditor chiederà chi ha formato l’analista, quando la formazione è stata assegnata, se era obbligatoria, se era basata sui ruoli, se l’area finanza ha ricevuto una consapevolezza aggiuntiva sulle frodi nei pagamenti, se nuovi assunti e collaboratori esterni sono stati inclusi, se la direzione ha approvato il programma, se la formazione è stata modificata dopo l’ultima campagna di phishing e se le registrazioni di completamento sono state conservate.
Nel 2026, le evidenze di formazione e consapevolezza in materia di sicurezza si collocano all’intersezione tra ISO/IEC 27001:2022, NIS2, DORA, GDPR e NIST CSF 2.0. Non sono più un esercizio annuale delle risorse umane. Sono governance del consiglio di amministrazione, trattamento del rischio, prontezza agli incidenti, responsabilità legale ed evidenze di audit.
Clarysec tratta la consapevolezza in materia di sicurezza come un sistema operativo di evidenze, non come un insieme di slide. Zenith Blueprint: roadmap in 30 passaggi per auditor Zenith Blueprint, Zenith Controls: guida alla conformità trasversale Zenith Controls, Policy di consapevolezza e formazione sulla sicurezza delle informazioni - PMI Policy di consapevolezza e formazione sulla sicurezza delle informazioni - PMI e Policy di consapevolezza e formazione sulla sicurezza delle informazioni Policy di consapevolezza e formazione sulla sicurezza delle informazioni collegano la formazione basata sui ruoli al SGSI, agli obblighi normativi, alla risposta agli incidenti, all’accesso dei fornitori e al riesame di direzione.
Perché la formazione generica sulla consapevolezza in materia di sicurezza non regge nel 2026
Il cambiamento normativo è chiaro. NIS2 rende la cibersicurezza una responsabilità della direzione per i soggetti essenziali e importanti. Article 20 richiede agli organi di gestione di approvare le misure di gestione del rischio di cibersicurezza, supervisionarne l’attuazione e ricevere formazione. Article 21 include l’igiene informatica di base e la formazione sulla cibersicurezza come parte della base minima richiesta per la gestione del rischio. Per fornitori di servizi cloud, fornitori di data center, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori DNS, registri TLD, marketplace online e motori di ricerca, la formazione è diventata una questione da organo di gestione.
DORA innalza l’asticella per gli enti finanziari e per i fornitori ICT che servono il settore finanziario. Si applica dal 17 gennaio 2025 e richiede agli enti finanziari di mantenere un quadro interno di governance e controllo per la gestione del rischio ICT. Gli organi di gestione devono supervisionare rischio ICT, budget, audit, accordi con terze parti, continuità operativa, piani di risposta e ripristino e resilienza operativa digitale. DORA Articles 17 to 19 richiedono inoltre che gli incidenti connessi all’ICT siano rilevati, classificati, sottoposti a escalation, comunicati e segnalati. La formazione rende queste procedure eseguibili sotto pressione.
ISO/IEC 27001:2022 fornisce alle organizzazioni l’ossatura del sistema di gestione. Le clausole da 4 a 10 coprono contesto, parti interessate, leadership, valutazione del rischio, trattamento del rischio, competenza, consapevolezza, informazioni documentate, valutazione delle prestazioni e miglioramento. Lo standard è scalabile tra settori e dimensioni organizzative; per questo Clarysec lo utilizza come modello operativo per l’allineamento integrato tra ISO, NIS2, DORA, GDPR e NIST ISO/IEC 27001:2022.
GDPR aggiunge il livello di accountability. Le organizzazioni devono dimostrare che i dati personali sono trattati in modo lecito, corretto, sicuro e con misure tecniche e organizzative adeguate. I dipendenti che gestiscono dati personali, amministrano sistemi, sviluppano software, supportano i clienti o indagano sugli incidenti necessitano di formazione sulla privacy e sull’escalation in caso di violazione.
NIST CSF 2.0 rafforza la stessa direzione. La funzione GOVERN collega requisiti legali, normativi, contrattuali, privacy e delle parti interessate con ruoli, responsabilità, policy, risorse, supervisione e gestione del rischio aziendale. I profili NIST CSF aiutano inoltre a tradurre gli obblighi formativi in piani di miglioramento dello stato attuale e dello stato obiettivo.
Il risultato è semplice: una formazione e consapevolezza in materia di sicurezza pronta per l’audit deve dimostrare che le persone conoscono le proprie responsabilità, che la formazione è adattata al ruolo e al rischio e che le evidenze sono sufficientemente complete per auditor, autorità di regolamentazione, clienti e direzione.
Il problema di audit: “abbiamo formato tutti” non è evidenza
Molte organizzazioni non superano gli audit non perché non abbiano svolto formazione, ma perché non riescono a dimostrare che la formazione sia stata progettata, assegnata, completata, riesaminata e migliorata.
Un pacchetto di evidenze debole include spesso un PDF annuale, un foglio di calcolo dei completamenti senza date, nessuna evidenza di onboarding, nessuna copertura dei collaboratori esterni, nessuna formazione per utenti privilegiati, nessuna formazione per la direzione, nessun modulo basato sui ruoli per sviluppatori o finanza, nessun collegamento alla valutazione del rischio e nessuna prova che la formazione sia stata aggiornata dopo incidenti o modifiche normative.
Gli auditor non vogliono un poster motivazionale. Vogliono una catena di evidenze.
La policy PMI di Clarysec rende esplicita questa aspettativa. Policy di consapevolezza e formazione sulla sicurezza delle informazioni - PMI, Obiettivi, clausola 3.3, richiede alle organizzazioni di:
“Istituire registrazioni documentate di completamento per dimostrare la conformità ai requisiti legali, contrattuali e di audit.”
La stessa policy PMI trasforma la formazione in informazioni documentate conservate. Requisiti di applicazione della policy, clausola 6.3.2, stabilisce:
“Un foglio di calcolo centralizzato o un Sistema informativo per le risorse umane deve mantenere tali registrazioni per almeno tre anni.”
Per gli ambienti enterprise, la Policy di consapevolezza e formazione sulla sicurezza delle informazioni, Finalità, clausola 1.2, definisce un’aspettativa più strutturata:
“La presente policy supporta ISO/IEC 27001 clausola 7.3 e controllo 6.3 dell’Allegato A richiedendo un quadro di consapevolezza e formazione strutturato, basato sul rischio e adattato ai ruoli dell’organizzazione e alle minacce in evoluzione.”
Quella frase è rilevante: strutturato, basato sul rischio, adattato ai ruoli e consapevole delle minacce. È la differenza tra teatro della consapevolezza e competenza difendibile.
Parti dai ruoli, non dai corsi
L’errore più comune è acquistare contenuti prima di definire le responsabilità. In un programma di conformità integrato, la prima domanda corretta non è “Quale piattaforma formativa dobbiamo usare?”. La domanda corretta è “Quali ruoli creano, gestiscono, approvano, trattano, proteggono o ripristinano gli asset informativi?”.
ISO/IEC 27001:2022 clausola 5.3 richiede l’assegnazione e la comunicazione di responsabilità e autorità per i ruoli di sicurezza delle informazioni. La clausola 7.2 richiede la competenza delle persone che svolgono attività sotto il controllo dell’organizzazione, sulla base di istruzione, formazione o esperienza. La clausola 7.3 richiede la consapevolezza della Politica per la sicurezza delle informazioni, del contributo all’efficacia del SGSI e delle implicazioni della non conformità.
In Zenith Blueprint, Fondazione e leadership del SGSI, Passaggio 5: Comunicazione, consapevolezza e competenza, Clarysec traduce questo requisito in linguaggio attuativo:
“Identificare le competenze richieste: determinare quali conoscenze e abilità sono necessarie per i diversi ruoli nel proprio SGSI.”
Il Blueprint fornisce esempi pratici: il personale IT può aver bisogno di configurazione sicura dei server, gli sviluppatori di programmazione sicura, le risorse umane di gestione sicura dei dati personali e il personale generale di consapevolezza sul phishing. Sottolinea inoltre l’importanza delle registrazioni:
“Mantenere le registrazioni della competenza: la clausola 7.2 si aspetta che siano conservate informazioni documentate come evidenza della competenza.”
Ciò significa che il programma formativo deve iniziare da una matrice ruolo-rischio.
| Gruppo di ruoli | Focus formativo | Evidenze da conservare | Valore per la conformità |
|---|---|---|---|
| Tutti i dipendenti | Phishing, igiene delle password, MFA, uso accettabile, sicurezza dei dispositivi, segnalazione degli incidenti | Report di completamento, punteggio del quiz, presa d’atto della policy, versione del contenuto | ISO/IEC 27001:2022 clausola 7.3, ISO/IEC 27002:2022 controllo 6.3, NIS2 Article 21 |
| Dirigenti e consiglio di amministrazione | Governance del rischio cyber, obblighi NIS2 Article 20, supervisione DORA, propensione al rischio, decisioni di crisi | Registro presenze, pacchetto informativo per il consiglio, verbali, approvazione del programma | NIS2 Article 20, DORA Article 5, evidenze di leadership ISO/IEC 27001:2022 |
| Sviluppatori | Programmazione sicura, OWASP Top 10, SDLC sicuro, sicurezza API, processo di trattamento delle vulnerabilità, gestione dei segreti | Completamento del modulo, risultati di laboratorio, checklist di programmazione sicura, evidenze di correzione | ISO/IEC 27002:2022 controlli 8.25 and 8.28, aspettative DORA sul rischio ICT |
| IT e amministratori di sistema | Gestione degli accessi privilegiati (PAM), logging, gestione delle vulnerabilità, ripristino dei backup, controllo delle modifiche, hardening | Registrazione di completamento, collegamento al riesame degli accessi, partecipazione a esercitazioni tabletop | ISO/IEC 27002:2022 controlli 8.8 and 8.13, preparazione alla resilienza DORA |
| Risorse umane | Riservatezza, onboarding e offboarding, procedura disciplinare, gestione di categorie particolari di dati | Registrazione della formazione delle risorse umane, checklist di onboarding, presa d’atto della policy | Accountability GDPR, controlli ISO/IEC 27002:2022 relativi al personale |
| Finanza | Frodi nei pagamenti, impersonificazione del fornitore, separazione dei compiti, escalation di richieste sospette | Completamento del modulo mirato, risultati delle simulazioni di phishing | Riduzione del rischio di frode, prontezza agli incidenti NIS2 e DORA |
| Assistenza clienti | Verifica dell’identità, gestione sicura dei ticket, protezione dei dati personali, percorsi di escalation | Completamento del modulo di ruolo, campione di riesame dei ticket, presa d’atto privacy | Accountability del titolare/responsabile del trattamento GDPR, assurance del cliente |
| Responsabili della risposta agli incidenti | Classificazione, escalation, conservazione delle evidenze, tempistiche di notifica normativa, lezioni apprese | Registrazione dell’esercitazione, report di scenario, assegnazione dei ruoli, registro delle azioni | NIS2 Article 23, DORA Articles 17 to 19, controlli sugli incidenti ISO/IEC 27002:2022 |
| Collaboratori esterni con accesso ai sistemi | Uso accettabile, canale di segnalazione, gestione dei dati, condizioni di accesso | Presa d’atto del collaboratore esterno, registrazione di onboarding, collegamento all’approvazione dell’accesso | Assurance dei fornitori, governance degli accessi, conformità contrattuale |
Questa matrice non è solo un piano di formazione. È una mappa di conformità che mostra perché popolazioni diverse ricevono formazione diversa.
Collega la formazione alla catena dei controlli
In Zenith Controls, ISO/IEC 27002:2022 controllo 6.3, Consapevolezza, educazione e formazione in materia di sicurezza delle informazioni, è classificato come controllo preventivo a supporto di riservatezza, integrità e disponibilità. Il suo concetto di cibersicurezza è Protezione, la sua capacità operativa è Sicurezza delle risorse umane e i suoi domini di sicurezza sono Governance ed ecosistema.
L’interpretazione di conformità trasversale di Zenith Controls è diretta:
“Il controllo 6.3 risponde al mandato NIS2 sulla formazione e consapevolezza in materia di sicurezza attuando un programma strutturato di consapevolezza che copre igiene informatica, minacce emergenti e responsabilità del personale.”
La stessa mappatura collega ISO/IEC 27002:2022 controllo 6.3 alle aspettative GDPR per i dipendenti che gestiscono dati personali, alla formazione sulla sicurezza ICT DORA adattata ai ruoli e a NIST SP 800-53 Rev.5 AT-2, AT-3 e AT-4 per formazione e consapevolezza di base, formazione basata sui ruoli e registrazioni della formazione.
Il punto chiave è che il controllo 6.3 non vive da solo. Zenith Controls lo collega a ISO/IEC 27002:2022 controllo 5.2, Ruoli e responsabilità per la sicurezza delle informazioni, perché i ruoli definiscono chi necessita di quale formazione. Lo collega al controllo 6.8, Segnalazione degli eventi di sicurezza delle informazioni, perché i dipendenti non possono segnalare ciò che non sanno riconoscere. Lo collega inoltre al controllo 5.36, Conformità alle policy, alle regole e agli standard per la sicurezza delle informazioni, perché la conformità dipende dalla conoscenza delle regole da parte delle persone.
Ne deriva una catena di controlli pratica:
- Definire le responsabilità.
- Assegnare formazione di base e basata sui ruoli.
- Dimostrare il completamento.
- Verificare la comprensione.
- Monitorare la conformità.
- Correggere le lacune.
- Integrare le lezioni apprese nel trattamento del rischio e nel riesame di direzione.
Questo è rilevante per NIS2 perché Article 21 richiede analisi del rischio, policy, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, acquisizione e manutenzione sicure, valutazione dell’efficacia dei controlli, igiene informatica e formazione, crittografia, sicurezza delle risorse umane, controllo degli accessi, gestione degli asset e MFA o autenticazione sicura ove appropriato.
È rilevante per DORA perché governance, gestione degli incidenti, risposta e ripristino, rischio di terze parti e test di resilienza funzionano solo se le persone sanno cosa fare prima che l’incidente si verifichi.
Costruisci il pacchetto di evidenze pronto per l’audit
Un pacchetto di evidenze maturo contiene più dei log delle presenze. Mostra governance, progettazione, erogazione, completamento, efficacia e miglioramento. Clarysec raccomanda una struttura a sei cartelle.
| Cartella delle evidenze | Contenuto | Perché è importante |
|---|---|---|
| 01 Governance | Policy approvata, obiettivi formativi, approvazione della direzione, budget, piano annuale | Dimostra impegno e supervisione della leadership |
| 02 Mappatura dei ruoli | Inventario dei ruoli, matrice delle competenze, regole di assegnazione della formazione, ambito dei collaboratori esterni | Dimostra una progettazione basata sul rischio e sui ruoli |
| 03 Contenuti formativi | Set di slide dei corsi, moduli LMS, template di phishing, avvisi di sicurezza, cronologia delle versioni | Mostra cosa è stato effettivamente insegnato |
| 04 Registrazioni di completamento | Esportazioni LMS, registrazioni HRIS, log delle presenze, risultati dei quiz, prese d’atto | Dimostra partecipazione e informazioni documentate conservate |
| 05 Evidenze di efficacia | Metriche delle simulazioni di phishing, risultati delle interviste, tendenze nella segnalazione degli incidenti, esiti tabletop | Mostra se la formazione ha modificato il comportamento |
| 06 Miglioramento | Azioni correttive, moduli aggiornati, lezioni apprese, input al riesame di direzione | Dimostra il miglioramento continuo |
La policy enterprise Clarysec richiede onboarding, formazione annuale di aggiornamento sulla sicurezza e moduli basati sui ruoli. Policy di consapevolezza e formazione sulla sicurezza delle informazioni, requisiti di governance, clausola 5.1.1.2, stabilisce:
“Includere onboarding, formazione annuale di aggiornamento e moduli di formazione basati sui ruoli”
La stessa policy assegna la titolarità delle evidenze. Requisiti di governance, clausole 5.3.1 e 5.3.1.1, stabiliscono:
“Il Responsabile della sicurezza delle informazioni o un delegato deve mantenere:”
“Registrazioni di completamento per ciascun utente”
Per le PMI, la policy PMI aggiunge una cadenza pragmatica. Policy di consapevolezza e formazione sulla sicurezza delle informazioni - PMI, Requisiti di applicazione della policy, clausola 6.1.1, stabilisce:
“I materiali devono essere pratici, appropriati al ruolo e aggiornati annualmente.”
Copre inoltre la formazione attivata dai cambiamenti. La clausola 6.5.1 stabilisce:
“Quando le mansioni lavorative cambiano o vengono introdotti sistemi, può essere richiesta una formazione mirata di consapevolezza, ad esempio per la condivisione sicura dei file, la nuova protezione dei dati e i requisiti di minimizzazione dei dati.”
Questa clausola è particolarmente importante nel 2026 perché migrazione al cloud, strumenti di AI, nuove integrazioni di pagamento, nuovi responsabili del trattamento e cambiamenti nella segnalazione normativa possono modificare il rischio più rapidamente di un ciclo annuale.
Un piano di recupero di una settimana prima dell’audit
Considera un fornitore SaaS o FinTech di 180 persone che si prepara a un audit di sorveglianza ISO/IEC 27001:2022, alla due diligence dei clienti DORA, a un riesame dell’accountability GDPR e a domande dei clienti guidate da NIS2. Il Responsabile della sicurezza delle informazioni ha una settimana per trasformare registrazioni di completamento generiche in un pacchetto di evidenze difendibile.
Giorno 1: confermare ambito e obblighi
Utilizza ISO/IEC 27001:2022 clausole 4.1 to 4.4 per confermare contesto, parti interessate e campo di applicazione del SGSI. Raccogli impegni contrattuali dei clienti, obblighi GDPR in qualità di titolare o responsabile del trattamento, aspettative NIS2 da clienti critici e richieste di due diligence dei fornitori ICT collegate a DORA.
Poi traduci tali obblighi in esigenze formative. GDPR richiede che il personale che gestisce dati personali comprenda riservatezza, minimizzazione, conservazione ed escalation delle violazioni. NIS2 richiede igiene informatica, formazione dei dipendenti e supervisione della direzione. I clienti guidati da DORA si aspetteranno evidenze che i team a supporto di servizi critici comprendano escalation degli incidenti, resilienza, controllo degli accessi, backup e ripristino e coordinamento con terze parti.
Giorno 2: costruire la matrice basata sui ruoli
Utilizza le indicazioni di Zenith Blueprint e le mappature di Zenith Controls per ISO/IEC 27002:2022 controlli 5.2 and 6.3. Includi dipendenti, collaboratori esterni, utenti privilegiati, sviluppatori, team di supporto, risorse umane, finanza, dirigenti e responsabili della risposta agli incidenti.
Collega ciascun ruolo a sistemi e rischi. Gli sviluppatori ricevono formazione sulla programmazione sicura e sul processo di trattamento delle vulnerabilità. I team di supporto ricevono formazione sulla verifica dell’identità e sulla gestione sicura dei ticket. La finanza riceve formazione sulle frodi nei pagamenti e sulla verifica delle modifiche dei fornitori. I dirigenti ricevono formazione su governance, responsabilità legale, propensione al rischio e processo decisionale in crisi.
Giorno 3: allineare policy e assegnazioni
Adotta o aggiorna la policy Clarysec appropriata. Usa la policy PMI per un modello operativo leggero oppure la policy enterprise per una governance e una titolarità delle evidenze più robuste. Conferma che la policy includa onboarding, aggiornamenti annuali, moduli basati sui ruoli, conservazione delle evidenze, copertura dei collaboratori esterni e formazione attivata dai cambiamenti.
Pubblica la policy, raccogli le prese d’atto e collega i moduli formativi alle famiglie professionali nell’HRIS o nell’LMS.
Giorno 4: erogare formazione mirata
Non formare tutti su tutto. Forma tutti sui controlli di base, quindi assegna moduli specifici per ruolo.
Il modulo di base deve coprire phishing e ingegneria sociale, igiene delle password e MFA, uso accettabile, gestione sicura delle informazioni, canali di segnalazione degli incidenti, segnalazione di dispositivi smarriti e basi di protezione dei dati.
I moduli specifici per ruolo devono coprire SDLC sicuro per sviluppatori, accesso privilegiato e ripristino dei backup per l’IT, dati dei dipendenti per le risorse umane, frodi nei pagamenti per la finanza, classificazione degli incidenti per i responsabili della risposta e governance NIS2 e DORA per i dirigenti.
Giorno 5: esportare e validare le evidenze
Crea il pacchetto di evidenze a sei cartelle. Esporta report di completamento, punteggi dei quiz, numeri di versione dei corsi, prese d’atto delle policy e piani di formazione. Identifica i mancati completamenti e apri azioni correttive.
Poi verifica la comprensione tramite interviste. Chiedi a dipendenti di dipartimenti diversi:
- Quale formazione sulla sicurezza hai completato?
- Come segnali un’e-mail sospetta?
- Cosa faresti se perdessi un laptop?
- Dove puoi trovare la Politica per la sicurezza delle informazioni?
- Quali dati personali tratti nel tuo ruolo?
Registra i risultati come campione di audit interno. Gli auditor usano spesso le interviste per verificare se la consapevolezza è stata assimilata, non solo erogata.
Giorno 6: collegare la formazione alla risposta agli incidenti
Usa la formazione sulla segnalazione degli incidenti come ponte verso ISO/IEC 27002:2022 controllo 6.8, NIS2 Article 23 e DORA Articles 17 to 19.
NIS2 Article 23 richiede una segnalazione per fasi degli incidenti significativi, inclusi un preallarme entro 24 ore dalla conoscenza, una notifica entro 72 ore e una relazione finale entro un mese. DORA richiede che gli incidenti ICT rilevanti siano classificati, sottoposti a escalation, comunicati e segnalati attraverso il ciclo di vita di reporting richiesto.
I dipendenti non devono memorizzare le scadenze legali, ma devono segnalare i sospetti incidenti abbastanza rapidamente da consentire all’organizzazione di rispettarle.
In Zenith Blueprint, Controlli in azione, Passaggio 16: Controlli sulle persone II, Clarysec afferma:
“Un sistema efficace di risposta agli incidenti non inizia dagli strumenti, ma dalle persone.”
Non è una raccomandazione debole. È resilienza operativa.
Giorno 7: preparare la narrazione per l’audit
La narrazione finale per l’audit deve essere breve e supportata da evidenze:
“Abbiamo identificato le esigenze formative sulla base dei ruoli del SGSI, degli obblighi legali e contrattuali, dei risultati della valutazione del rischio e dell’accesso ai sistemi. Abbiamo assegnato moduli di base e basati sui ruoli tramite l’LMS. Abbiamo conservato registrazioni di completamento, punteggi dei quiz, versioni dei contenuti e prese d’atto. Abbiamo testato l’efficacia tramite simulazioni di phishing, interviste e metriche di segnalazione degli incidenti. Il mancato completamento è tracciato come azione correttiva. La direzione riesamina il programma annualmente e dopo cambiamenti significativi.”
Se supportata da evidenze, questa narrazione può sostenere le domande di audit ISO/IEC 27001:2022, il controllo di governance NIS2, la due diligence dei clienti DORA, il riesame dell’accountability GDPR e una valutazione dei controlli in stile NIST.
Mappatura di conformità trasversale per la formazione e la consapevolezza in materia di sicurezza
La consapevolezza in materia di sicurezza è spesso classificata erroneamente come attività delle risorse umane. In pratica, è un controllo di conformità trasversale che tocca governance, gestione del rischio, privacy, risposta agli incidenti, assurance dei fornitori e resilienza.
| Quadro di riferimento o normativa | Rilevanza della formazione | Punto di attuazione Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Competenza, consapevolezza, leadership, assegnazione dei ruoli, informazioni documentate, monitoraggio, audit interno e miglioramento | Zenith Blueprint Passaggio 5 e Passaggio 15, clausole di policy su onboarding, aggiornamenti annuali, formazione basata sui ruoli ed evidenze |
| ISO/IEC 27002:2022 | Controllo 6.3 consapevolezza, educazione e formazione, collegato a 5.2 ruoli, 6.8 segnalazione degli eventi e 5.36 monitoraggio della conformità | Zenith Controls mappa attributi, controlli correlati, aspettative di audit e allineamento trasversale ai framework |
| NIS2 | Formazione della direzione, formazione dei dipendenti sulla cibersicurezza, igiene informatica, prontezza agli incidenti e accountability della governance | Modulo per il consiglio di amministrazione, base minima per i dipendenti, modulo di segnalazione degli incidenti, evidenze di approvazione della direzione |
| DORA | Governance ICT, supervisione della direzione, apprendimento ed evoluzione, escalation degli incidenti, test di resilienza e aspettative verso terze parti | Formazione dirigenti, moduli per ruoli ICT, formazione dei responsabili della risposta agli incidenti, pacchetto di evidenze rivolto ai fornitori |
| GDPR | Accountability, trattamento sicuro, consapevolezza dei ruoli privacy, riconoscimento delle violazioni e gestione dei dati personali | Formazione privacy per risorse umane, supporto, vendite, sviluppo e team incidenti |
| NIST CSF 2.0 | Funzione GOVERN, ruoli, policy, obblighi legali, supervisione, profili e pianificazione del miglioramento | Profilo di formazione attuale e obiettivo, registro delle lacune e piano d’azione prioritizzato |
| NIST SP 800-53 Rev.5 | Formazione di consapevolezza, formazione basata sui ruoli e registrazioni della formazione | Mappatura ad AT-2, AT-3 e AT-4 tramite Zenith Controls |
| Assurance informata da COBIT 2019 | Obiettivi di governance, accountability, capacità, metriche di prestazione e reporting alla direzione | KPI formativi, titolarità dei ruoli, riesame di direzione e chiusura delle azioni correttive |
NIST CSF 2.0 è particolarmente utile per le organizzazioni che devono spiegare la maturità a stakeholder non ISO. Il suo metodo degli Organizational Profiles supporta la pianificazione dello stato attuale e dello stato obiettivo. Ad esempio, un profilo attuale può indicare che esiste una base di consapevolezza, ma che la formazione di programmazione sicura per gli sviluppatori è incompleta. Un profilo obiettivo può richiedere a tutti gli sviluppatori di completare entro il Q3 la formazione su programmazione sicura, divulgazione coordinata delle vulnerabilità e gestione dei segreti.
Come auditor e autorità di regolamentazione testano le evidenze formative
Revisori diversi pongono domande diverse, ma tutti verificano la stessa sostanza: l’organizzazione sa cosa devono fare le persone e può dimostrare che sono preparate a farlo?
Un auditor ISO/IEC 27001:2022 collegherà le evidenze formative alle clausole 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 and 10.2, oltre ai controlli dell’Allegato A. Aspettati domande su come sono stati determinati i requisiti di competenza, su come i dipendenti conoscono la Politica per la sicurezza delle informazioni, su come sono formati nuovi assunti e collaboratori esterni, su come viene gestito il mancato completamento, su come la formazione basata sui ruoli si collega alla valutazione del rischio e alla Dichiarazione di Applicabilità e su come viene valutata l’efficacia.
Zenith Controls osserva che gli auditor che utilizzano ISO/IEC 19011:2018 riesamineranno programma formativo, calendari, materiali, registri presenze, certificati di completamento e competenza dei formatori. Osserva inoltre che gli auditor ISO/IEC 27007:2020 possono usare interviste per determinare se i dipendenti sanno come segnalare incidenti e ricordano i messaggi chiave della formazione.
Un riesame focalizzato su NIS2 andrà oltre i tassi di completamento. Chiederà se l’organo di gestione ha approvato e supervisionato le misure di gestione del rischio di cibersicurezza, se la direzione ha ricevuto formazione, se la formazione del personale sull’igiene informatica è regolare e se la segnalazione degli incidenti è compresa. Article 21 richiede inoltre procedure per valutare l’efficacia delle misure di gestione del rischio di cibersicurezza; quindi metriche di phishing, tendenze nella segnalazione degli incidenti e risultanze dell’audit diventano evidenze di efficacia dei controlli.
Un riesame DORA, soprattutto da parte di un cliente finanziario che valuta un fornitore ICT, si concentrerà sulla resilienza operativa. Aspettati domande sul personale che supporta servizi finanziari critici, sulle registrazioni della formazione dei team che gestiscono sistemi di pagamento, sulla formazione della direzione in materia di rischio ICT di terze parti, sulla classificazione degli incidenti ai sensi di DORA Article 18 e sulla formazione dei collaboratori esterni per l’accesso agli ambienti cliente.
Un riesame GDPR si concentrerà sull’accountability. L’organizzazione deve mostrare che il personale che gestisce dati personali comprende trattamento lecito, riservatezza, minimizzazione, conservazione, gestione sicura ed escalation delle violazioni. Per SaaS, FinTech e prestatori di servizi gestiti, le evidenze formative fanno parte della dimostrazione che i requisiti privacy sono incorporati nel comportamento operativo.
Metriche che dimostrano l’efficacia dei controlli
Il completamento è necessario, ma non è sufficiente. Una dashboard 2026 più solida mostra se la formazione ha migliorato il comportamento.
| Metrica | Cosa mostra | Interpretazione in audit |
|---|---|---|
| Completamento per ruolo | Se le popolazioni assegnate hanno completato i moduli richiesti | Conformità e copertura di base |
| Completamento dei nuovi assunti entro l’obiettivo | Se i controlli di onboarding funzionano | Maturità delle risorse umane e della governance degli accessi |
| Completamento della formazione per utenti privilegiati | Se gli utenti ad alto rischio sono preparati | Prioritizzazione basata sul rischio |
| Tasso di clic e di segnalazione nelle simulazioni di phishing | Se il comportamento sta migliorando | Efficacia della consapevolezza |
| Segnalazioni di incidenti da parte dei dipendenti | Se le persone riconoscono e segnalano gli eventi | Collegamento alla prontezza agli incidenti |
| Tempo dall’e-mail sospetta alla segnalazione | Se la segnalazione supporta le tempistiche normative | Preparazione NIS2 e DORA |
| Mancati completamenti ripetuti | Se applicazione ed escalation funzionano | Monitoraggio della conformità |
| Aggiornamenti formativi dopo incidenti o cambiamenti | Se le lezioni apprese guidano il miglioramento | Miglioramento continuo |
Queste metriche supportano ISO/IEC 27001:2022 clausola 9.1 per monitoraggio e misurazione, clausola 9.2 per audit interno, clausola 10.1 per miglioramento continuo e clausola 10.2 per non conformità e azione correttiva. ISO/IEC 27002:2022 controllo 5.36 rafforza il fatto che la conformità a policy, regole e standard deve essere monitorata, valutata e corretta.
Risultanze comuni che Clarysec osserva negli audit
Le stesse debolezze si ripetono.
Le organizzazioni formano i dipendenti ma dimenticano i dirigenti. Nell’ambito di NIS2 e DORA, la formazione della direzione è parte della governance, non un elemento opzionale di maturità.
Le organizzazioni erogano formazione annuale ma ignorano i cambiamenti di ruolo. Un ingegnere di supporto che passa a DevOps necessita di formazione su accesso privilegiato, logging, backup ed escalation degli incidenti.
Le organizzazioni includono i dipendenti ma dimenticano i collaboratori esterni. Zenith Blueprint Passaggio 15 raccomanda di estendere la formazione ai collaboratori esterni o alle terze parti che hanno accesso a sistemi o dati.
Le organizzazioni insegnano la segnalazione degli incidenti ma generano timore. Se il personale crede di essere punito per aver cliccato su un link di phishing, potrebbe rimanere in silenzio. Zenith Blueprint Passaggio 16 sottolinea canali di segnalazione semplici, segnalazione sostenuta dalla consapevolezza e una cultura non punitiva.
Le organizzazioni non riescono a dimostrare il controllo di versione dei contenuti. Se un auditor chiede cosa hanno completato i dipendenti a marzo, il deck attuale su SharePoint non basta. Conserva la versione erogata.
Le organizzazioni non collegano la formazione al trattamento del rischio. Se ransomware, frodi nei pagamenti, errata configurazione cloud o perdita di dati sono rischi principali, il piano formativo deve mostrare un trattamento mirato per i ruoli pertinenti.
Dove si inserisce Clarysec
Clarysec aiuta le organizzazioni a costruire un unico programma difendibile invece di cinque percorsi di conformità scollegati.
La Policy di consapevolezza e formazione sulla sicurezza delle informazioni - PMI offre alle organizzazioni più piccole una base pratica: aspettative basate sui ruoli, registrazioni documentate, aggiornamenti annuali, formazione attivata dai cambiamenti e conservazione per almeno tre anni.
La Policy di consapevolezza e formazione sulla sicurezza delle informazioni enterprise offre alle organizzazioni più grandi una governance più robusta: consapevolezza strutturata e basata sul rischio, onboarding, aggiornamenti annuali, moduli basati sui ruoli, titolarità delle registrazioni da parte del Responsabile della sicurezza delle informazioni e preparazione alle ispezioni delle autorità di regolamentazione nell’ambito di GDPR, DORA e NIS2.
Zenith Blueprint indica ai team di attuazione cosa fare in sequenza. Il Passaggio 5 integra competenza e consapevolezza nella base del SGSI. Il Passaggio 15 rende operativo ISO/IEC 27002:2022 controllo 6.3 con formazione annuale, moduli specifici per ruolo, onboarding, simulazioni di phishing, evidenze di partecipazione, bollettini mirati, formazione dei collaboratori esterni e rafforzamento comportamentale. Il Passaggio 16 collega la consapevolezza alla segnalazione degli incidenti guidata dal personale.
Zenith Controls fornisce ai team di conformità la mappatura di corrispondenza. Collega ISO/IEC 27002:2022 controllo 6.3 a ruoli, segnalazione degli eventi, monitoraggio della conformità, rischi connessi al fattore umano ISO/IEC 27005:2024, aspettative formative GDPR, NIS2 Article 21, formazione ICT DORA, controlli di consapevolezza NIST e metodologie di audit. Collega inoltre il controllo 5.2 alle responsabilità di governance e il controllo 5.36 al monitoraggio della conformità e all’azione correttiva.
Insieme, queste risorse consentono a un Responsabile della sicurezza delle informazioni di spiegare non solo quale formazione è stata svolta, ma perché è stata svolta, chi l’ha richiesta, quale rischio ha trattato, come è stata evidenziata e come migliora.
Rendi ora le evidenze della formazione sulla sicurezza pronte per l’audit
Se le tue evidenze attuali sono un foglio di calcolo, un set di slide e la speranza che i dipendenti ricordino l’e-mail per le segnalazioni, è il momento di farle maturare.
Inizia con quattro azioni questa settimana:
- Crea una matrice di formazione basata sui ruoli collegata alle responsabilità del SGSI, all’accesso ai sistemi e agli obblighi normativi.
- Adotta o aggiorna la tua policy di consapevolezza Clarysec usando Policy di consapevolezza e formazione sulla sicurezza delle informazioni - PMI oppure Policy di consapevolezza e formazione sulla sicurezza delle informazioni.
- Costruisci il pacchetto di evidenze a sei cartelle per governance, mappatura dei ruoli, contenuti, completamento, efficacia e miglioramento.
- Usa Zenith Blueprint e Zenith Controls per mappare le evidenze formative sulle aspettative di audit ISO/IEC 27001:2022, NIS2, DORA, GDPR e NIST.
La consapevolezza in materia di sicurezza è utile quando modifica il comportamento. Le evidenze di conformità sono utili quando dimostrano che quel comportamento è costante.
Clarysec ti aiuta a costruire entrambe.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
