Parliamoci chiaro. La maggior parte delle organizzazioni europee che si dichiarano “conformi” a PCI DSS, ISO 27001 o NIS2 sta mentendo. Non per malafede, ma per qualcosa di peggio: per abitudine. Hanno compilato checklist senza capirle, ottenuto certificazioni che appenderanno al muro come trofei di caccia, e implementato controlli che sono evaporati tre mesi dopo l’audit. Poi, quando succede il disastro, un breach, un’ispezione vera, una sanzione con molti zeri, scoprono che la loro compliance era un castello di carta.
Ho scritto “Compliance senza illusioni” perché dopo oltre vent’anni passati nelle trincee della cybersecurity e della compliance europea, tra banche, assicurazioni, infrastrutture critiche e multinazionali, ho visto ripetersi sempre lo stesso schema: organizzazioni che confondono la documentazione con la protezione, il certificato con la sicurezza, la spunta sulla checklist con il controllo operativo. E ho deciso che era ora di mettere nero su bianco un metodo per smettere di fingere e cominciare a fare le cose sul serio.
Di cosa parla questo libro – Il titolo dice tutto: PCI DSS, ISO 27001 e NIS2, tre standard, tre mondi normativi che terrorizzano i reparti IT e compliance di mezza Europa. Il sottotitolo completa il quadro: come trasformare questi framework in controlli reali, applicabili, auditabili e sostenibili.
Non è un commentario giuridico. Non è un manuale teorico da mettere sullo scaffale accanto agli altri che nessuno ha mai finito di leggere. È un libro operativo, scritto da chi quei controlli li progetta, li implementa, li audita e li difende davanti agli auditor esterni ogni giorno.
Il libro è strutturato in quattro parti che seguono un percorso logico: dalla diagnosi del problema alla costruzione della soluzione.
La Parte I – Mettere ordine nel caos smonta pezzo per pezzo i meccanismi che trasformano la compliance in facciata. Perché la compliance fallisce? Perché le checklist non sono controlli. Perché avere tre standard diversi non significa avere tre problemi diversi, ma uno solo affrontato male tre volte. Ho isolato le cause sistemiche, incentivi disallineati, governance frammentata, metriche di vanità, dipendenza tossica dai consulenti, e per ciascuna propongo correzioni operative concrete, non filosofia.
La Parte II – Il Metodo è il cuore tecnico del libro. Come si legge una norma senza perdersi nei meandri del legalese? Come si trasforma un requisito astratto in un controllo che un operatore può eseguire lunedì mattina? Come si scrivono controlli che siano effettivamente verificabili e non semplici dichiarazioni di intenti? Ho costruito un canvas operativo, una pagina, un contratto, che collega ogni controllo al suo owner, alle sue metriche, alle sue evidenze e alla sua frequenza di verifica. Un metodo che funziona indipendentemente dallo standard di riferimento.
La Parte III – Audit spiegati bene demistifica il processo di audit per chi lo subisce e per chi lo conduce. Come funziona davvero un audit, non come te lo raccontano nei corsi di formazione. Cosa sono le evidenze che parlano da sole e come produrle senza impazzire. Come gestire i gap senza panico, trasformando ogni non conformità in un piano d’azione eseguibile invece che in una crisi esistenziale.
La Parte IV – Compliance che vive affronta il problema che nessuno vuole affrontare: cosa succede dopo l’audit. Come distinguere un controllo vivo da un controllo morto. Come costruire un reporting che il management legga davvero e non archivi istintivamente nella cartella “compliance stuff”. E soprattutto, come rendere la compliance utile, non un costo da sopportare, ma uno strumento di governance che genera valore.
Le appendici: dove il libro diventa un toolkit – Le appendici: dove il libro diventa un toolkitLe appendici non sono un’aggiunta decorativa. Sono il segreto del successo, e non a caso le ho intitolate così. Control charter pronti all’uso, runbook operativi suddivisi per controlli preventivi, detective e correttivi, matrici di tracciabilità, cataloghi di KPI e KRI standardizzati con formule e soglie, librerie di evidenze con metadati obbligatori, playbook di audit-readiness, pattern di automazione per integrare SIEM, SOAR e ITSM, modelli RACI, clausole contrattuali tipo, guide al minimum viable control. Tutto quello che serve per partire lunedì mattina e non fra sei mesi.
Per chi è scritto – Per CISO, compliance officer, auditor interni, risk manager, consulenti IT, DPO e per quei dirigenti che hanno firmato responsabilità NIS2 senza avere la minima idea di cosa questo implichi operativamente. Per chi è stanco di comprare compliance cosmetica e vuole costruire qualcosa che funzioni quando conta davvero, cioè quando le cose vanno male.
Dove trovarlo – Il libro è disponibile su Amazon in formato eBook, copertina flessibile e copertina rigida :
Compliance senza illusioni — Amazon.it
Fa parte della Collana di Diritto tecnico e giuridico sulle Normative Europee per l’Ecosistema Digitale e la Cyber-Compliance, pubblicata da Cyberium Limited.
Un controllo non è reale finché non è verificabile, misurato e sostenibile nel tempo. Tutto il resto è narrativa.