Vai al contenuto
BastionSec
Contattaci
Compliance UE · GDPR · NIS2 · DORA

Entrare in Italia e in UE, in regola. Senza diventare un esperto di burocrazia europea.

GDPR, NIS2 e DORA non sono lo stesso obbligo per tutti: ognuno ha il suo perimetro. Ti diciamo quale riguarda te e ti mettiamo in regola davvero, nella tua lingua.

  • Tre regole UE diverse, tre perimetri diversi: ti diciamo quale riguarda te.
  • Partner locale che parla la tua lingua e conosce le regole qui.
  • GDPR è un regolamento, NIS2 una direttiva, DORA un regolamento settoriale.
Parliamone (nella tua lingua)Cos'è il GDPR

Qual è la tua?

Tre regole UE diverse, tre perimetri diversi. In sintesi:

GDPR

GDPR

Tratti dati personali di persone in UE? Ti riguarda quasi certamente.

NIS2

NIS2

Operi in un settore essenziale/importante (energia, sanità, trasporti, digitale, ecc.) sopra certe soglie? Potrebbe riguardarti.

DORA

DORA

Sei nel settore finanziario (o un suo fornitore ICT critico)? Ti riguarda.

GDPR: protezione dei dati personali

Il Regolamento generale sulla protezione dei dati riguarda chiunque tratti dati personali di persone che si trovano nell'UE, anche se l'azienda ha sede fuori. Per chi entra nel mercato è quasi sempre il primo scoglio.

Cosa facciamo per il GDPR

  • Mappatura dei trattamenti e registro delle attività di trattamento.
  • Basi giuridiche, informative e gestione del consenso.
  • Valutazione del rischio e, dove serve, DPIA.
  • Gestione dei diritti degli interessati e delle violazioni (data breach).
  • Contratti con i fornitori (DPA) e trasferimenti extra-UE.
  • Dove richiesto, supporto alla figura del DPO / rappresentante UE.
Molti controlli GDPR si appoggiano a un ISMS: se punti anche a ISO 27001, ottimizziamo il lavoro evitando doppioni.

NIS2: sicurezza di reti e sistemi (settori essenziali/importanti)

La direttiva NIS2 alza l'asticella della cybersecurity per i soggetti 'essenziali' e 'importanti' in settori come energia, trasporti, sanità, infrastrutture digitali, fornitori ICT e altri, sopra certe soglie dimensionali.

Recepita a livello nazionale, introduce obblighi di gestione del rischio, misure tecniche e organizzative e notifica degli incidenti, con responsabilità in capo agli organi di gestione.

Cosa facciamo per NIS2

  • Verifica di applicabilità e categoria (essenziale vs importante) e registrazione presso l'autorità competente, dove prevista.
  • Analisi dei rischi e misure tecnico-organizzative richieste.
  • Processi di gestione e notifica degli incidenti nei tempi previsti.
  • Sicurezza della supply chain e dei fornitori.
  • Governance e responsabilità del management.
Gran parte delle misure NIS2 coincide con i controlli di un ISMS ISO 27001: lavorando insieme eviti doppioni.

DORA: resilienza operativa digitale (settore finanziario)

Il regolamento DORA si applica al settore finanziario dell'UE (banche, assicurazioni, società di pagamento, gestori) e ai loro fornitori ICT critici, per garantire che reggano agli incidenti tecnologici.

È più verticale di NIS2: se non sei nella finanza (o un suo fornitore ICT critico), con tutta probabilità non ti riguarda.

Cosa facciamo per DORA

  • Verifica di applicabilità (entità finanziaria o fornitore ICT critico).
  • Gestione del rischio ICT e framework di resilienza.
  • Gestione, classificazione e segnalazione degli incidenti ICT.
  • Test di resilienza operativa digitale (incl. testing avanzato dove richiesto).
  • Gestione del rischio dei fornitori terzi ICT e clausole contrattuali.
Il testing di resilienza si aggancia ai nostri pentest: vedi la pagina Audit & Pentest.

Il tuo partner locale in Italia/UE

Non devi imparare la burocrazia europea: lo abbiamo fatto noi. Parliamo la tua lingua, conosciamo le regole qui e traduciamo gli obblighi UE nel tuo contesto. Un ponte affidabile che ti evita il passo falso costoso, non un labirinto.

Entrare in Italia/UE

Il percorso dedicato a chi entra nel mercato Italia/UE, con un referente locale nella tua lingua.

Vai al percorso

Sinergia con ISO 27001

Molti controlli GDPR e NIS2 si appoggiano a un ISMS: ottimizziamo il lavoro tra norma e standard.

Scopri

Come procediamo e quanto costa

Stesso metodo a fasi: analisi iniziale → cosa ti riguarda davvero → messa in regola → mantenimento.

Il prezzo dipende da quante norme ti toccano e dal perimetro: ticket più mirato per il solo GDPR, più strutturato per NIS2/DORA. Te lo definiamo, con trasparenza, dopo un primo confronto.

Domande frequenti

Quale di queste norme riguarda la mia azienda?

Quasi sempre il GDPR, se tratti dati di persone in UE. NIS2 se sei in un settore essenziale/importante sopra certe soglie. DORA se sei nella finanza o sei un suo fornitore ICT critico. Scrivici e capiamo cosa ti serve: ti diciamo esattamente quali ti toccano, senza venderti più del necessario.

Ho già la SOC 2 (USA): mi basta per la UE?

No. SOC 2 è un'attestazione USA; in UE i clienti chiedono di solito ISO 27001 e devi comunque rispettare il GDPR. Ti diciamo cosa ti serve davvero qui ed evitiamo doppioni di lavoro.

NIS2 e DORA sono la stessa cosa?

No. NIS2 è una direttiva ampia su settori essenziali/importanti; DORA è un regolamento verticale per il settore finanziario (e i suoi fornitori ICT critici). Perimetri diversi: se sei in finanza guarda DORA per primo.

Parlate la mia lingua?

Contenuti e contatto nelle lingue che possiamo davvero servire (partiamo da italiano, inglese, tedesco, francese, spagnolo, arabo). Pubblichiamo una lingua solo quando possiamo risponderti davvero in quella lingua: niente promesse a vuoto.

GDPR e ISO 27001 sono la stessa cosa?

No, ma si rafforzano: il GDPR è una legge sulla protezione dei dati, ISO 27001 è uno standard di gestione della sicurezza. Molti controlli si sovrappongono, quindi conviene affrontarli insieme.

Quanto ci vuole per mettersi in regola?

Dipende da quante norme ti toccano e dal tuo punto di partenza. Il solo GDPR è più rapido; NIS2 o DORA, più strutturati, richiedono più tempo. Te lo qualifichiamo dopo un primo confronto: niente tempi fissi a scatola chiusa.

Mi serve un rappresentante o un DPO in UE?

A volte sì (dipende dai trattamenti e dalla tua presenza in UE). Lo verifichiamo e, dove serve, ti supportiamo. Non lo imponiamo se non è dovuto.

Approfondisci

Cos'è il GDPR

La guida al Regolamento: perimetro, obblighi, diritti degli interessati. Prima di decidere.

Leggi la guida

ISO 27001

Lo standard di gestione della sicurezza che molti controlli UE riusano: niente doppioni.

Scopri

ISO 42001 ed EU AI Act

Hai AI in prodotto? La frontiera normativa UE include anche la governance dell'AI.

Scopri

Non sai da dove iniziare? Te lo diciamo noi, nella tua lingua.

Raccontaci la tua esigenza: capiamo quali norme ti toccano e ti mettiamo in regola davvero.

Parliamone (nella tua lingua)