Effettuate regolarmente una valutazione formale dei rischi legati alla sicurezza informatica (cyber risk assessment)?

Avete una valutazione aggiornata dei rischi cyber e policy documentate che includono prevenzione, rilevamento, risposta agli incidenti e verifiche periodiche (es. test, audit)?

Sono presenti procedure documentate per la gestione degli incidenti (rilevamento, notifica, risposta, post-mortem)?

Avete piani di continuità operativa e gestione delle crisi in caso di incidente cyber?

Gestite i rischi legati alla supply chain e ai fornitori terzi, come accessi a sistemi, dipendenza da servizi esterni o scarsa sicurezza dei partner?

Adottate buone pratiche di sicurezza durante il ciclo di vita dei sistemi IT (sviluppo, aggiornamenti, patching): aggiornamenti sicuri e gestione delle vulnerabilità?

È attivo un programma di formazione continua in tema cybersecurity per i dipendenti?

Proteggete i dati sensibili con crittografia forte e gestione sicura delle chiavi?