Come Condurre un'Analisi dei Gap NIS2: Guida Passo dopo Passo per la Sua Organizzazione

Un responsabile della conformità di un'azienda logistica olandese apre un foglio di calcolo. In cima: le dieci misure di sicurezza informatica dell'Articolo 21 di NIS2. Sul lato: ogni reparto, sistema e processo dell'azienda. La maggior parte delle celle è vuota. Ora sa esattamente dove si trovano i problemi — e, cosa più importante, dove investire il budget per primo.

Quel foglio di calcolo è un'analisi dei gap NIS2. È il passo singolarmente più utile che qualsiasi organizzazione possa compiere in questo momento, prima che scadano i termini di applicazione e i regolatori inizino a fare domande.

Se la Sua organizzazione rientra nell'ambito NIS2 — o lo sospetta — ecco come condurla correttamente.

Cos'è Effettivamente un'Analisi dei Gap NIS2

Un'analisi dei gap confronta ciò che la Sua organizzazione fa oggi con ciò che NIS2 richiede. Niente di più, niente di meno.

NIS2 non è una certificazione. È un obbligo legale ai sensi della Direttiva UE 2022/2555 che impone alle organizzazioni nei settori coperti di implementare misure specifiche di sicurezza informatica, segnalare gli incidenti entro scadenze rigorose e garantire la supervisione della sicurezza a livello di consiglio di amministrazione.

Un'analisi dei gap mappa la postura di sicurezza attuale rispetto a questi requisiti e produce un elenco chiaro di ciò che manca, ciò che è parzialmente in atto e ciò che è già conforme. Il risultato è un piano d'azione prioritario — non un verdetto di superamento o fallimento.

Se la Sua organizzazione possiede già la certificazione ISO 27001, ha un vantaggio. Ma NIS2 e ISO 27001 non sono la stessa cosa — la direttiva include obblighi specifici in materia di tempistiche per la segnalazione degli incidenti, sicurezza della catena di approvvigionamento e responsabilità del consiglio che ISO 27001 non copre.

Passo 1: Verifichi di Rientrare nell'Ambito di Applicazione

Prima di investire tempo in un'analisi dei gap completa, verifichi che NIS2 si applichi effettivamente alla Sua organizzazione. Le regole sull'ambito di applicazione sono semplici:

• La Sua organizzazione opera in uno dei settori essenziali o importanti definiti dalla direttiva
• Ha 50 o più dipendenti, o un fatturato annuo superiore a 10 milioni di EUR
• Alcune entità — fornitori DNS, prestatori di servizi fiduciari, registri TLD — rientrano sempre nell'ambito applicativo indipendentemente dalle dimensioni

Non trascuri l'aspetto della catena di approvvigionamento. Anche se la Sua organizzazione è al di sotto delle soglie, i Suoi clienti più importanti potrebbero essere entità NIS2. Ai sensi dell'Article 21(2)(d), sono obbligati a gestire i rischi di sicurezza nella catena di approvvigionamento — il che significa che inizieranno a richiedere prove della Sua postura di sicurezza.

La NIS2 si Applica alla Tua Organizzazione?
1
La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì▼
No▼
2
La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
✗
La NIS2 non si applica direttamente alla tua organizzazione.
Sì▼
No▼
✓
La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
3
La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì▼
!
La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
1
La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì ↓No →
2
La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
Sì ↓No →
3
La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì ↓No →
✗
La NIS2 non si applica direttamente alla tua organizzazione.
✓
La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
!
La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
Si applica
Possibile applicazione
Non si applica

Passo 2: Mappi le Misure dell'Articolo 21

L'Articolo 21 è la colonna portante della conformità NIS2. Prescrive dieci misure minime di gestione del rischio di sicurezza informatica che ogni entità nell'ambito di applicazione deve implementare. La Sua analisi dei gap dovrebbe valutare ciascuna di esse individualmente.

Articolo 21 — 10 Misure di Cybersicurezza NIS2
🛡️
Articolo 21
10 Misure di Cybersicurezza
📊
Governance & Strategia
1Analisi dei rischi & politiche di sicurezza delle informazioni
6Valutazione dell'efficacia delle misure di sicurezza
🚨
Incidenti & Continuità
2Gestione degli incidenti & notifica
3Continuità operativa & ripristino di emergenza
🔗
Catena di Fornitura & Sistemi
4Sicurezza della catena di fornitura
5Sicurezza nello sviluppo di sistemi di rete e informativi
🔐
Controlli Tecnici
8Crittografia & cifratura
10Autenticazione a più fattori & comunicazioni sicure
👥
Persone & Risorse
7Igiene informatica & formazione
9Sicurezza HR & controllo degli accessi

Per ogni misura, documenti tre aspetti:

1. Stato attuale — cosa esiste oggi? Politiche, strumenti, processi, prove
2. Gap — cosa manca o è incompleto rispetto al requisito NIS2?
3. Priorità — quanto è critico questo gap in base al rischio e alla probabilità di applicazione?

Ecco come approcciare la valutazione per le misure in cui le organizzazioni più frequentemente non soddisfano i requisiti.

Analisi dei Rischi e Politiche di Sicurezza delle Informazioni

Dispone di una politica di sicurezza delle informazioni documentata e approvata dal consiglio? Non un documento di cinque anni fa conservato su SharePoint — una politica attuale che riflette il reale panorama dei rischi e che è stata formalmente approvata dalla direzione come richiede l'Articolo 20.

Cosa verificare: Data dell'ultima approvazione del consiglio, se la politica copre tutti i sistemi rilevanti per NIS2, se è stata comunicata ai dipendenti.

Gestione degli Incidenti

La Sua organizzazione è in grado di rilevare, classificare e segnalare un incidente di sicurezza informatica entro 24 ore? Le scadenze per la segnalazione NIS2 — 24 ore per l'avviso preliminare, 72 ore per la notifica completa, un mese per il rapporto finale — richiedono processi che la maggior parte delle organizzazioni di medie dimensioni non possiede.

Cronologia delle Notifiche di Incidenti NIS2
24h
⚡
Allerta Precoce
Notificare all'autorità competente (CSIRT/ANC) entro 24 ore dalla conoscenza di un incidente significativo.
Fase 1
72h
📋
Notifica dell'Incidente
Presentare una notifica dettagliata entro 72 ore con una valutazione iniziale della gravità, dell'impatto e degli indicatori di compromissione.
Fase 2
1mo
📊
Rapporto Finale
Consegnare un rapporto finale completo entro un mese che copra la causa principale, le misure adottate e l'impatto transfrontaliero.
Fase 3
24h
⚡
Allerta Precoce
Notificare all'autorità competente (CSIRT/ANC) entro 24 ore dalla conoscenza di un incidente significativo.
72h
📋
Notifica dell'Incidente
Presentare una notifica dettagliata entro 72 ore con una valutazione iniziale della gravità, dell'impatto e degli indicatori di compromissione.
1mo
📊
Rapporto Finale
Consegnare un rapporto finale completo entro un mese che copra la causa principale, le misure adottate e l'impatto transfrontaliero.

Cosa verificare: Procedure di escalation definite, recapiti del CSIRT nazionale, modelli di notifica, strumenti di monitoraggio che supportano il rilevamento entro il periodo di tempo richiesto.

Sicurezza della Catena di Approvvigionamento

Questa è la misura che la maggior parte delle organizzazioni sottovaluta. L'Article 21(2)(d) richiede di valutare e gestire i rischi di sicurezza nella catena di approvvigionamento — inclusi i fornitori di servizi IT, i vendor cloud e i fornitori di software.

Cosa verificare: Contratti con clausole di sicurezza, valutazioni del rischio dei fornitori, clausole di diritto di audit, requisiti di notifica degli incidenti per i fornitori.

Valutazione dell'Efficacia

Avere misure di sicurezza non è sufficiente. L'Articolo 21 richiede di valutare se tali misure funzionino effettivamente. Ciò significa test, audit e revisioni — regolarmente, non una volta sola.

Cosa verificare: Rapporti di penetration test, programma di audit interno, metriche per misurare l'efficacia dei controlli di sicurezza, follow-up sui rilievi precedenti.

Passo 3: Attribuisca un Punteggio ai Gap

Utilizzi un semplice sistema di valutazione a tre livelli per ciascuna delle dieci misure:

Punteggio	Significato	Azione Richiesta
Verde	La misura è implementata, documentata e rivista regolarmente	Mantenere e documentare
Ambra	Parzialmente implementata o documentazione obsoleta	Rimediare entro 3-6 mesi
Rosso	Non implementata o fondamentalmente carente	Priorità immediata

Sia onesto. L'analisi dei gap è uno strumento interno — gonfiare i punteggi vanifica lo scopo. Quando un regolatore chiederà prove del programma di conformità NIS2, un'analisi dei gap genuina con una chiara tempistica di rimedio dimostra una maturità molto maggiore rispetto a un documento curato che non riflette la realtà. In Italia, l'ACN (Agenzia per la Cybersicurezza Nazionale) — istituita nel 2021 — sta sviluppando attivamente le sue capacità di supervisione e le organizzazioni con documentazione trasparente saranno meglio posizionate nei controlli futuri.

Passo 4: Stabilisca le Priorità per Rischio e Focus Regolatorio

Non tutti i gap hanno lo stesso peso. Stabilisca le priorità in base a due fattori:

Esposizione al rischio — quali gap, se sfruttati, causerebbero il maggior danno alla Sua organizzazione? Un processo di gestione delle vulnerabilità non aggiornato (misura 5) combinato con una gestione degli incidenti debole (misura 2) crea uno scenario in cui una violazione non viene rilevata e non viene segnalata — innescando sia danni operativi che sanzioni normative.

Focus regolatorio — le autorità nazionali UE hanno indicato che l'applicazione iniziale si concentrerà su:

• Conformità alla registrazione (è registrata?)
• Capacità di segnalazione degli incidenti (può rispettare le scadenze 24/72?)
• Governance a livello di consiglio (la direzione ha approvato le misure di sicurezza informatica?)
• Due diligence sulla catena di approvvigionamento (ha valutato i Suoi fornitori?)

Queste quattro aree dovrebbero essere in cima alla Sua lista di rimedi indipendentemente dalla valutazione interna del rischio.

Passo 5: Costruisca la Roadmap di Rimedio

Trasformi la Sua analisi dei gap in un piano d'azione concreto con responsabili, scadenze e stime di budget.

Risultati rapidi (1-3 mesi):

• Formalizzare l'approvazione del consiglio delle politiche di sicurezza esistenti
• Programmare la formazione del management sulla sicurezza informatica (requisito dell'Articolo 20)
• Registrarsi presso l'autorità nazionale se il portale è aperto
• Stabilire una catena di contatti per la risposta agli incidenti

Azioni a medio termine (3-6 mesi):

• Implementare o aggiornare le capacità di monitoraggio e rilevamento
• Condurre valutazioni della sicurezza dei fornitori per i vendor critici
• Distribuire l'autenticazione a più fattori su tutti i sistemi critici
• Sviluppare e testare modelli di notifica degli incidenti

Iniziative a lungo termine (6-12 mesi):

• Costruire un programma continuo di valutazione dell'efficacia
• Integrare i requisiti di sicurezza della catena di approvvigionamento nei processi di approvvigionamento
• Stabilire un ciclo regolare di audit e revisione
• Allineare i piani di continuità operativa ai requisiti NIS2

Errori Comuni nelle Analisi dei Gap NIS2

Trattarla come un esercizio una tantum. La conformità NIS2 è continua. La Sua analisi dei gap dovrebbe essere un documento vivo che rivede trimestralmente — come minimo dopo qualsiasi cambiamento significativo nel Suo ambiente IT, nella struttura organizzativa o nel panorama delle minacce.

Ignorare la catena di approvvigionamento. Le organizzazioni tendono a concentrarsi internamente. Ma l'Article 21(2)(d) richiede esplicitamente di guardare verso l'esterno — ai Suoi fornitori, prestatori di servizi e dipendenze. Un'analisi dei gap che si ferma al perimetro aziendale è incompleta.

Saltare il consiglio. L'Articolo 20 rende gli organi di gestione personalmente responsabili. Se il Suo consiglio non è stato informato dei risultati dell'analisi dei gap e non ha approvato formalmente il piano di rimedio, ha un gap di governance che i regolatori noteranno.

Ingegnerizzare eccessivamente il processo. Non ha bisogno di un incarico di consulenza di sei mesi per condurre un'analisi dei gap. Una valutazione strutturata rispetto alle dieci misure dell'Articolo 21, svolta onestamente e documentata correttamente, porta all'80% del risultato.

Inizi con una Valutazione Rapida

Condurre un'analisi dei gap NIS2 completa richiede tempo e coordinamento interno. Ma può ottenere un quadro iniziale chiaro in pochi minuti.

Esegua il NIS2 Quick Scan gratuito — mappa la Sua organizzazione rispetto ai requisiti dell'Articolo 21 e mostra esattamente dove si trovano i gap più significativi. È il modo più rapido per comprendere la Sua conformità NIS2 prima di impegnarsi in un programma di rimedio completo.

Le organizzazioni che iniziano la loro analisi dei gap ora — mentre l'applicazione si intensifica in tutta Europa — avranno il tempo di colmare le lacune metodicamente, senza la pressione e i costi aggiuntivi che derivano dall'adeguarsi all'ultimo momento.