Skip to Content

Analisi degli scostamenti

L’analisi degli scostamenti misura la vostra situazione rispetto alle misure di gestione dei rischi di cybersicurezza dell’articolo 21 di NIS2 e trasforma il risultato in un piano prioritizzato.

La dashboard di conformità dopo un gap assessment — punteggio complessivo e ripartizione per area di misure

Cosa viene valutato

L’articolo 21, paragrafo 2 enuncia le misure di base che ogni soggetto rientrante nell’ambito deve adottare — analisi dei rischi e politiche di sicurezza dei sistemi informativi, gestione degli incidenti, continuità operativa e gestione delle crisi, sicurezza della catena di approvvigionamento, acquisizione e sviluppo sicuri, politiche di valutazione dell’efficacia, igiene informatica di base e formazione, crittografia, controllo degli accessi e gestione degli asset, autenticazione a più fattori e comunicazioni sicure.

Reglyze declina queste misure in controlli e sotto-controlli e valuta ciascuno su due assi:

  • Attuazione — la misura è effettivamente in atto?
  • Documentazione — potete dimostrarla?

Recepimento nazionale

La NIS2 è una direttiva UE: si applica tramite la legge di ciascuno Stato membro e diverse autorità nazionali pubblicano un quadro di misure che si collega alle misure dell’articolo 21. Reglyze ti valuta rispetto alla base dell’articolo 21(2) — il nucleo comune — così le stesse evidenze si riportano sul quadro applicabile a te:

  • Francia — il ReCyF dell’ANSSI (Référentiel Cyber France): obiettivi di sicurezza obbligatori (il «cosa») e misure raccomandate (il «come») riconosciute per dimostrare la conformità all’ANSSI.
  • Germania — il BSI ai sensi della NIS2-Umsetzungsgesetz (NIS2UmsuCG), con IT-Grundschutz come metodologia di riferimento.
  • Italia — l’ACN ai sensi del D.Lgs 138/2024, che stabilisce le misure di sicurezza di base e gli obblighi di notifica.
  • Portogallo — il CNCS e il Quadro Nacional de Referência para a Cibersegurança (QNRCS).

Quando un quadro nazionale aggiunge o precisa una misura, considera i punteggi del gap assessment come base di evidenza di partenza, non come parola finale.

Punteggio e gravità

Ogni controllo riceve un punteggio di attuazione e di documentazione; insieme compongono un punteggio di postura complessivo e una gravità per controllo (quanto è urgente la lacuna). Il cruscotto mostra la distribuzione, per vedere a colpo d’occhio se avete a che fare con poche lacune critiche o con molte superficiali.

Dalle lacune a un piano

Ogni lacuna può alimentare un’attività di remediation con un responsabile, una scadenza e una gravità — l’analisi non è quindi un report statico ma il punto di partenza di un elenco di lavori monitorato. Consultate Politiche e documenti per generare gli elaborati richiesti da una lacuna, e Multi-framework per proiettare lo stesso lavoro su ISO 27001 / NIST CSF / DORA.

Rivalutare

Eseguite l’analisi periodicamente e dopo ogni cambiamento significativo. L’articolo 21, paragrafo 1 di NIS2 si attende che le misure restino efficaci nel tempo — monitorate l’andamento dei vostri punteggi per dimostrarlo.

Per iniziare