NIS2 è una direttiva normativa dell'UE. NIST Cybersecurity Framework 2.0 è un framework volontario di origine statunitense, ormai largamente adottato anche in Europa. Condividono molta sostanza, ma rispondono a domande di audit diverse. Ecco la corrispondenza completa e la matrice decisionale.
Natura: Direttiva normativa UE (obbligatoria)
Chi: Soggetti essenziali / importanti in settori specifici
Ambito geografico: Solo UE
Certificazione: Nessuna certificazione — vigilanza delle autorità nazionali
Sanzioni: Fino a 10 M€ o al 2 % del fatturato
Governance: L'articolo 20 richiede la responsabilità dell'organo di direzione
Natura: Framework volontario di origine statunitense (NIST SP)
Chi: Qualsiasi organizzazione che desideri un programma cyber strutturato
Ambito geografico: Globale (forte adozione settore pubblico USA; adozione PMI UE in crescita)
Certificazione: Nessun organismo di certificazione NIST CSF ufficiale
Sanzioni: Nessuna — ma l'allineamento al framework è alla base di molti contratti USA (FedRAMP, DoD CMMC)
Governance: Funzione GV (Govern) aggiunta in CSF 2.0 (2024) — formalizza la supervisione dell'organo di direzione
Questa corrispondenza è attualmente in revisione indipendente da parte di un practitioner esterno NIST CSF. La mappatura riflette l'analisi tecnica di Reglyze; il badge « revisionato e firmato » apparirà qui alla chiusura dell'incarico.
Le 10 misure minime dell'articolo 21(2) di NIS2 e i doveri dell'organo di direzione (articolo 20) si distribuiscono sulle sei funzioni del NIST CSF 2.0. La versione 2.0 (2024) ha aggiunto la funzione GV (Govern), che assorbe gran parte della sostanza dell'articolo 20 di NIS2 — sostanza che le versioni precedenti del CSF faticavano a esprimere.
Il grado di sovrapposizione riflette quanto la sostanza dell'articolo NIS2 sia espressa dalle sottocategorie CSF 2.0 elencate.
Risk analysis and information system security policies
NIST CSF 2.0: GV.PO-01/02, GV.RM-01..06, ID.RA-01..10 — Organizational risk management strategy + policies + risk assessment process
Incident handling
NIST CSF 2.0: DE.AE-02..04, DE.CM-01/09, RS.MA-01/03, RS.AN-03, RS.CO-02, RS.MI-01/02 — Detection categories + Respond categories (Management, Analysis, Comms, Mitigation)
Business continuity and crisis management
NIST CSF 2.0: PR.IR-04, PR.DS-11, RC.RP-01..04, RC.CO-03 — Infrastructure resilience + backup + recovery planning + recovery communications
Supply chain security
NIST CSF 2.0: GV.SC-01..10, ID.SC-04..05 — Cybersecurity supply chain risk management — strategy, roles, suppliers, contracts
Security in acquisition, development and maintenance
NIST CSF 2.0: PR.PS-01..06, PR.IR-01, ID.IM-01/04 — Platform security configuration + improvement processes
Policies and procedures to assess effectiveness
NIST CSF 2.0: ID.IM-01..04, GV.OV-01..03 — Improvement (lessons learned + tests + plans) + Oversight
Basic cyber hygiene and training
NIST CSF 2.0: PR.AT-01/02, PR.PS-04/05 — Awareness and training categories
Cryptography and encryption
NIST CSF 2.0: PR.DS-01/02/10/11 — Data security: in-transit, at-rest, integrity, key management
HR security, access control, asset management
NIST CSF 2.0: PR.AA-01..05, ID.AM-01/02/05, GV.RR-04 — Authentication and access control + Asset management + Roles & responsibilities
MFA, secure communications, secure emergency comms
NIST CSF 2.0: PR.AA-03, PR.IR-01/04, PR.DS-02 — Strong authentication + secure infrastructure + data-in-transit
Board oversight and accountability
NIST CSF 2.0: GV.RR-01..03, GV.PO-01, GV.OV-01..03 — Roles & responsibilities + Policy + Oversight functions — the GV (Govern) function added in CSF 2.0
Management body training
NIST CSF 2.0: PR.AT-01/02, GV.RR-04 — Awareness + training + responsibility allocation
Sei al 75–85 % del percorso verso la conformità NIS2. Il tuo profilo CSF copre già la maggior parte delle 10 misure minime NIS2 (in particolare la nuova funzione GV per l'articolo 20).
Cosa manca ancora per NIS2:
Non hai bisogno di NIST CSF per essere conforme a NIS2. Ma adottare la struttura CSF come modello di lavoro può:
Se il budget è limitato, spedisci prima la conformità NIS2 (è l'obbligo legale), poi mappa le evidenze sulle funzioni CSF — gli stessi artefatti coprono entrambi.