Gap assessment NIS2 per un operatore essenziale

Settore

Infrastruttura · operatore classificato come soggetto essenziale ai sensi di NIS2 · 200-500 dipendenti · operatività critica 24/7.

Situazione iniziale

Il recepimento nazionale di NIS2 obbligava l'organizzazione a raggiungere un livello di maturità concreto entro tempistiche definite, con sanzioni amministrative rilevanti in caso di non conformità. Il team interno conosceva la direttiva, ma non disponeva di una misurazione oggettiva della distanza reale dai requisiti applicabili.

Approccio

Abbiamo applicato un framework di valutazione derivato dai controlli NIS2 mappati su ISO 27001, ENS e linee guida nazionali del regolatore competente. Abbiamo coperto dieci domini: governance, gestione del rischio, continuità, crittografia, gestione degli accessi, supply chain, gestione incidenti, formazione, sicurezza fisica e reporting regolatorio. Ogni dominio è stato valutato tramite interviste, revisione documentale e verifica tecnica laddove applicabile. Abbiamo costruito un piano a sei mesi con pacchetti di lavoro trimestrali e responsabili definiti.

Risultato

Il gap iniziale era del 35% di conformità. Alla chiusura del piano a sei mesi l'organizzazione ha raggiunto il 92% di conformità sui controlli applicabili, con il restante 8% inserito in un piano documentato a 12 mesi per dipendenze di investimento.

Insegnamento

NIS2 non si supera con un progetto puntuale: si supera con un programma che l'organizzazione possa mantenere in produzione una volta uscito il consulente.

Tempo e impegno

Diagnostica 4-6 settimane · piano a 6 mesi · 120-180 ore di consulenza distribuite.

Tag

NIS2 · Compliance · Governance della sicurezza · ISO 27001 · Gestione del rischio · Operatore essenziale