NIS2 Assessment gratuito · Autovalutazione di conformità in 15 minuti | OCIRIA
Quindici minuti. Trentadue domande. Saprete se NIS2 vi si applica, cosa vi richiede e da dove iniziare.
NIS2 Assessment
Sapete in quindici minuti come vi colpisce NIS2 e da dove iniziare
[Glossario: NIS2] è la Direttiva europea di cybersicurezza in vigore dall'ottobre 2024. Cambia le regole del gioco per migliaia di aziende che prima non avevano obblighi formali. Questo strumento gratuito vi posiziona a colpo d'occhio: se entrate nel perimetro, cosa vi richiede concretamente e quali sono le vostre lacune più urgenti.
[Pulsante: Iniziare valutazione]
---
Cos'è NIS2
La Direttiva NIS2 (Network and Information Security 2) amplia considerevolmente gli obblighi di cybersicurezza per le aziende europee. La sua predecessora, NIS1, copriva operatori di servizi essenziali (energia, trasporti, banca, sanità). NIS2 si estende a nuovi settori (servizi postali, gestione rifiuti, alimentare, manifattura), incorpora soggetti importanti oltre a quelli essenziali, alza l'asticella tecnica dei controlli richiesti e inasprisce le sanzioni per non conformità.
La trasposizione nazionale negli Stati membri UE è in corso. Le ispezioni si preparano. Le sanzioni amministrative possono raggiungere 10 milioni di euro o il 2% del fatturato globale per soggetti essenziali (7 milioni o 1,4% per importanti), oltre alla responsabilità personale della direzione in caso di non conformità grave.
Questo strumento non sostituisce un'analisi formale di conformità, ma vi dà la prima risposta operativa: mi si applica? cosa guardare per primo? sono lontano o vicino a conformarmi?
---
Perché è importante
Il calendario stringe. La direttiva è in vigore. La trasposizione nazionale è in corso o già fatta in vari Stati membri. Le autorità di controllo sono operative. La scadenza comoda di « ci guarderò dopo » non esiste più.
Le sanzioni sono materiali. Fino a 10 milioni di euro o il 2% del fatturato globale annuale per soggetti essenziali; fino a 7 milioni o 1,4% per importanti. La sanzione si accompagna frequentemente a misure correttive pubbliche che erodono la fiducia dei clienti.
La responsabilità arriva alla direzione. NIS2 introduce responsabilità esplicita dell'organo di direzione. Approvare le misure, supervisionare l'implementazione, ricevere formazione. Non si delega più interamente al dipartimento tecnico.
I vostri clienti chiederanno. Se il vostro cliente entra in NIS2 e gli prestate un servizio ICT rilevante, vi gireranno la domanda. Possono esigere nuove clausole contrattuali, evidenze di controlli, capacità di notificare incidenti in termini. Anticiparlo è vantaggio competitivo.
---
Cosa valuta l'assessment
Il questionario ha trentadue domande organizzate in cinque sezioni:
Sezione 1 · Perimetro e applicabilità (6 domande). Settore di attività, dimensione (dipendenti, fatturato), tipo di servizio prestato, presenza geografica. Risultato: conferma se siete soggetto essenziale, importante o fuori perimetro secondo la direttiva e la sua trasposizione nazionale.
Sezione 2 · Governance e gestione dei rischi (6 domande). Esistenza di politica di sicurezza approvata, assegnazione di responsabilità, formazione dell'organo di direzione, sistema di gestione dei rischi documentato, processi di revisione e miglioramento continuo.
Sezione 3 · Misure tecniche (8 domande). Gestione di accessi e identità, controllo di account privilegiati, registrazione e auditing, gestione delle vulnerabilità, segmentazione di rete, cifratura dei dati, continuità e ripristino, gestione della catena di approvvigionamento ICT.
Sezione 4 · Gestione degli incidenti (6 domande). Esistenza di piano di risposta documentato, team identificato e formato, criteri di notifica all'autorità nazionale nei termini NIS2 (allerta precoce 24h, notifica 72h, rapporto finale 1 mese), comunicazione agli utenti colpiti, test periodici del piano.
Sezione 5 · Catena di approvvigionamento e fornitori (6 domande). Inventario dei fornitori ICT critici, clausole contrattuali di sicurezza, valutazione periodica del rischio fornitore, capacità di risposta coordinata a incidente del fornitore.
Ogni domanda ha opzioni guidate con spiegazione contestuale; non dovete essere specialisti per rispondere.
---
Tempo stimato
Da dieci a quindici minuti per qualcuno con visione dell'organizzazione (gerente, direttore finanziario, responsabile IT o qualità). Potete salvare il progresso e continuare dopo se dovete consultare il vostro team.
---
Risultati che vedrete
Alla chiusura del questionario ottenete:
Verdetto di perimetro. Vi diciamo esplicitamente se NIS2 si applica, in quale categoria (soggetto essenziale · soggetto importante · fuori perimetro · zona grigia con spiegazione) e perché.
Punteggio globale di preparazione. Un punteggio 0-100 che stima come sta la vostra organizzazione rispetto alle richieste della direttiva. Include dettaglio per sezione con punti forti e deboli.
Grafico radar per sezione. Visualizzazione della vostra posizione relativa nelle cinque sezioni del questionario. Utile per mostrare alla direzione a colpo d'occhio dove concentrare lo sforzo.
Tre raccomandazioni top. Le tre azioni che avrebbero più impatto sul vostro livello di conformità, prioritizzate per rapporto sforzo-beneficio. Non una lista di cinquanta cose: le tre che davvero contano ora.
Piano di azione 90 giorni. Una guida concreta dei prossimi passi suggeriti nei prossimi tre mesi, con ordine ragionevole e riferimenti ad articoli concreti della direttiva.
Avvisi su lacune critiche. Se in qualche risposta appare una lacuna che la direttiva considera obbligatoria (per esempio, assenza totale di piano di risposta agli incidenti), la segnaliamo con priorità massima.
---
PDF scaricabile
Il risultato completo può essere scaricato come PDF di dieci-quindici pagine, con:
- Riassunto esecutivo per la direzione.
- Risultato per sezione con risposte date e commenti contestuali.
- Piano di azione 90 giorni dettagliato.
- Glossario di termini e riferimenti ad articoli della direttiva.
- Modello di monitoraggio per rivedere progresso trimestrale.
Il PDF è pensato per essere presentato a comitato direttivo senza ulteriore lavoro. Si scarica direttamente senza necessità di lasciare email. Se volete riceverlo anche per email, c'è un campo opzionale.
---
Per chi è
CISO o responsabile sicurezza che necessita una prima linea di base prima di un'analisi formale completa.
CTO o direttore tecnico di azienda media senza funzione sicurezza dedicata, che vuole capire l'esposizione prima di mettere a budget.
DPO o responsabile protezione dati che già conosce GDPR e necessita posizionare NIS2 rispetto a ciò che già gestisce.
CEO o direttore generale di PMI e mid-market che hanno sentito parlare di NIS2 e necessitano sapere, in linguaggio chiaro, cosa significa per la loro organizzazione.
Responsabile compliance o qualità che sta mappando obblighi regolatori e necessita incorporare NIS2 al cruscotto.
---
Domande frequenti
Sostituisce un'analisi formale di conformità?
No. È una prima mappa, non un'analisi esaustiva. Se dopo il risultato considerate di aver bisogno di una diagnosi profonda, possiamo parlare. Se il risultato vi dà il comfort che vi serve per gestire internamente, perfetto: lo strumento vi ha fatto risparmiare denaro e tempo.
Cosa fate con le mie risposte?
Se scaricate il PDF senza lasciare email, non conserviamo niente salvo statistiche aggregate anonime (quante aziende del vostro settore rispondono simile) per migliorare lo strumento. Se lasciate email, la usiamo solo per inviare il PDF e, se spuntate la casella specifica, per contattarvi con proposta. Senza newsletter automatica né cessione a terzi.
È aggiornato con la trasposizione nazionale?
Sì. Manteniamo lo strumento al giorno con la trasposizione in Spagna e monitoriamo le trasposizioni di altri Stati membri rilevanti. Se la trasposizione del vostro paese ha sfumature, le indichiamo nel risultato.
Posso salvare il progresso e tornare dopo?
Sì. Se interrompete il questionario, potete chiedere un link via email per riprendere dove avete lasciato. Le risposte si salvano cifrate per 30 giorni e poi si cancellano se non completate.
È davvero gratuito e senza trappola?
Sì. Risultato completo e PDF scaricabile gratuiti. L'opzione commerciale è volontaria: spuntate voi la casella se volete essere contattati. Se non la spuntate, non vi contattiamo.
Possono farlo vari membri della stessa azienda e confrontare risposte?
Sì. È una pratica che raccomandiamo: che il responsabile IT e il direttore generale rispondano separatamente e confrontino. I disaccordi rivelano di solito lacune di percezione che vale la pena discutere prima di iniziare a investire.
---
Volete andare oltre?
Se dopo l'assessment decidete di aver bisogno di accompagnamento per chiudere le lacune, possiamo parlare di una diagnosi formale o dell'opzione di vCISO mensile che diriga il programma di adattamento. Senza pressione: se lo strumento vi è stato utile così com'è, vi ha fatto risparmiare denaro. Quello è già guadagno.
Parliamone · [[email protected]](mailto:[email protected])
[Pulsante: Iniziare valutazione] · [Pulsante: Provate anche Email Scanner](/it/strumenti/email-scanner)