NIS2 Gap-Scan Express · Valutazione conformità art. 21 con IA difensiva
Valutazione NIS2 art. 21 (10 misure tecniche e organizzative) con stack IA difensiva proprio e firma personale del responsabile. Diagnosi, piano prioritizzato e memo direzione in quattro settimane.
NIS2 Gap-Scan Express
Diagnosi di conformità NIS2 art. 21 in quattro settimane, con IA difensiva multi-modello e firma umana del responsabile
La direttiva NIS2 (Direttiva UE 2022/2555) copre in Spagna circa dodicimila entità come essenziali o importanti e obbliga all'implementazione di dieci misure tecniche e organizzative concrete (art. 21). Il recepimento spagnolo avanza su due percorsi paralleli: il Decreto Reale-Legge 7/2025 già in vigore con obblighi parziali e l'Anteproietto di Legge di Coordinamento e Governance della Cybersicurezza in iter legislativo. Le sanzioni potenziali raggiungono i dieci milioni di euro o il due per cento del fatturato globale, con responsabilità personale dei dirigenti.
OCIRIA NIS2 Gap-Scan Express consegna in quattro settimane una diagnosi tecnica della conformità art. 21, una mappa prioritizzata di rilievi e un memo esecutivo redatto per la direzione. Tutta l'analisi viene realizzata con uno stack proprio di IA difensiva multi-modello (Claude Haiku, Sonnet e Opus in triangolazione) sotto la supervisione e la firma personale del responsabile di Ibida Black Level S.L.
Cosa copre esattamente
L'analisi gap valuta le dieci misure stabilite all'art. 21 della direttiva:
1. Politica di analisi e gestione dei rischi.
2. Gestione degli incidenti (rilevamento, comunicazione e risposta).
3. Continuità operativa: backup, disaster recovery e gestione delle crisi.
4. Sicurezza della catena di approvvigionamento.
5. Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi.
6. Politiche e procedure per valutare l'efficacia delle misure.
7. Igiene di base: pratiche, formazione e sensibilizzazione.
8. Crittografia e cifratura, ove applicabile.
9. Sicurezza delle risorse umane, politica di controllo degli accessi, gestione degli asset.
10. Autenticazione a più fattori e comunicazioni sicure.
Per ogni misura, identifichiamo lo stato attuale, la distanza fino alla conformità, lo sforzo indicativo per colmarla e la priorità relativa in funzione della Sua organizzazione.
Perché questo servizio esiste
Le società di consulenza tradizionali affrontano NIS2 con template di due mesi, team da quattro a sei persone e deliverable di cento slide che la direzione non finisce mai di leggere. Le Big4 lo fanno ancora più caro e più lento. La realtà è che la maggior parte delle entità ha bisogno prima di sapere dove si trova, non di ricevere un piano a dodici mesi prima di aver visto il primo rilievo.
OCIRIA sfrutta l'IA difensiva per realizzare l'analisi tecnica che un team umano richiederebbe quaranta o sessanta ore, in una frazione del tempo. Ciò che l'IA non decide è nessun deliverable materiale: la mappa dei rilievi, la prioritizzazione e il memo esecutivo sono firmati personalmente dal responsabile umano. L'IA accelera; non sostituisce.
Come lavoriamo · quattro settimane, tre deliverable
Settimana 1 · Perimetro e raccolta. Riunione iniziale (quarantacinque minuti) per comprendere settore, dimensione, criticità, dipendenze ed esposizione pregressa. Raccolta delle informazioni minime necessarie senza accesso a sistemi in produzione: domini, infrastruttura email, esposizione pubblica nota, eventuale politica di sicurezza esistente, organigramma rilevante.
Settimana 2 · Analisi IA multi-modello + validazione umana. Triangolazione tra tre modelli Claude (Haiku per la classificazione, Sonnet per la correlazione, Opus per l'analisi critica). Rilevamento delle discrepanze tra modelli come segnale di rischio da investigare manualmente. Verifica della superficie pubblica (OSINT difensivo: sottodomini, leak indicizzati, configurazione DNS/SPF/DMARC, header HTTP, certificazione, esposizione Shodan/Censys). Analisi del gap normativo misura per misura.
Settimana 3 · Incrocio con la realtà operativa. Sessione tecnica (da sessanta a novanta minuti) con il responsabile interno (se esiste) o con la direzione per validare i rilievi, colmare le lacune che i modelli non vedono (procedure interne, contratti con fornitori, formazione svolta) e prioritizzare.
Settimana 4 · Deliverable firmati. Tre documenti: report tecnico esteso con rilievi dettagliati e prove riproducibili, mappa prioritizzata di misure con sforzo e scadenza indicativi, e memo esecutivo di tre pagine redatto affinché la direzione possa portarlo al consiglio o al comitato di audit. Tutti firmati personalmente dal responsabile di Ibida Black Level S.L.
Prezzi
OCIRIA NIS2 Gap-Scan ha tre livelli, a seconda della profondità e dell'accompagnamento successivo:
| Livello | Prodotto | Prezzo | Tempi |
|---|---|---|---|
| Express | Analisi gap art. 21 + mappa prioritizzata + memo direzione | 3.500 € | 4 settimane |
| Standard | Express + roadmap dodici mesi + tabletop incidente | 6.500 € | 5-6 settimane |
| Premium | Standard + accompagnamento mensile sei mesi | 12.900 € | 4 settimane + 6 mesi |
I prezzi sono indicativi per PMI (fino a duecentocinquanta dipendenti) e mid-market standard. Per gruppi consolidati, infrastruttura multi-sede o settori con normativa aggiuntiva (salute, energia, acqua, finanza) adattiamo perimetro e budget nella riunione iniziale.
Modalità di pagamento. Cinquanta per cento all'avvio, cinquanta per cento alla consegna del memo esecutivo. Nessuna penale se dopo la riunione iniziale decidiamo che il servizio non si adatta alla Sua situazione.
Per chi è
- Entità essenziali sotto NIS2: trasporti, energia, salute, acqua, infrastruttura digitale, pubblica amministrazione, spazio.
- Entità importanti sotto NIS2: servizi postali, gestione dei rifiuti, prodotti chimici, alimentazione, manifattura, piattaforme digitali, ricerca.
- Aziende mid-market che forniscono servizi a entità NIS2 e ricevono questionari obbligatori di conformità da clienti regolamentati.
- Gruppi consolidati che devono unificare la postura NIS2 tra diverse filiali prima del consiglio.
Se ha dubbi su se NIS2 Le si applica, la riunione iniziale è gratuita e chiariremo questo punto in trenta minuti.
Per chi NON è
- Aziende che hanno già un CISO interno con dedicazione completa e un team di sicurezza di tre o più persone. In quel caso, ciò di cui probabilmente ha bisogno è un AI Red Team del Suo stack interno, non un'analisi gap esterna.
- Aziende che cercano un timbro rapido per superare un processo di vendita e non vogliono un'analisi reale. OCIRIA non firma report in cui non ci siano rilievi verificabili.
- Settori dove la normativa applicabile è chiaramente un'altra (settore finanziario DORA con dedicazione specifica, GDPR puro senza componente NIS2).
Casi tipici
Caso 1 · L'ospedale privato mid-market. Centro medico con duecentoquaranta dipendenti, assistenza in presenza e telemedicina, due sedi e una cartella clinica elettronica esternalizzata. Gap-Scan rivela l'assenza di una procedura formale di gestione degli incidenti, doppio fattore solo sull'account amministrativo, politica di backup senza verifica periodica e quattro fornitori TIC senza clausole NIS2 nel contratto. Memo esecutivo: conformità stimata al sessantacinque per cento; piano di sei mesi per raggiungere l'ottantacinque per cento con budget indicativo aggiuntivo di dodicimila euro.
Caso 2 · L'azienda di trattamento delle acque. Operatore regionale sotto OUG 155/2024 (recepimento rumeno NIS2). Gap-Scan identifica DMARC a p=none, pannelli cPanel esposti in hosting condiviso con domini di terzi, portale clienti senza doppio fattore né HSTS. Memo direzione: tre misure critiche che possono essere chiuse in settantadue ore, sette misure con un piano di tre mesi, conclusione chiara se l'entità supererebbe un primo controllo.
Caso 3 · Il fornitore industriale di servizi essenziali. Azienda manifatturiera che vende a un'entità NIS2 essenziale e riceve un questionario obbligatorio di conformità. Gap-Scan è orientato a rispondere a quel questionario con prove: le domande a cui si può rispondere con la conformità attuale, quelle che richiedono azione e quelle che necessitano di una clausola contrattuale con il cliente regolamentato.
Come iniziare
Il primo passo è una riunione iniziale gratuita di quarantacinque minuti. Le spieghiamo come funziona la metodologia, quali rilievi tipici troviamo con un'azienda del Suo profilo e Le diciamo sinceramente se il Gap-Scan Le porta valore o se la Sua situazione richiede altro.
Se andiamo avanti, il contratto è di una sola pagina e il calendario è di quattro settimane dalla firma.
Ci scriva a [email protected]