NIS2 Gap-Scan Express · Evaluarea conformității art. 21 cu IA defensivă
Evaluare NIS2 art. 21 (10 măsuri tehnice și organizatorice) cu stack IA defensivă propriu și semnătura personală a responsabilului. Diagnostic, plan prioritizat și memo pentru consiliu în patru săptămâni.
NIS2 Gap-Scan Express
Diagnostic de conformitate NIS2 art. 21 în patru săptămâni, cu IA defensivă multi-model și semnătură umană a responsabilului
Directiva NIS2 (Directiva UE 2022/2555) acoperă aproximativ douăsprezece mii de entități în Spania ca esențiale sau importante și obligă la implementarea a zece măsuri tehnice și organizatorice concrete (art. 21). Transpunerea spaniolă avansează pe două căi paralele: Decretul Regal-Lege 7/2025 deja în vigoare cu obligații parțiale și Proiectul de Lege de Coordonare și Guvernanță a Securității Cibernetice în curs de adoptare. Sancțiunile potențiale ating zece milioane de euro sau două procente din cifra de afaceri globală, cu răspundere personală a directorilor.
OCIRIA NIS2 Gap-Scan Express livrează în patru săptămâni un diagnostic tehnic al conformității art. 21, o hartă prioritizată de constatări și un memo executiv redactat pentru conducere. Toate analizele se realizează cu un stack propriu de IA defensivă multi-model (Claude Haiku, Sonnet și Opus în triangulare) sub supervizarea și semnătura personală a responsabilului de la Ibida Black Level S.L.
Ce acoperă exact
Analiza gap evaluează cele zece măsuri stabilite în art. 21 al directivei:
1. Politică de analiză și gestionare a riscurilor.
2. Gestionarea incidentelor (detecție, comunicare și răspuns).
3. Continuitatea afacerii: copii de siguranță, recuperare în caz de dezastru și gestionarea crizelor.
4. Securitatea lanțului de aprovizionare.
5. Securitatea în achiziția, dezvoltarea și întreținerea sistemelor.
6. Politici și proceduri pentru evaluarea eficacității măsurilor.
7. Igienă de bază: practici, formare și conștientizare.
8. Criptografie și cifrare, după caz.
9. Securitatea resurselor umane, politică de control al accesului, gestionarea activelor.
10. Autentificare multifactor și comunicații securizate.
Pentru fiecare măsură, identificăm starea actuală, distanța până la conformitate, efortul orientativ pentru a o închide și prioritatea relativă în funcție de organizația Dvs.
De ce există acest serviciu
Consultanții tradiționali abordează NIS2 cu șabloane de două luni, echipe de patru până la șase persoane și livrabile de o sută de diapozitive pe care conducerea nu le termină de citit. Cele Big4 fac asta și mai scump și mai lent. Realitatea este că majoritatea entităților are nevoie în primul rând să știe unde se află, nu să primească un plan de douăsprezece luni înainte de a vedea prima constatare.
OCIRIA valorifică IA defensivă pentru a realiza analiza tehnică pe care o echipă umană ar necesita patruzeci sau șaizeci de ore, într-o fracțiune din timp. Ceea ce IA nu decide este niciun livrabil material: harta de constatări, prioritizarea și memo-ul executiv sunt semnate personal de responsabilul uman. IA accelerează; nu înlocuiește.
Cum lucrăm · patru săptămâni, trei livrabile
Săptămâna 1 · Scop și colectare. Întâlnire inițială (patruzeci și cinci de minute) pentru a înțelege sectorul, dimensiunea, criticitatea, dependențele și expunerea anterioară. Colectarea informațiilor minime necesare fără acces la sisteme live: domenii, infrastructură de email, expunere publică cunoscută, politică de securitate actuală dacă există, organigramă relevantă.
Săptămâna 2 · Analiză IA multi-model + validare umană. Triangulare între trei modele Claude (Haiku pentru clasificare, Sonnet pentru corelare, Opus pentru analiză critică). Detectarea discrepanțelor între modele ca semnal de risc de investigat manual. Verificarea suprafeței publice (OSINT defensiv: subdomenii, scurgeri indexate, configurație DNS/SPF/DMARC, headere HTTP, certificare, expunere Shodan/Censys). Analiza gap normativ măsură cu măsură.
Săptămâna 3 · Încrucișare cu realitatea operațională. Sesiune tehnică (șaizeci până la nouăzeci de minute) cu responsabilul intern (dacă există) sau cu conducerea pentru a valida constatările, a completa lacunele pe care modelele nu le văd (proceduri interne, contracte cu furnizori, formare realizată) și pentru a prioritiza.
Săptămâna 4 · Livrabile semnate. Trei documente: raport tehnic extins cu constatări detaliate și dovezi reproductibile, hartă prioritizată de măsuri cu efort și termen orientativ, și memo executiv de trei pagini redactat astfel încât conducerea să îl poată prezenta consiliului sau comitetului de audit. Toate semnate personal de responsabilul de la Ibida Black Level S.L.
Prețuri
OCIRIA NIS2 Gap-Scan are trei niveluri, în funcție de profunzime și însoțirea ulterioară:
| Nivel | Produs | Preț | Termen |
|---|---|---|---|
| Express | Analiză gap art. 21 + hartă prioritizată + memo conducere | 3.500 € | 4 săptămâni |
| Standard | Express + foaie de parcurs douăsprezece luni + tabletop incident | 6.500 € | 5-6 săptămâni |
| Premium | Standard + însoțire lunară șase luni | 12.900 € | 4 săptămâni + 6 luni |
Prețurile sunt orientative pentru IMM-uri (până la două sute cincizeci de angajați) și mid-market standard. Pentru grupuri consolidate, infrastructură multi-sediu sau sectoare cu reglementare suplimentară (sănătate, energie, apă, finanțe) ajustăm domeniul de aplicare și bugetul la întâlnirea inițială.
Modalitate de plată. Cincizeci la sută la început, cincizeci la sută la livrarea memo-ului executiv. Fără penalizare dacă după întâlnirea inițială decidem că serviciul nu se potrivește situației Dvs.
Pentru cine este
- Entități esențiale sub NIS2: transport, energie, sănătate, apă, infrastructură digitală, administrație publică, spațiu.
- Entități importante sub NIS2: servicii poștale, gestionarea deșeurilor, produse chimice, alimentație, producție, platforme digitale, cercetare.
- Companii mid-market care prestează servicii entităților NIS2 și primesc chestionare obligatorii de conformitate de la clienți reglementați.
- Grupuri consolidate care trebuie să unifice postura NIS2 între mai multe filiale înainte de consiliu.
Dacă aveți îndoieli cu privire la dacă NIS2 vi se aplică, întâlnirea inițială este gratuită și clarificăm această chestiune în treizeci de minute.
Pentru cine NU este
- Companii care au deja un CISO intern cu dedicare completă și o echipă de securitate de trei sau mai multe persoane. În acel caz, ceea ce aveți probabil nevoie este un AI Red Team al stivei interne, nu o analiză gap externă.
- Companii care caută un certificat rapid pentru a trece un proces de vânzare și nu doresc o analiză reală. OCIRIA nu semnează rapoarte în care nu există constatări verificabile.
- Sectoare în care reglementarea aplicabilă este în mod clar alta (sectorul financiar DORA cu dedicare specifică, GDPR pur fără componentă NIS2).
Cazuri tipice
Cazul 1 · Spitalul privat mid-market. Centru medical cu două sute patruzeci de angajați, îngrijire în persoană și telemedicină, două sedii și un dosar electronic de sănătate externalizat. Gap-Scan relevă absența unei proceduri formale de gestionare a incidentelor, autentificare cu doi factori doar pe contul administrativ, politică de copii de siguranță fără verificare periodică și patru furnizori TIC fără clauze NIS2 în contract. Memo executiv: conformitate estimată la șaizeci și cinci la sută; plan de șase luni pentru a atinge optzeci și cinci la sută cu un buget orientativ suplimentar de douăsprezece mii de euro.
Cazul 2 · Compania de tratare a apelor. Operator regional sub OUG 155/2024 (transpunerea română a NIS2). Gap-Scan identifică DMARC la p=none, panouri cPanel expuse în hosting partajat cu domenii ale terților, portal pentru clienți fără autentificare cu doi factori sau HSTS. Memo pentru conducere: trei măsuri critice care pot fi închise în șaptezeci și două de ore, șapte măsuri cu un plan de trei luni, concluzie clară dacă entitatea ar trece un prim control.
Cazul 3 · Furnizorul industrial de servicii esențiale. Companie producătoare care vinde unei entități NIS2 esențiale și primește chestionar obligatoriu de conformitate. Gap-Scan este orientat spre a răspunde la acel chestionar cu dovezi: întrebările la care se poate răspunde cu conformitatea actuală, cele care necesită acțiune și cele care necesită o clauză contractuală cu clientul reglementat.
Cum să începeți
Primul pas este o întâlnire inițială gratuită de patruzeci și cinci de minute. Vă explicăm cum funcționează metodologia, ce constatări tipice găsim cu o companie de profilul Dvs. și vă spunem sincer dacă Gap-Scan vă aduce valoare sau dacă aveți o situație care necesită altceva.
Dacă avansăm, contractul este de o singură pagină și calendarul este de patru săptămâni de la semnare.
Scrieți-ne la [email protected]