Passa al contenuto

NIS2: Cybersecurity Assessment per la Gap Analisi

Il Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP) rappresenta uno strumento strategico per valutare lo stato di maturità della sicurezza informatica all'interno delle organizzazioni italiane. In particolare, il FNCDP è utile per condurre una gap analysis tra il profilo attuale di un'organizzazione e il profilo target desiderato, in linea con i requisiti normativi (es. NIS2, ACN) e gli obiettivi di resilienza.

Preparazione della gap an​alysis

Il primo passo consiste nella definizione del contesto:

  • Profilo attuale (AS-IS): è determinato attraverso interviste, raccolta documentazione, audit tecnici e analisi dei processi.
  • Profilo target (TO-BE): è definito sulla base di benchmark (es. aziende simili), normative (NIS2), policy aziendali o livelli di rischio accettabili.

​Strutturazione dell'analisi secondo il FNCDP

Il FNCDP è articolato su sei funzioni principali: Govern, Identify, Protect, Detect, Respond, Recover, ciascuna suddivisa in categorie e sottocategorie.

Per ogni sottocategoria, la valutazione include:

  • Presenza del controllo (esiste un processo/policy?)
  • Efficacia (il controllo funziona come previsto?)
  • Evidenze (esistono prove documentali o tecniche?)

Il confronto tra AS-IS e TO-BE è effettuato tramite punteggi (es. scala 1-5) e annotazioni qualitative.

Mappatura dei gap

I risultati vengono organizzati in una matrice che mostra:

  • Il livello attuale di maturità per ciascuna sottocategoria.
  • Il livello target desiderato.
  • Il gap (differenza) in termini quantitativi e qualitativi.
  • Le raccomandazioni per colmare ogni gap (azioni correttive, policy, strumenti).

Questa fase può essere supportata da strumenti visuali (es. radar chart) per facilitare la comprensione da parte del management.

Prioritizzazione degli interventi

Non tutti i gap hanno la stessa urgenza o criticità. Pertanto, si procede a:

  • Valutare il rischio associato al gap.
  • Stimare l'impatto sul business e sulla compliance.
  • Attribuire priorità (alta, media, bassa) agli interventi.

Questo consente di costruire un piano d'azione scalabile e sostenibile.

Elaborazione del piano di adeguamento

Il piano operativo derivante dalla gap analysis deve includere:

  • Le attività necessarie per raggiungere il livello target.
  • Le risorse coinvolte (persone, strumenti, budget).
  • Le tempistiche stimate.
  • I responsabili di ciascuna azione.

Il piano può essere integrato nei processi di miglioramento continuo e nei KPI di sicurezza.

Condividi articolo
Etichette
Archivio
Evoluzione della normativa AI Act
Regolamento UE 2024/1689 DEL Parlamento Europeo e del Consiglio del 13 giugno 2024