Direttiva NIS2

Cos’è la gap analysis NIS2 (perché non è solo una “CheckList”)

La gap analysis NIS2 è il processo strutturato che confronta lo stato attuale dell’organizzazione con i requisiti della NIS2 (Decreto 138/2024 + specifiche di base ACN) e delle misure di sicurezza di base (Allegati 1 e 2).

Non è solo un foglio su cui annoto “Ho o NON Ho”.
È un sistema di valutazione tecnica, organizzativa e normativa che serve a:

Individuare scostamenti e lacune,
Prioritizzare gli interventi,
Definire un piano di adeguamento realistico,
Preparare l’asset per audit e controlli da parte di ACN e autorità di settore.

Fase 1: Definire scopo, perimetro e target

Prima di analizzare, bisogna sapere cosa si sta analizzando.

1.1 Quali Servizi / Aziende rientrano nella NIS2?

Verifica la Classificazione (soggetto essenziale o importante) tramite portale ACN e Registrazione NIS2.
Identifica i Servizi Critici (quelli la cui interruzione avrebbe impatto su Business, Clienti, PA, Fornitori).

1.2 Definisci il perimetro

Elenco dei Processi Aziendali coinvolti (es. gestione ordini, produzione, pagamento, servizi ICT).
Inventario dei Sistemi IT/OT (ERP, CRM, mail, sistemi di controllo, database, cloud, ecc.).
Lista dei fornitori critici (cloud, MSP, integrazione, SOC).

Fase 2: Raccogliere informazioni e documenti esistenti

La seconda fase è investigativa: capire dov’è si può “migliorare” o agire quindi “implementare”.

2.1 Documenti interni da raccogliere

Politica di sicurezza informatica e policy correlate (gestione utenti, backup, incidenti, fornitori, MFA).
Registri di vulnerabilità, test di penetrazione, esercitazioni, incidenti.
Procedure di gestione del rischio e matrici di rischio.
Contratti con fornitori (con clausole di sicurezza e incident reporting).
Registri di formazione per il personale e il management.

2.2 Informazioni da raccogliere tramite interviste

Chi fa cosa (responsabile IT, CISO, responsabile NIS, legal, comunicazione).
Quali controlli sono già in uso (MFA, logging, backup, patching, accessi privilegiati).
Quali incidenti sono stati gestiti negli ultimi 12–24 mesi e come.
Quali rischi vengono considerati “critici” e con quali misure di mitigazione.

Fase 3: confrontare stato attuale vs requisiti NIS2

Questa è la fase vera di “gap finding”.

3.1 Struttura della matrice di gap

Semplice tabella Excel (o Word) con colonne:

Requisito NIS2 (art./messa ACN)	Stato attuale	Evidenza (es. policy, registro, descrizione controllo)	Stato	Gap/Lacuna (descrizione)	Priorità (H/M/L)
MIS‑1 – Gestione utenze e MFA	MFA adottato su account amministrativi	Policy 01‑01, log di accesso	Compliant	Nessuno	H
MIS‑2 – Gestione vulnerabilità	Scan mensili, ma senza registro formalizzato	Report scan, ticket di Jira	Parzialmente conforme	Nessun registro centralizzato di vulnerabilità	H
MIS‑3 – Gestione incidenti	Nessun piano scritto; gestione “ad hoc”	Nessun documento	Non conforme	Mancanza di incident response plan	H

Esempio di modelli rapidi di gap analysis NIS2 che usano questa semplice struttura.

3.2 Requisiti chiave da mappare

Partire da:

Art. 20, 21, 22, 23, 24, 25 NIS2 (gestione del rischio, incidenti, continuità, backup, notifica).
Specifiche di base ACN (Allegati 1 e 2 – misure di sicurezza per soggetti essenziali/importanti).
- DetACN Allegato1& DetACN Allegato2
Linee guida ENISA sulla gestione degli incidenti e del rischio.

Fase 4: analisi dei gap e priorità di intervento

Una volta implementata la matrice, bisogna interpretarla e ordinarla.

4.1 Criteri di priorità

Classifica i gap in base a:

Criticità del requisito (es. MFA su account privilegiati vs policy di formazione annuale).procedure-ambientali-iso-14001+1
Gravità del rischio (possibilità di un incidente grave, impatto sulla business continuity, reputazione).
Tempistica di adeguamento (obblighi entro 18 mesi dalla comunicazione ACN, o entro 31 maggio 2026 per i soggetti importanti).ictsecuritymagazine+1

4.2 Esempi di priorità pratiche

Priorità alta (H):
- Mancanza di MFA su account privilegiati
- Assenza di Backup testati
- Nessun piano di gestione incidenti
- Nessun risk assessment documentato
Priorità media (M):
- Policy di gestione del rischio generica
- Registro delle vulnerabilità incompleto
- Contratti fornitori senza clausole NIS2
Priorità bassa (L):
- Policy di formazione non aggiornate
- Registro di audit interni parziale

Fase 5: Trasformare i gap in un piano di adeguamento

La gap analysis è utile solo se produce azioni.

5.1 Creare un piano di azione operativo

Per ogni gap con priorità H/M, va documentata:

Azione (es. “implementare MFA su tutti gli account privilegiati”)
Responsabile (chi lo fa in concreto),
Tempistica (es. completamento entro X settimane/mesi),
Risorse (budget, tool, personale).

Esempio di formato tabella:

Azione	Responsabile	Scadenza	Stato
Implementare MFA su account privilegiati	CISO / IT	30/06/2026	In corso
Aggiornare la policy di gestione del rischio	CISO	15/05/2026	In corso

Questa è la roadmap di adeguamento che molte guide e consulenti NIS2 usano per trasformare il report in pianificazione.

5.2 Mappare gli obblighi nei tempi

Usa la scadenza del 31 maggio 2026 per i soggetti importanti come roadmap limite per la maggior parte degli obblighi iniziali, e la scadenza dei 18 mesi dalla comunicazione ACN per i soggetti essenziali per la completa implementazione delle misure.servizieconsulting+1

Esempio di Checklist Operativa per la gap Analisi NIS2

Puoi fornire ai tuoi lettori una mini checklist pratica da usare in fase iniziale:

Identificare servizi critici e perimetro NIS.
Verificare classificazione ACN (essenziale/importante).
Raccogliere policy e procedure esistenti.
Intervistare chiavi (IT, CISO, legal, management).
Creare matrice di gap (requisiti NIS2 vs stato attuale).
Classificare i gap (H/M/L).
Definire azioni correttive e priorità.
Trasformare il gap in un piano di adeguamento con timeline.

Una versione simile è proposta in guide come Servizi Consulting – “Gap analysis NIS2: modello rapido”.servizieconsulting

Quando coinvolgere un consulente

La gap analysis NIS2 può essere condotta in‑house, ma molti PA e imprese complesse scelgono di farla supportare da consulenti:

Per guidare la valutazione con metodologie strutturate,
Per interpretare correttamente i requisiti normativi,
Per preparare al meglio il rapporto di non conformità e la roadmap operativa.

Ecco un modello Excel per gap analysis NIS2 che puoi usare direttamente come “mini template” da inserire nel tuo blog (puoi scaricarlo o replicare la struttura in Excel/OpenOffice/Google Sheets).

Struttura del foglio Excel

Puoi creare un solo foglio chiamato “Gap Analysis NIS2” con la seguente struttura (colonne):

ID Gap	Requisito NIS2	Stato attuale	Evidenza	Stato gap	Priorità	Azione correttiva	Responsabile	Scadenza	Stato azione

Descrizione delle colonne

ID Gap
Numero/identificativo del gap (es. GAP‑001, GAP‑002).
Requisito NIS2
Riferimento normativo o misura (es. Art. 21, MIS‑1 – Gestione utenze, MIS‑3 – Gestione incidenti).
Stato attuale
Descrizione sintetica di cosa è già in atto (es. “MFA adottato su account amministrativi”, “nessun piano di incident response scritto”).
Evidenza
Riferimento a documenti, registri, policy, procedure (es. Policy 01‑01, registro vulnerabilità, report di pentest, screenshot).
Stato gap
Opzioni:
- Compliant
- Parzialmente conforme
- Non conforme
Priorità
Opzioni: Alta (H) / Media (M) / Bassa (L).
Azione correttiva
Descrizione dell’azione necessaria (es. “implementare MFA su tutti gli account privilegiati”, “aggiornare la policy di gestione del rischio”, “creare un piano di incident response”).
Responsabile
Nome e ruolo del responsabile interno (es. CISO, IT, Legal).
Scadenza
Data di completamento prevista (es. 30/06/2026, 31/05/2026).
Stato azione
Status: Da avviare / In corso / Completata.

Come usare il modello in pratica

Inizia con i requisiti principali
- Inserisci i principali requisiti di Art. 20, 21, 22, 23, 24, 25 NIS2 (gestione del rischio, incidenti, continuità, backup, notifica).
- Aggiungi misure di base ACN (Allegati 1 e 2) che ti interessano (es. MIS‑1, MIS‑2, MIS‑3, ecc.).
Compila lo stato attuale
- Per ogni requisito, descrivi cosa hai già e cosa manca.
- Collega evidenze dove possibile (documenti, registri, policy, report, ecc.).
Classifica i gap
- Assegna una priorità (H/M/L) a ogni gap.
- Utilizza un filtro di priorità in Excel per concentrarti su priorità H (es. MFA mancante, nessun piano di incidenti, nessun backup testato).
Crea la roadmap
- Usa il foglio per generare automaticamente una roadmap (es. con una seconda tabella “Azioni prioritarie” filtrata solo su H/M).
- Trasforma la colonna Azione correttiva in un piano di adeguamento con scadenze realistiche.

Esempio di dati di gap nel modello

ID Gap	Requisito NIS2	Stato attuale	Evidenza	Stato gap	Priorità	Azione correttiva	Responsabile	Scadenza	Stato azione
GAP‑001	MIS‑1 – Gestione utenze e MFA	MFA adottato su account amministrativi	Policy 01‑01, log di accesso	Parzialmente conforme	H	Estendere MFA a tutti gli account privilegiati	CISO	30/06/2026	In corso
GAP‑002	MIS‑2 – Gestione vulnerabilità	Scan mensili, ma senza registro formalizzato	Report scan, ticket di Jira	Non conforme	H	Creare un registro vulnerabilità centralizzato	IT	15/07/2026	Da avviare
GAP‑003	MIS‑3 – Gestione incidenti	Nessun piano scritto; gestione “ad hoc”	Nessun documento	Non conforme	H	Creare un incident response plan	CISO	30/06/2026	In corso

Come ottenere un modello Excel già pronto

Template generale Gap Analysis Excel (Smartsheet)
→ Download Gap Analysis Excel Template – Smartsheet
NIS2 Maturity Gap Analysis (Inclus)
→ NIS2 Maturity Gap Analysis Template – Inclus

Link utili e fonti

Guida operativa Gap Analysis NIS2
→ Gap analysis NIS2 – Servizi Consulting
Gap Analysis per la conformità NIS2 e cybersecurity
→ Gap Analysis NIS2 – Winple
NIS2 per PA: come realizzare la gap analysis
→ NIS2 per PA – Culturedigitali
Come la gap analysis guida la conformità NIS2
→ Gap Analysis e conformità NIS2 – Procedure Ambientali ISO 14001

NIS – Modello operativo di “Documento di Conformità NIS2”

Conformità NIS2: documento, policy, risk assessment e vulnerabilità – guida operativa