Gap analysis NIS2: come valutare il livello di conformità
Risposta rapida
La gap analysis NIS2 e il passaggio che trasforma la normativa in un piano operativo. Non serve a produrre un punteggio estetico, ma a capire dove l’organizzazione e scoperta, quali evidenze mancano, quali rischi sono più urgenti e quali azioni devono essere finanziate.
Scoping guidato, controlli ACN, gap analysis e report audit-ready.
Perché una gap analysis seria non e un questionario veloce
Molte aziende iniziano con un questionario di autovalutazione. E utile, ma non sufficiente. Una vera gap analysis combina interviste, analisi documentale, verifica tecnica, evidenze, maturità dei controlli e impatto business. Il risultato deve essere difendibile: se un auditor o un cliente chiede perché un controllo e considerato “parziale”, la risposta deve essere supportata da prove.
Per questo la gap analysis non dovrebbe essere un PDF statico prodotto una volta. Dovrebbe essere un oggetto vivo dentro GAPOFF NIS2, aggiornato quando cambiano asset, fornitori, incidenti, policy o fonti ufficiali.
Le fasi metodologiche
Una gap analysis robusta segue cinque fasi.
- Scoping: verificare perimetro, società, sedi, servizi, clienti, fornitori e settori.
- Raccolta evidenze: policy, log, backup test, asset inventory, contratti, report tecnici.
- Interviste: IT, security, DPO, legale, operations, direzione, fornitori critici.
- Valutazione controllo: stato, maturità, rischio, evidenza, owner, applicabilita.
- Output operativo: remediation, priorità, budget, scadenze, report executive.
Senza la fase 1, la gap analysis può valutare controlli sbagliati. Senza la fase 2, resta opinione. Senza la fase 5, non produce cambiamento.
Scoring: utile ma pericoloso se isolato
Lo score e utile per comunicare al management, ma può diventare fuorviante. Un 72% di conformità non dice se manca un controllo critico su incident response o se i fornitori ad alto rischio non sono valutati. Per questo lo scoring deve essere accompagnato da heatmap, priorità, gap critici e note di rischio.
Una dashboard efficace dovrebbe mostrare almeno: score globale, score per area, controlli non applicabili motivati, gap critici, evidenze mancanti, remediation aperte, trend di miglioramento e rischi residui accettati.
Evidenze e interviste devono dialogare
Un’intervista può dire “i backup vengono testati”. L’evidenza deve mostrare quando, da chi, con quale esito e su quali sistemi. Un responsabile può dire “i fornitori sono valutati”; l’evidenza deve mostrare registro fornitori, questionari, scoring, clausole e revisioni.
La gap analysis matura non cerca di smentire le persone, ma di trasformare dichiarazioni in prove. Questo e particolarmente importante per contenuti YMYL: dichiarazioni senza evidenze sono deboli anche per la credibilita SEO.
Dal gap al piano
Il vero output della gap analysis non e la diagnosi, ma il piano. Ogni gap deve generare almeno una decisione: correggere, compensare, accettare temporaneamente, non applicare motivando, o rimandare con rischio documentato. Questa logica collega l’articolo al Piano di remediation NIS2.
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo NIS2 →
FAQ
Quanto dura una gap analysis NIS2?
Dipende da dimensione, perimetro, numero di sedi, fornitori, sistemi e maturità documentale. Una PMI può richiedere pochi giorni; gruppi complessi richiedono fasi progressive.
Serve una verifica tecnica o basta documentale?
Per una valutazione seria servono entrambe. La documentazione mostra governance; la verifica tecnica conferma che le misure esistono davvero.
Lo score di conformità e sufficiente?
No. Lo score aiuta a comunicare, ma deve essere accompagnato da evidenze, rischi critici e remediation.
GAPOFF può essere usato da consulenti per più clienti?
Si, il posizionamento GAPOFF include gestione multi-organizzazione nei piani per consulenti e CISO.
Scoping soggetti essenziali/importanti, 47 controlli ACN, gap analysis, remediation con owner e scadenze, portale fornitori, incidenti 24/72h, report audit-ready. Cross-mapping automatico con GDPR, ISO 27001 e DORA.
Vai al modulo NIS2 →Fonti ufficiali e riferimenti utili
- ACN - Portale NIS
- ACN - Modalità e specifiche di base
- ACN - La normativa NIS
- EUR-Lex - Direttiva (UE) 2022/2555
- Gazzetta Ufficiale - D.Lgs. 138/2024
- ENISA - NIS2 Technical Implementation Guidance
- GAPOFF - Modulo NIS2
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, organizzativa o di conformità personalizzata. Per determinare obblighi, responsabilità, perimetro NIS2 e misure da adottare nel caso concreto, e necessario svolgere una valutazione specifica con professionisti qualificati e consultare le fonti ufficiali aggiornate.
FAQ
Quanto dura una gap analysis NIS2?
Dipende da dimensione, perimetro, numero di sedi, fornitori, sistemi e maturità documentale. Una PMI può richiedere pochi giorni; gruppi complessi richiedono fasi progressive.
Serve una verifica tecnica o basta documentale?
Per una valutazione seria servono entrambe. La documentazione mostra governance; la verifica tecnica conferma che le misure esistono davvero.
Lo score di conformità e sufficiente?
No. Lo score aiuta a comunicare, ma deve essere accompagnato da evidenze, rischi critici e remediation.
GAPOFF può essere usato da consulenti per più clienti?
Si, il posizionamento GAPOFF include gestione multi-organizzazione nei piani per consulenti e CISO.
Ultima revisione: 2026-05-19.