# Analisi: Gap Analysis Art. 21 vs. misure di base ACN

> **Data:** 2026-06-01
> **Origine:** finding di un revisore sulla pagina guida cap. 5 ("Gap Analysis — le 10 misure dell'Art. 21").
> **Metodo:** verifica diretta sui documenti ACN ufficiali presenti nel repo (`docs/nis2/allegati_acn/Allegato{1,2,3,4}.txt`, PDF), sui 203 requisiti strutturati, sul questionario reale dell'app, con riscontro in rete sul sito ACN.
> **Esito:** il revisore ha ragione sul punto sostanziale. Modulo **Gap Analysis ACN** implementato (prod v1.13.0). Vedi `docs/sql/036_acn_gap_assessment.sql`, `application/controllers/AcnAssessmentController.php`, `application/data/acn_measures.json`, `public/acn-gap.html`.

---

## Il finding del revisore (trascrizione)

> Ha frainteso completamente il senso dell'Analisi GAP.
>
> La normativa prevede che alcune persone chiave dell'organigramma dimostrino di avere una preparazione / esperienza / certificazione adeguata al ruolo — REQUISITO GV.RR-04.
>
> Sempre la normativa prevede che questo controllo di 'adeguatezza al ruolo' venga formalizzato — REQUISITO GV.PO-01.
>
> ATTENZIONE: la codifica requisiti, che sono 43, è identica sia per soggetti IMPORTANTI che per gli ESSENZIALI; semplicemente per quest'ultimi, su alcuni requisiti, vi sono dei punti in più da rispettare.

---

## Verdetto sintetico

Il revisore **ha ragione**, e l'osservazione è di qualità: ha individuato il gap architetturale reale del prodotto e l'ha ancorato a due requisiti corretti, citati con la stessa logica della Tabella 1 della Determinazione ACN. Le uniche imprecisioni sono di contorno e non intaccano la sostanza.

---

## 1. "Ha frainteso il senso dell'Analisi GAP" → fondato, è il punto vero

La Gap Analysis dell'app (`application/data/nis2_questionnaire.json`, 80 domande, 10 categorie) è costruita sulle **10 lettere dell'Art. 21.2 NIS2** (a→j: risk, incidenti, continuità, supply-chain, ecc.). Questo è il livello **direttiva europea**: generico, di orientamento.

Ma in Italia il metro di conformità **non è** l'Art. 21 in astratto: è la **Determinazione ACN n. 164179 del 14/04/2025**, che declina quelle 10 famiglie in misure e requisiti puntuali con codifica del Framework Nazionale (GV/ID/PR/DE/RS/RC).

| | Misure | Requisiti |
|---|---|---|
| **Soggetti IMPORTANTI** (Allegato 1) | 37 | 87 |
| **Soggetti ESSENZIALI** (Allegato 2) | 43 (= 37 + 6) | 116 (= 87 + 29) |

L'autovalutazione che i soggetti NIS compilano per l'ACN si misura **contro questi 87/116 requisiti**, non contro 10 caselle. L'app, prima dell'intervento, faceva quindi una gap analysis *di primo livello* (utile per capire dove si è messi male) ma **non** la gap analysis di conformità ACN — quella che un CISO/consulente deve realmente produrre. Il revisore chiama questo "fraintendere il senso".

## 2. "GV.RR-04 — persone chiave devono dimostrare adeguatezza al ruolo" → vero nella sostanza, impreciso nei dettagli

Testo ufficiale (Allegato 2, §1.3.2) — GV.RR-04 *"La cybersecurity è inclusa nelle pratiche delle risorse umane"*:

- **punto 1:** il *personale autorizzato* ad accedere ai sistemi rilevanti è individuato *previa valutazione dell'esperienza, capacità e affidabilità*;
- **punto 2:** idem per gli *amministratori di sistema*.

Esiste quindi un requisito di idoneità/adeguatezza del personale al ruolo. Due precisazioni:

- Non sono "persone chiave dell'organigramma" (che evoca il top management): sono **il personale con accesso ai sistemi + gli amministratori di sistema** (profili tecnici/operativi).
- La norma dice *"esperienza, capacità e affidabilità"* — **non parla di "certificazione"**. La certificazione può essere *un* modo per dimostrarla, non un obbligo.

> Nota: gli *organi di amministrazione e direttivi* compaiono altrove — per **approvare** le misure (GV.RR-02 p.1, GV.PO-01 p.3) — e per la **formazione** del management (Art. 23 D.Lgs 138/2024). Cosa diversa da GV.RR-04.

## 3. "Il controllo di adeguatezza va formalizzato — GV.PO-01" → esatto, confermato dalla tabella ufficiale

GV.PO-01 impone politiche documentate; il punto 1.c) è proprio *"affidabilità delle risorse umane"*. La **Tabella 1 in appendice** all'Allegato mappa l'ambito così:

> **c) Affidabilità delle risorse umane** → GV.RR-04: punti 1, 2 e 4 · GV.PO-01: punti 1, 2 e 3.

Il revisore ha indicato **esattamente la coppia GV.RR-04 + GV.PO-01** che la norma stessa accoppia: dimostra di conoscere il documento.

## 4. "Codifica identica importanti/essenziali, agli essenziali si aggiungono punti" → corretto, con una imprecisione terminologica

Verificato sui 203 requisiti strutturati:

- **Codifica identica:** vero, gli stessi codici (GV.RR-04…) valgono per entrambi; le misure degli importanti sono un **sottoinsieme** di quelle degli essenziali (37 ⊂ 43).
- **6 misure solo per essenziali:** `ID.AM-03`, `PR.AT-02`, `PR.IR-03`, `PR.PS-01`, `PR.PS-03`, `RC.CO-03`.
- **16 misure con punti aggiuntivi** per gli essenziali. Esempio da manuale, proprio GV.RR-04: importanti = punti **1,2,3** / essenziali = punti **1,2,3,4,5**.
- ⚠️ **Imprecisione:** il revisore dice "i requisiti, che sono 43". **43 è il numero di _misure_**, non di requisiti (che sono 116 per gli essenziali, 87 per gli importanti). Confonde i due termini, ma il concetto è giusto.

---

## Riepilogo imprecisioni del revisore (di contorno)

| Affermazione | Realtà normativa |
|---|---|
| "persone chiave dell'organigramma" | personale con accesso ai sistemi + amministratori di sistema (GV.RR-04 p.1-2) |
| "certificazione adeguata al ruolo" | "esperienza, capacità e affidabilità" — la certificazione è una possibile evidenza, non un obbligo |
| "i requisiti, che sono 43" | 43 sono le **misure** (essenziali); i **requisiti** sono 116 (ess.) / 87 (imp.) |

Nessuna di queste intacca la correttezza del punto centrale.

---

## Conseguenza pratica (implementata)

È stato realizzato il modulo **Gap Analysis ACN** di secondo livello, affiancato a quello Art. 21 esistente:

- distinzione **importante vs essenziale** (il soggetto risponde solo ai punti che lo riguardano, filtrati da `organizations.entity_type`);
- mappatura punto-per-punto ai codici GV/ID/PR/DE/RS/RC con i **testi integrali** estratti dagli Allegati ufficiali;
- scoring complessivo + per funzione del Framework Nazionale, piano d'azione sui gap, analisi AI con grounding sui 203 requisiti ACN già in knowledge base;
- output allineato alla logica dell'autovalutazione del portale ACN.

**Numeri del dataset canonico** (`application/data/acn_measures.json`, validati a zero discrepanze):
importanti 37 misure / 87 requisiti · essenziali 43 misure / 116 requisiti.

---

## Fonti ufficiali consultate

- ACN — Modalità e specifiche di base NIS: <https://www.acn.gov.it/portale/en/nis/modalita-specifiche-base>
- ACN — Allegato 1 (soggetti importanti): <https://www.acn.gov.it/portale/documents/d/guest/detacn_nis_specifiche_2025_164179_allegato1>
- ACN — Allegato 2 (soggetti essenziali): <https://www.acn.gov.it/portale/documents/d/guest/detacn_nis_specifiche_2025_164179_allegato2>
- ACN — FAQ misure e notifiche di base: <https://www.acn.gov.it/portale/en/faq/nis/misure-notifiche-base>
- Repo: `docs/nis2/allegati_acn/Allegato{1,2,3,4}.txt` (testi ufficiali), `application/data/acn_measures.json` (87 importanti + 116 essenziali, testi integrali).

> ⚠️ **Da non confondere:** gli **Allegati 1 e 2** della Determinazione contengono le **misure di sicurezza** (importanti / essenziali). Gli **Allegati 3 e 4** contengono invece gli **incidenti significativi di base** (3 = importanti, 4 = essenziali). Riferimento incrociato: memoria `reference_acn_allegati`.