NIS2 Dashboard - Sistema di Gestione Cybersecurity

Monitoraggio conformità Direttiva NIS2 e requisiti di sicurezza informatica

Conformità Totale

94%
44 requisiti totali mappati
94

Governance

11
Requisiti implementati
100

Identificazione

10
Requisiti implementati
100

Protezione

16
Requisiti implementati
100

Rilevazione

2
Requisiti implementati
100

Risposta/Ripristino

4
Requisiti implementati
100
REQUISITI GOVERNANCE (GOVERN) ?
HELP DELLA SEZIONE
I requisiti di Governance stabiliscono il framework organizzativo per la gestione della cybersecurity. Include politiche, processi decisionali, gestione dei rischi, ruoli e responsabilità, e gestione della supply chain.
GV.OC-04
Elenco sistemi informativi e di rete rilevanti
Coperto da: Org.01 - Inventario Asset e Sistemi Rilevanti
Processo: Identificazione e classificazione sistemi rilevanti con approvazione Direzione
GV.RM-03
Processo di gestione dei rischi cyber
Coperto da: Org.05 - Gestione Rischi Cibernetici
Processo: Risk assessment ciclico con metodologia documentata
GV.RR-02
Ruoli e responsabilità cybersecurity
Coperto da: Org.03 - Struttura Organizzativa Cybersecurity
Processo: Organigramma con CISO, team, deleghe formali
GV.RR-04
Risorse per cybersecurity
Coperto da: Org.03 - Budget Cybersecurity
Processo: Budget annuale approvato CdA, monitoraggio trimestrale
GV.PO-01
Politica di sicurezza delle informazioni
Coperto da: Sistema Documentale - Politica Sicurezza
Processo: Politica approvata CdA, comunicata, revisione annuale
GV.PO-02
Ruoli e responsabilità definiti in politiche
Coperto da: Org.03 + Politica Sicurezza
Processo: Job description e RACI in politica
GV.SC-01
Processi supply chain cyber risk management
Coperto da: Org.02 - Gestione Catena Fornitura ICT
Processo: Qualificazione, contrattualizzazione, monitoraggio fornitori
GV.SC-02
Identificazione e prioritizzazione fornitori
Coperto da: Org.02 - Classificazione Fornitori (Tier 1/2/3)
Processo: Scoring e categorizzazione per criticità
GV.SC-04
Valutazione e monitoraggio fornitori
Coperto da: Org.02 - Audit Fornitori e KPI
Processo: Audit annuali, KPI mensili/trimestrali, scoring
GV.SC-05
Risposta a cambiamenti supply chain
Coperto da: Org.02 - Piano Continuità Fornitori
Processo: Scenari gestione crisi fornitore, backup provider
GV.SC-07
Protezione informazioni sensibili condivise
Coperto da: Org.02 - Clausole Contrattuali + PR.DS-01/02
Processo: NDA, crittografia, controllo accessi
REQUISITI IDENTIFICAZIONE (IDENTIFY) ?
HELP DELLA SEZIONE
I requisiti di Identificazione riguardano la conoscenza approfondita degli asset aziendali, dei sistemi, dei dati e dei rischi cyber. Include inventari completi, mappature di rete, analisi delle vulnerabilità e valutazione dei rischi.
ID.AM-01
Inventario asset fisici
Coperto da: Org.01 - Inventario Hardware
Processo: Censimento server, dispositivi, network equipment
ID.AM-02
Inventario asset software e sistemi
Coperto da: Org.01 - Inventario Software, Cloud, Applicazioni
Processo: Catalogo licenze, versioni, dipendenze
ID.AM-03SOLO ESSENZIALI
Diagrammi flussi dati e comunicazione
Coperto da: Org.01 - Diagrammi di Rete
Processo: Topologia, segmentazione, flussi critici
ID.AM-04
Catalogo servizi erogati
Coperto da: Org.01 - Sezione Servizi Erogati
Processo: Elenco servizi, criticità, dipendenze, utenti
ID.RA-01
Identificazione vulnerabilità e minacce
Coperto da: Org.05 - Fase 1 Risk Assessment
Processo: Vulnerability scanning, threat intelligence, analisi scenari
ID.RA-05
Valutazione probabilità e impatto rischi
Coperto da: Org.05 - Fase 2 Analisi Rischi (matrice 4x4)
Processo: Scoring probabilità/impatto, matrice rischio
ID.RA-06
Identificazione e prioritizzazione rischi
Coperto da: Org.05 - Classificazione e Prioritizzazione
Processo: Ranking rischi, prioritizzazione interventi
ID.RA-08
Risposta ai rischi (trattamento)
Coperto da: Org.05 - Fase 4 Trattamento Rischi
Processo: Strategie mitigazione/trasferimento/accettazione/evitamento
ID.IM-01
Gestione vulnerabilità
Coperto da: Org.06 - Processo Vulnerability Management
Processo: Scanning, assessment, prioritizzazione, patching
ID.IM-04
Gestione patch e aggiornamenti
Coperto da: Org.06 - Processo Patch Management
Processo: Inventario patch, testing, deployment, verifica
REQUISITI PROTEZIONE (PROTECT) ?
HELP DELLA SEZIONE
I requisiti di Protezione definiscono le misure tecniche e organizzative per salvaguardare sistemi e dati. Include gestione identità, formazione, crittografia, backup, piani di continuità e configurazioni sicure.
PR.AA-01
Gestione identità e autenticazione
Coperto da: Org.07 - Processo Identity & Access Management
Processo: Provisioning, autenticazione forte, gestione credenziali
PR.AA-03
Autenticazione multi-fattore (MFA)
Coperto da: Org.07 - Implementazione MFA
Processo: MFA su sistemi rilevanti, VPN, accessi privilegiati
PR.AA-05
Gestione accessi di rete
Coperto da: Org.08 - Network Access Control
Processo: Segmentazione, firewall, controllo accessi
PR.AA-06
Gestione identità fisiche e credenziali
Coperto da: Org.09 - Controllo Accessi Fisici
Processo: Badge, videosorveglianza, registro accessi
PR.AT-01
Formazione awareness generale
Coperto da: Org.04 - Formazione Tutti i Dipendenti
Processo: Corso iniziale 4h, aggiornamento 2h/anno, simulazioni phishing
PR.AT-02SOLO ESSENZIALI
Formazione specialistica ruoli privilegiati
Coperto da: Org.04 - Formazione CISO e Team (≥16h/anno)
Processo: Corsi tecnici, certificazioni, training specialistico
PR.DS-01
Protezione dati a riposo
Coperto da: Org.10 - Crittografia Dati
Processo: Encryption database, storage, backup
PR.DS-02
Protezione dati in transito
Coperto da: Org.10 - Crittografia Comunicazioni
Processo: TLS/SSL, VPN, protocolli sicuri
PR.DS-11
Backup e capacità di ripristino
Coperto da: Org.11 - Processo Backup e Restore
Processo: Backup sistemi rilevanti, test trimestrale, retention
PR.PS-01SOLO ESSENZIALI
Business Continuity Plan
Coperto da: Org.12 - Piano Continuità Operativa
Processo: BCP documentato, test annuale, procedure escalation
PR.PS-02
Disaster Recovery Plan
Coperto da: Org.13 - Piano Disaster Recovery
Processo: DR documentato, RTO/RPO, test semestrale (essenziali)/annuale (importanti)
PR.PS-03SOLO ESSENZIALI
Incident Response Plan
Coperto da: Org.14 - Piano Gestione Incidenti
Processo: IRP documentato, team, procedure, esercitazioni
PR.PS-04
Comunicazioni e operazioni coordinate
Coperto da: Org.15 - Protocollo Comunicazione Crisi
Processo: Escalation, comunicazione interna/esterna, coordinamento
PR.PS-06
Configurazioni sicure (hardening)
Coperto da: Org.16 - Baseline Configurazioni Sicure
Processo: Hardening guide, CIS benchmarks, controllo configurazioni
PR.IR-01
Reti e ambienti protetti
Coperto da: Org.08 - Architettura Rete Sicura
Processo: Segmentazione, DMZ, VLAN, micro-segmentation
PR.IR-03
Configurazioni gestite e controllate
Coperto da: Org.17 - Configuration Management
Processo: CMDB, change management, baseline
REQUISITI RILEVAZIONE (DETECT) ?
HELP DELLA SEZIONE
I requisiti di Rilevazione riguardano la capacità di identificare tempestivamente eventi e incidenti di sicurezza. Include monitoraggio continuo, analisi dei log, sistemi SIEM e capacità di threat detection.
DE.CM-01SIEM OBBLIGATORIO
Monitoraggio continuo reti e sistemi
Coperto da: Org.18 - Sistema Monitoraggio e SIEM
Processo: Monitoraggio 24/7, log management, alert
DE.CM-09
Rilevazione incidenti di sicurezza
Coperto da: Org.18 - Incident Detection
Processo: Correlation rules, anomaly detection, threat hunting
REQUISITI RISPOSTA E RIPRISTINO (RESPOND/RECOVER) ?
HELP DELLA SEZIONE
I requisiti di Risposta e Ripristino definiscono le azioni da intraprendere durante e dopo un incidente di sicurezza. Include contenimento, eradicazione, notifiche obbligatorie a CSIRT Italia, ripristino dei servizi e comunicazioni agli stakeholder.
RS.MA-01
Contenimento incidenti
Coperto da: Org.19 - Processo Incident Response - Contenimento
Processo: Isolamento, eradicazione, contenimento laterale
RS.CO-02
Notifica incidenti a CSIRT Italia
Coperto da: Org.20 - Processo Notifiche CSIRT
Processo: Valutazione significatività, notifica 24h, report 72h e finale
RC.RP-01
Ripristino sistemi e servizi
Coperto da: Org.21 - Processo Recovery
Processo: Ripristino da backup, validazione, ritorno operatività
RC.CO-03SOLO ESSENZIALI
Comunicazione ripristino a stakeholder
Coperto da: Org.22 - Comunicazione Post-Incidente
Processo: Informativa clienti, tempistiche, misure adottate
Accesso Rapido alle Sezioni Operative
Inventario Asset Gestione Rischi Struttura Organizzativa Supply Chain Formazione Monitoraggio Incident Response Politiche Identity & Access Crittografia Backup Business Continuity Disaster Recovery Vulnerability Mgmt Patch Management Notifiche CSIRT