← Indice pacchetto onboarding

NIS 2 — Checklist Gap Tecnici (art. 21) — Gonzato Group / Ind.i.a SpA

Pacchetto onboarding IT Gonzato · Fase P2 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda

Scopo

Mappare i gap tecnici rispetto alle misure di gestione del rischio cyber richieste dall'art. 21 della Direttiva NIS 2, con stato Presente/Parziale/Assente, azione e priorità. Gonzato è potenzialmente essential/important entity via manifatturiero (incl. obblighi sulla supply-chain). Questo documento è il ponte tra l'assessment tecnico e gli adempimenti normativi: non è consulenza legale, ma la fotografia tecnica su cui il legale/DPO costruirà la compliance formale.

Legenda

1. Checklist misure art. 21

#Misura art. 21Requisito tecnico chiaveStatoAzionePrioritàRif. documento
aPolicy di analisi del rischio e sicurezza SIRisk assessment IT documentato e aggiornatoPresente/Parziale/Assente[da compilare]P1
bGestione degli incidentiProcedura rilevazione/gestione/notifica (24h early warning)Presente/Parziale/Assente[da compilare]P1dr-plan-runbook.md
cContinuità operativa e backup/DRBackup 3-2-1, copia immutabile, restore testato, RPO/RTOPresente/Parziale/Assente[da compilare]P0backup-dr-assessment.md, dr-plan-runbook.md
dSicurezza supply-chainRequisiti sicurezza verso fornitori/ICTPresente/Parziale/Assente[da compilare]P2
eSicurezza in acquisizione/sviluppo/manutenzione + gestione vulnerabilitàPatch management + registro vulnerabilità + disclosurePresente/Parziale/Assente[da compilare]P1patch-vulnerability-mgmt.md
fPolicy per valutare efficacia delle misureAudit/review periodici delle misurePresente/Parziale/Assente[da compilare]P2
gIgiene informatica di base e formazioneAwareness, gestione asset, hardening baselinePresente/Parziale/Assente[da compilare]P1security-baseline-hardening.md
hCrittografia e cifraturaCifratura at-rest (dischi) e in-transit (VPN/TLS)Presente/Parziale/Assente[da compilare]P1security-baseline-hardening.md
iSicurezza risorse umane + access control + assetRBAC, least-privilege, JMLPresente/Parziale/Assente[da compilare]P1iam-policy.md
jMFA / autenticazione a più fattori e comunicazioni sicureMFA admin+utenti critici, comunicazioni protettePresente/Parziale/Assente[da compilare]P0security-baseline-hardening.md

2. Focus quick-win P0 (rischio-politico basso)

GapStato attualeAzione immediataRischio-politico
MFA admin[da compilare]Attivare MFA su tutti gli account privilegiatiBasso
Backup testato[da compilare]Eseguire primo test restoreBasso
Copia backup immutabile[da compilare]Attivare object-lock/air-gapBasso
SMBv1 / auth legacy[da compilare]DisabilitareBasso
Account orfani[da compilare]Censire e disabilitareBasso

3. Adempimenti organizzativi (fuori scope tecnico, da girare a Direzione/legale)

Nota: questa sezione è promemoria di coordinamento, non un adempimento eseguibile dall'IT da solo.

4. Sintesi stato

Priorità# gap Assente# gap Parziale# gap Presente
P0[da compilare]
P1
P2/P3

Prossimi passi

[da compilare: chiudere i P0 quick-win, portare la sintesi alla Direzione, allineare gli adempimenti organizzativi con legale/DPO]