NIS 2 — Checklist Gap Tecnici (art. 21) — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P2 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Mappare i gap tecnici rispetto alle misure di gestione del rischio cyber richieste dall'art. 21 della Direttiva NIS 2, con stato Presente/Parziale/Assente, azione e priorità. Gonzato è potenzialmente essential/important entity via manifatturiero (incl. obblighi sulla supply-chain). Questo documento è il ponte tra l'assessment tecnico e gli adempimenti normativi: non è consulenza legale, ma la fotografia tecnica su cui il legale/DPO costruirà la compliance formale.
Legenda
- Stato: Presente · Parziale · Assente
- Priorità: P0 (subito) · P1 (30gg) · P2 (90gg) · P3 (backlog)
1. Checklist misure art. 21
| # | Misura art. 21 | Requisito tecnico chiave | Stato | Azione | Priorità | Rif. documento |
|---|---|---|---|---|---|---|
| a | Policy di analisi del rischio e sicurezza SI | Risk assessment IT documentato e aggiornato | Presente/Parziale/Assente | [da compilare] | P1 | — |
| b | Gestione degli incidenti | Procedura rilevazione/gestione/notifica (24h early warning) | Presente/Parziale/Assente | [da compilare] | P1 | dr-plan-runbook.md |
| c | Continuità operativa e backup/DR | Backup 3-2-1, copia immutabile, restore testato, RPO/RTO | Presente/Parziale/Assente | [da compilare] | P0 | backup-dr-assessment.md, dr-plan-runbook.md |
| d | Sicurezza supply-chain | Requisiti sicurezza verso fornitori/ICT | Presente/Parziale/Assente | [da compilare] | P2 | — |
| e | Sicurezza in acquisizione/sviluppo/manutenzione + gestione vulnerabilità | Patch management + registro vulnerabilità + disclosure | Presente/Parziale/Assente | [da compilare] | P1 | patch-vulnerability-mgmt.md |
| f | Policy per valutare efficacia delle misure | Audit/review periodici delle misure | Presente/Parziale/Assente | [da compilare] | P2 | — |
| g | Igiene informatica di base e formazione | Awareness, gestione asset, hardening baseline | Presente/Parziale/Assente | [da compilare] | P1 | security-baseline-hardening.md |
| h | Crittografia e cifratura | Cifratura at-rest (dischi) e in-transit (VPN/TLS) | Presente/Parziale/Assente | [da compilare] | P1 | security-baseline-hardening.md |
| i | Sicurezza risorse umane + access control + asset | RBAC, least-privilege, JML | Presente/Parziale/Assente | [da compilare] | P1 | iam-policy.md |
| j | MFA / autenticazione a più fattori e comunicazioni sicure | MFA admin+utenti critici, comunicazioni protette | Presente/Parziale/Assente | [da compilare] | P0 | security-baseline-hardening.md |
2. Focus quick-win P0 (rischio-politico basso)
| Gap | Stato attuale | Azione immediata | Rischio-politico |
|---|---|---|---|
| MFA admin | [da compilare] | Attivare MFA su tutti gli account privilegiati | Basso |
| Backup testato | [da compilare] | Eseguire primo test restore | Basso |
| Copia backup immutabile | [da compilare] | Attivare object-lock/air-gap | Basso |
| SMBv1 / auth legacy | [da compilare] | Disabilitare | Basso |
| Account orfani | [da compilare] | Censire e disabilitare | Basso |
3. Adempimenti organizzativi (fuori scope tecnico, da girare a Direzione/legale)
- ☐ Verifica formale se il Gruppo è essential/important entity e per quali società
- ☐ Registrazione presso l'autorità competente (se dovuta)
- ☐ Responsabilità dell'organo di gestione (formazione board)
- ☐ Procedura di notifica incidenti agli enti (tempistiche di legge)
- ☐ Requisiti contrattuali di sicurezza verso i fornitori ICT
Nota: questa sezione è promemoria di coordinamento, non un adempimento eseguibile dall'IT da solo.
4. Sintesi stato
| Priorità | # gap Assente | # gap Parziale | # gap Presente |
|---|---|---|---|
| P0 | [da compilare] | ||
| P1 | |||
| P2/P3 |
Prossimi passi
[da compilare: chiudere i P0 quick-win, portare la sintesi alla Direzione, allineare gli adempimenti organizzativi con legale/DPO]