Skip to content
CyberXplore - Xplore the Unseen
Compliance & GRC

Readiness NIS2 e DORA

Preparati all'audit per la Direttiva NIS2 dell'UE e per il DORA con gap analysis guidate da senior, controlli di rischio ICT e test guidati dalle minacce.

Readiness snapshot - example.com
Esempio · Illustrativo
NIS2 / DORA · Governance controls
0 ready2 partial3 gaps
GOV-01Governance & risk management
PARTIAL
IAM-02Identity & access management
PARTIAL
MON-03Logging & monitoring
GAP
IR-04Incident response
GAP
TPR-05Third-party / supply-chain risk
GAP
Covered
Partial
Gap
Unassessed
Che cos'è NIS2 e DORA?

La readiness NIS2 e DORA è il processo strutturato di allineamento della tua organizzazione alla Direttiva NIS2 dell'UE (Direttiva (UE) 2022/2555) e al Digital Operational Resilience Act (Regolamento (UE) 2022/2554) - che copre la gestione del rischio ICT, la segnalazione obbligatoria degli incidenti, la supervisione della supply chain e delle terze parti e i test di resilienza operativa, incluso il threat-led penetration testing (TLPT). CyberXplore agisce come tuo partner di consulenza indipendente: i nostri consulenti senior, certificati OSCP/CRTP/CREST, conducono valutazioni pratiche dei gap, costruiscono le evidenze e la governance necessarie e realizzano TLPT mappati sul framework TIBER-EU. Siamo una società di consulenza specialistica in offensive security e compliance, non un'autorità nazionale competente - ti prepariamo davvero al controllo delle autorità di vigilanza, anziché venderti una checklist cartacea.

EU NIS2 Directive (2022/2555)DORA (Regulation 2022/2554)TIBER-EUISO 27001NIST CSFMITRE ATT&CK

Perché CyberXplore

  • Solo tester senior (OSCP, CRTP, CREST)
  • Certificazione ISO 27001 & ISO 9001
  • Retest gratuito + lettera di attestazione
  • Scope e preventivo su misura in 24 ore

Perché è importante

La NIS2 amplia drasticamente l'ambito a migliaia di soggetti 'essenziali' e 'importanti' nei settori energia, trasporti, sanità, infrastrutture digitali, finanza e fornitori di servizi gestiti - con l'alta dirigenza ritenuta personalmente responsabile e sanzioni fino a 10 milioni di EUR o al 2% del fatturato globale.

Il DORA impone obblighi vincolanti in materia di rischio ICT, segnalazione degli incidenti e test di resilienza ai soggetti finanziari e ai loro fornitori terzi critici di servizi ICT, con scadenze di segnalazione misurate in ore, non giorni.

Entrambi i regimi richiedono evidenze di resilienza operativa in condizioni di attacco reali - il TLPT avanzato del DORA e le aspettative di test della NIS2 non possono essere soddisfatti da sole scansioni automatizzate o autodichiarazioni.

Il rischio ICT della supply chain e delle terze parti è ora un obbligo di legge di primo piano: i regolatori si aspettano una supervisione documentata, controlli contrattuali e un'analisi del rischio di concentrazione sull'intero parco fornitori.

Allineato agli standard di settore: EU NIS2 Directive (2022/2555) · DORA (Regulation 2022/2554) · TIBER-EU · ISO 27001 · NIST CSF · MITRE ATT&CK

La nostra metodologia

  1. 01

    Applicabilità e Scoping

    Determiniamo se rientri nella NIS2 (soggetto essenziale o importante) e/o nel DORA (soggetto finanziario o terzo critico ICT), mappiamo i sistemi, servizi e dipendenze da fornitori in ambito e concordiamo gli obiettivi normativi del progetto.

  2. 02

    Valutazione dei Gap

    I nostri consulenti senior valutano il tuo attuale framework di gestione del rischio ICT, la governance, i processi di gestione degli incidenti e i test di resilienza rispetto agli Articoli 20-23 della NIS2 e ai cinque pilastri del DORA, producendo un registro dei gap prioritizzato con chiara attribuzione delle responsabilità.

  3. 03

    Roadmap di Remediation e Progettazione dei Controlli

    Traduciamo i gap in una roadmap di remediation pragmatica e classificata per rischio - definendo policy, trattamento del rischio, clausole contrattuali per le terze parti, workflow di classificazione e segnalazione degli incidenti e le evidenze che ciascun controllo deve generare.

  4. 04

    Threat-Led Penetration Testing (TLPT)

    Per il requisito di test avanzato del DORA conduciamo esercizi di red team guidati dall'intelligence, allineati a TIBER-EU e MITRE ATT&CK, emulando threat actor realistici contro le tue funzioni critiche per validare rilevamento, risposta e resilienza.

  5. 05

    Segnalazione degli Incidenti e Validazione della Resilienza

    Mettiamo alla prova la tua capacità di segnalazione degli incidenti rispetto alle tempistiche di DORA e NIS2 (allerta precoce, report intermedio e finale) e validiamo le disposizioni di business continuity e ripristino tramite esercitazioni tabletop e tecniche.

  6. 06

    Audit-Readiness e Pacchetto di Evidenze

    Assembliamo un pacchetto di evidenze pronto per la vigilanza, informiamo il tuo organo di gestione sui suoi obblighi di responsabilità e forniamo una rivalutazione per confermare la chiusura dei gap risolti prima di qualsiasi coinvolgimento di regolatori o auditor.

Cosa testiamo

  • Determinazione dell'applicabilità di NIS2 / DORA e classificazione del soggetto
  • Framework di gestione del rischio ICT, governance e responsabilità dell'organo di gestione
  • Rilevamento, classificazione e workflow e tempistiche di segnalazione obbligatoria degli incidenti
  • Supervisione del rischio della supply chain e delle terze parti ICT, contratti e rischio di concentrazione
  • Strategia di test di resilienza operativa digitale e progettazione del programma
  • Scoping del threat-led penetration testing (TLPT) allineato a TIBER-EU
  • Business continuity, risposta ICT e ripristino (backup, RTO/RPO)
  • Processi di condivisione delle informazioni, threat intelligence e gestione delle vulnerabilità
  • Controlli di gestione di asset, configurazione e identità e accessi
  • Revisione di policy, evidenze e documentazione rispetto agli articoli di NIS2 e DORA

Cosa ottieni

  • Memo di applicabilità e scoping che conferma gli obblighi NIS2 e/o DORA
  • Report dettagliato di valutazione dei gap mappato sugli Articoli 20-23 della NIS2 e sui cinque pilastri del DORA
  • Roadmap di remediation prioritizzata con responsabili, stime di impegno e date obiettivo
  • Playbook di segnalazione degli incidenti allineato alle tempistiche di notifica normative
  • Registro dei rischi di terze parti / supply chain e indicazioni sulle clausole contrattuali
  • Report del threat-led penetration testing (TLPT) con narrativa d'attacco e risultati di resilienza (quando in ambito)
  • Pacchetto di evidenze pronto per la vigilanza e briefing sulla responsabilità dell'organo di gestione
Esempio di deliverable

Cosa vedrai nel tuo report

Ogni engagement si conclude con un report chiaro e prioritizzato: finding classificati per severità con punteggi CVSS, asset coinvolti e stato di remediation - più un retest gratuito. I dati riportati di seguito sono illustrativi.

Finding per severità

17 total
Critical
0
High
4
Medium
7
Low
6
High · CVSS 7.5CX-1902

MFA not enforced for administrative access

NIS2 Art.21(2)(j)Admin & VPN accountsOpen
High · CVSS 7.1CX-1908

No centralized logging & incident detection

NIS2 Art.21(2)(b)Production environmentOpen

Esempio illustrativo: security control gap assessment - anonimizzato su example.com.

Vuoi il report di esempio anonimizzato completo? Lo includeremo nel tuo preventivo.

Vedi un report di esempio

Pronto a definire lo scope del tuo progetto?

Dicci cosa vuoi testare: riceverai uno scope e un preventivo su misura entro 24 ore.

Richiedi un preventivo
Prove, non promesse

Team che hanno testato con noi

0+
Progetti di sicurezza realizzati
0+
Vulnerabilità individuate e segnalate
0+
Organizzazioni messe in sicurezza
0+
Anni di competenza offensiva

Dati cumulativi sull'insieme degli incarichi svolti dal nostro team

Condiviso sotto NDA · dettagli anonimizzati
Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.
SOC 2 passed first attempt
VP of Engineering
Series B FinTech · Payments platform
FinTech

Certificazioni dei nostri tester

  • OSCP
  • CRTP
  • CREST
  • CEH
  • eWPTX
  • ISO 27001
  • ISO 9001

Domande frequenti

La NIS2 si applica ai soggetti di medie e grandi dimensioni in 18 settori considerati 'essenziali' o 'importanti' - tra cui energia, trasporti, sanità, infrastrutture digitali e fornitori di servizi gestiti. Il DORA si applica ai soggetti finanziari (banche, assicurazioni, imprese di investimento, fornitori di cripto-attività e altri) e ai loro fornitori terzi critici di servizi ICT. Iniziamo ogni progetto con una valutazione di applicabilità così da sapere esattamente quali obblighi ti vincolano, dato che alcune organizzazioni rientrano in entrambi.

Arriva al prossimo audit con evidenze, non con promesse.

Indicaci framework e tempistiche: definiremo lo scope del tuo piano di readiness in 24 ore, dalla gap analysis alle evidenze pronte per l'auditor.

  • Retest gratuito di ogni correzione
  • Scope e preventivo in 24 ore
  • Solo tester senior
  • ISO 27001
  • ISO 9001
  • OSCP
  • CRTP
  • CREST
Richiedi un preventivo