Preparati all'audit per la Direttiva NIS2 dell'UE e per il DORA con gap analysis guidate da senior, controlli di rischio ICT e test guidati dalle minacce.
La readiness NIS2 e DORA è il processo strutturato di allineamento della tua organizzazione alla Direttiva NIS2 dell'UE (Direttiva (UE) 2022/2555) e al Digital Operational Resilience Act (Regolamento (UE) 2022/2554) - che copre la gestione del rischio ICT, la segnalazione obbligatoria degli incidenti, la supervisione della supply chain e delle terze parti e i test di resilienza operativa, incluso il threat-led penetration testing (TLPT). CyberXplore agisce come tuo partner di consulenza indipendente: i nostri consulenti senior, certificati OSCP/CRTP/CREST, conducono valutazioni pratiche dei gap, costruiscono le evidenze e la governance necessarie e realizzano TLPT mappati sul framework TIBER-EU. Siamo una società di consulenza specialistica in offensive security e compliance, non un'autorità nazionale competente - ti prepariamo davvero al controllo delle autorità di vigilanza, anziché venderti una checklist cartacea.
EU NIS2 Directive (2022/2555)DORA (Regulation 2022/2554)TIBER-EUISO 27001NIST CSFMITRE ATT&CK
Perché CyberXplore
Solo tester senior (OSCP, CRTP, CREST)
Certificazione ISO 27001 & ISO 9001
Retest gratuito + lettera di attestazione
Scope e preventivo su misura in 24 ore
Perché è importante
La NIS2 amplia drasticamente l'ambito a migliaia di soggetti 'essenziali' e 'importanti' nei settori energia, trasporti, sanità, infrastrutture digitali, finanza e fornitori di servizi gestiti - con l'alta dirigenza ritenuta personalmente responsabile e sanzioni fino a 10 milioni di EUR o al 2% del fatturato globale.
Il DORA impone obblighi vincolanti in materia di rischio ICT, segnalazione degli incidenti e test di resilienza ai soggetti finanziari e ai loro fornitori terzi critici di servizi ICT, con scadenze di segnalazione misurate in ore, non giorni.
Entrambi i regimi richiedono evidenze di resilienza operativa in condizioni di attacco reali - il TLPT avanzato del DORA e le aspettative di test della NIS2 non possono essere soddisfatti da sole scansioni automatizzate o autodichiarazioni.
Il rischio ICT della supply chain e delle terze parti è ora un obbligo di legge di primo piano: i regolatori si aspettano una supervisione documentata, controlli contrattuali e un'analisi del rischio di concentrazione sull'intero parco fornitori.
Allineato agli standard di settore: EU NIS2 Directive (2022/2555) · DORA (Regulation 2022/2554) · TIBER-EU · ISO 27001 · NIST CSF · MITRE ATT&CK
La nostra metodologia
01
Applicabilità e Scoping
Determiniamo se rientri nella NIS2 (soggetto essenziale o importante) e/o nel DORA (soggetto finanziario o terzo critico ICT), mappiamo i sistemi, servizi e dipendenze da fornitori in ambito e concordiamo gli obiettivi normativi del progetto.
02
Valutazione dei Gap
I nostri consulenti senior valutano il tuo attuale framework di gestione del rischio ICT, la governance, i processi di gestione degli incidenti e i test di resilienza rispetto agli Articoli 20-23 della NIS2 e ai cinque pilastri del DORA, producendo un registro dei gap prioritizzato con chiara attribuzione delle responsabilità.
03
Roadmap di Remediation e Progettazione dei Controlli
Traduciamo i gap in una roadmap di remediation pragmatica e classificata per rischio - definendo policy, trattamento del rischio, clausole contrattuali per le terze parti, workflow di classificazione e segnalazione degli incidenti e le evidenze che ciascun controllo deve generare.
04
Threat-Led Penetration Testing (TLPT)
Per il requisito di test avanzato del DORA conduciamo esercizi di red team guidati dall'intelligence, allineati a TIBER-EU e MITRE ATT&CK, emulando threat actor realistici contro le tue funzioni critiche per validare rilevamento, risposta e resilienza.
05
Segnalazione degli Incidenti e Validazione della Resilienza
Mettiamo alla prova la tua capacità di segnalazione degli incidenti rispetto alle tempistiche di DORA e NIS2 (allerta precoce, report intermedio e finale) e validiamo le disposizioni di business continuity e ripristino tramite esercitazioni tabletop e tecniche.
06
Audit-Readiness e Pacchetto di Evidenze
Assembliamo un pacchetto di evidenze pronto per la vigilanza, informiamo il tuo organo di gestione sui suoi obblighi di responsabilità e forniamo una rivalutazione per confermare la chiusura dei gap risolti prima di qualsiasi coinvolgimento di regolatori o auditor.
Cosa testiamo
Determinazione dell'applicabilità di NIS2 / DORA e classificazione del soggetto
Framework di gestione del rischio ICT, governance e responsabilità dell'organo di gestione
Rilevamento, classificazione e workflow e tempistiche di segnalazione obbligatoria degli incidenti
Supervisione del rischio della supply chain e delle terze parti ICT, contratti e rischio di concentrazione
Strategia di test di resilienza operativa digitale e progettazione del programma
Scoping del threat-led penetration testing (TLPT) allineato a TIBER-EU
Business continuity, risposta ICT e ripristino (backup, RTO/RPO)
Processi di condivisione delle informazioni, threat intelligence e gestione delle vulnerabilità
Controlli di gestione di asset, configurazione e identità e accessi
Revisione di policy, evidenze e documentazione rispetto agli articoli di NIS2 e DORA
Cosa ottieni
Memo di applicabilità e scoping che conferma gli obblighi NIS2 e/o DORA
Report dettagliato di valutazione dei gap mappato sugli Articoli 20-23 della NIS2 e sui cinque pilastri del DORA
Roadmap di remediation prioritizzata con responsabili, stime di impegno e date obiettivo
Playbook di segnalazione degli incidenti allineato alle tempistiche di notifica normative
Registro dei rischi di terze parti / supply chain e indicazioni sulle clausole contrattuali
Report del threat-led penetration testing (TLPT) con narrativa d'attacco e risultati di resilienza (quando in ambito)
Pacchetto di evidenze pronto per la vigilanza e briefing sulla responsabilità dell'organo di gestione
Esempio di deliverable
Cosa vedrai nel tuo report
Ogni engagement si conclude con un report chiaro e prioritizzato: finding classificati per severità con punteggi CVSS, asset coinvolti e stato di remediation - più un retest gratuito. I dati riportati di seguito sono illustrativi.
Finding per severità
17 total
Critical
0
High
4
Medium
7
Low
6
High · CVSS 7.5CX-1902
MFA not enforced for administrative access
NIS2 Art.21(2)(j)Admin & VPN accountsOpen
High · CVSS 7.1CX-1908
No centralized logging & incident detection
NIS2 Art.21(2)(b)Production environmentOpen
Esempio illustrativo: security control gap assessment - anonimizzato su example.com.
Medium · CVSS 5.6CX-1914
Incident response plan untested
DORA Art.11IR programOpen
Vuoi il report di esempio anonimizzato completo? Lo includeremo nel tuo preventivo.
Dati cumulativi sull'insieme degli incarichi svolti dal nostro team
Condiviso sotto NDA · dettagli anonimizzati
“Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.”
SOC 2 passed first attempt
VE
VP of Engineering
Series B FinTech · Payments platform
FinTech
Certificazioni dei nostri tester
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Domande frequenti
La NIS2 si applica ai soggetti di medie e grandi dimensioni in 18 settori considerati 'essenziali' o 'importanti' - tra cui energia, trasporti, sanità, infrastrutture digitali e fornitori di servizi gestiti. Il DORA si applica ai soggetti finanziari (banche, assicurazioni, imprese di investimento, fornitori di cripto-attività e altri) e ai loro fornitori terzi critici di servizi ICT. Iniziamo ogni progetto con una valutazione di applicabilità così da sapere esattamente quali obblighi ti vincolano, dato che alcune organizzazioni rientrano in entrambi.