QUESTIONARIO DI VALUTAZIONE DELLA CONFORMITÀ NIS2

1. Nome dell'azienda: 2. Settore di attività (e.g. energia, trasporti, sanità, ecc.): 3. Numero di dipendenti: 4. Localizzazione delle sedi operative (sia nazionali che internazionali): 5. Descrizione dei servizi essenziali forniti dall'azienda: 6. Indicare se l'azienda è già stata classificata come operatore di servizi essenziali (OES) o fornitore di servizi digitali (DSP) secondo la NIS1:

1. Esiste un programma formale di gestione del rischio informatico (ISO 27001, NIST, ecc.)? o Se sì, descrivere il programma e la sua applicazione attuale. 2. La vostra azienda ha definito una politica di sicurezza delle informazioni e della rete? o Se sì, fornire una breve descrizione di come viene applicata e aggiornata. 3. Chi è responsabile della governance della sicurezza informatica? o Indicare le figure chiave (CISO, CIO, ecc.) e il loro ruolo. 4. Esiste un comitato di sicurezza informatica che coinvolge i dirigenti? o Se sì, descrivere la frequenza delle riunioni e le principali responsabilità. 5. L’azienda ha implementato un sistema per la gestione della continuità operativa e il disaster recovery? o Fornire dettagli sui test effettuati e la frequenza di aggiornamento dei piani.

1. Quali misure di sicurezza informatica sono adesso implementate per proteggere le reti e i sistemi IT? o Indicare se utilizzate firewall, IDS/IPS, sistemi di autenticazione (MFA), cifratura dei dati, ecc. 2. È in uso un sistema di monitoraggio e logging per rilevare e rispondere a incidenti di sicurezza? o Specificare gli strumenti utilizzati (SIEM, log management, ecc.) e la loro copertura. 3. Sono implementate misure per garantire la sicurezza fisica delle infrastrutture IT? o Descrivere il controllo degli accessi fisici e la protezione delle apparecchiature critiche. 4. Esistono misure di protezione per il trattamento dei dati personali (GDPR compliance)? o Se sì, indicare quali misure specifiche sono adottate per la sicurezza e la privacy dei dati. 5. Quali politiche sono attuate per la gestione e l'aggiornamento delle patch di sicurezza? o Indicare la frequenza degli aggiornamenti e il metodo di gestione delle vulnerabilità.

1. La vostra azienda ha un piano formale per la gestione degli incidenti di sicurezza? o Se sì, descrivere il piano e le procedure di notifica interna. 2. Chi è responsabile della gestione e del coordinamento degli incidenti? o Specificare i ruoli e le responsabilità del team di risposta agli incidenti (es. CSIRT, SOC). 3. Esiste una procedura per la notifica di incidenti di sicurezza alle autorità competenti, in conformità con la NIS2? o Se sì, descrivere il processo e la tempistica di notifica. 4. Qual è stata la frequenza e la gravità degli incidenti di sicurezza negli ultimi 12 mesi? o Fornire dettagli su eventuali incidenti significativi. 5. Esistono procedure per l’analisi post-incidente e il miglioramento continuo delle misure di sicurezza? o Se sì, descrivere come vengono implementati i miglioramenti.

1. La vostra azienda ha definito requisiti di sicurezza informatica per i fornitori e i partner esterni? o Se sì, descrivere le clausole contrattuali e le verifiche eseguite sui fornitori. 2. Esistono processi per valutare il rischio associato alla catena di fornitura? o Indicare come gestite i rischi provenienti da fornitori terzi. 3. Come viene garantita la sicurezza durante l'integrazione di nuovi fornitori? o Specificare se vengono eseguite valutazioni di sicurezza o audit preliminari. 4. Sono in atto politiche per la gestione della sicurezza delle informazioni condivise con fornitori o partner? o Se sì, descrivere le misure di controllo attuate.

1. La vostra azienda ha subito audit interni o esterni sulla sicurezza informatica negli ultimi due anni? o Se sì, fornire dettagli sui risultati principali. 2. Esistono policy o procedure per garantire la conformità alle normative di sicurezza informatica, incluse NIS2 e GDPR? o Descrivere come viene monitorata la conformità normativa. 3. Siete in possesso di certificazioni relative alla sicurezza delle informazioni o alla continuità operativa? o Indicare eventuali certificazioni (ISO 27001, ISO 22301, ecc.).

1. Viene erogata formazione periodica ai dipendenti in materia di sicurezza informatica? o Se sì, indicare la frequenza e il contenuto dei corsi. 2. Esistono programmi di sensibilizzazione per prevenire il rischio di phishing, malware o altri attacchi? o Se sì, descrivere le campagne di sensibilizzazione. 3. Come viene verificata l’efficacia della formazione sulla sicurezza? o Specificare se vengono condotti test di verifica o simulazioni.

1. L’azienda ha pianificato o è in procinto di implementare nuove misure per migliorare la sicurezza informatica? o Se sì, descrivere i progetti futuri. 2. Quali sono i principali ostacoli che incontrate nell’adeguamento alla conformità con la NIS2? o Specificare eventuali difficoltà tecniche, organizzative o di risorse. 3. In che modo possiamo assistervi nel percorso di conformità alla NIS2?