A questo livello, l’organizzazione non ha avviato quasi alcuna iniziativa per adeguarsi alla direttiva NIS 2. Non esistono processi o procedure specifici, e il personale non è stato formato sui requisiti normativi. Non vi sono evidenze di un approccio strutturato alla gestione della sicurezza informatica o alla resilienza operativa. La mancanza di azioni concrete comporta un’esposizione totale a minacce cyber e rischi normativi.
In termini pratici, l’organizzazione si trova in una situazione di grave vulnerabilità , sia dal punto di vista operativo che reputazionale, con un alto rischio di sanzioni o interruzioni dei servizi essenziali.
L’organizzazione ha riconosciuto l’importanza di conformarsi alla NIS 2 e ha avviato una fase di pianificazione. Sono state definite alcune linee guida e obiettivi preliminari, ma i processi non sono ancora operativi. Gli interventi necessari sono stati individuati, ma non vi sono risultati concreti o azioni implementate in modo sistematico.
Questo stato rappresenta un passo avanti rispetto all’inazione, ma espone ancora l’organizzazione a significativi rischi operativi e normativi. In caso di verifiche o incidenti, la capacità di dimostrare conformità sarebbe limitata, con conseguenti criticità nell’adempimento degli obblighi di legge.
L’organizzazione ha iniziato a implementare i processi e le attività necessari per allinearsi alla NIS 2. Alcuni requisiti fondamentali sono stati soddisfatti, ma l’implementazione è ancora parziale e i benefici attesi non sono pienamente raggiunti. La documentazione e la formazione del personale sono presenti, ma non ancora complete.
In questa fase, l’organizzazione dimostra un impegno concreto e progressi tangibili, ma rimangono lacune significative. Questa situazione comporta un miglioramento nella capacità di gestione dei rischi, ma non garantisce una piena conformità o una resilienza strutturata e continuativa.
L’organizzazione ha implementato la maggior parte dei processi e delle attività richiesti dalla NIS 2. La documentazione è completa e accessibile, e il personale coinvolto è stato formato adeguatamente. Le attività di monitoraggio e misurazione sono presenti, ma non ancora completamente sistematiche o ottimizzate.
Questo livello rappresenta un buon grado di conformità , con una solida base per la gestione della sicurezza informatica e della resilienza operativa. Tuttavia, l’organizzazione potrebbe essere meno reattiva di fronte a minacce emergenti o nuovi obblighi normativi, a causa dell’assenza di un monitoraggio continuo e di un miglioramento sistematico.
A questo livello, l’organizzazione ha quasi raggiunto l’eccellenza nella conformità alla NIS 2. I processi sono quasi completamente integrati, documentati e supportati da un sistema di monitoraggio continuo e miglioramento costante. Il personale è formato e aggiornato, e l’intera struttura operativa è resiliente e adattabile ai cambiamenti.
Questa situazione garantisce quasi la piena conformità normativa e una capacità proattiva di gestire i rischi e le emergenze.
A questo livello, l’organizzazione ha l’eccellenza nella conformità alla NIS 2.
Questa situazione garantisce la piena conformità normativa e una capacità proattiva di gestire i rischi e le emergenze. L’organizzazione è in grado di rispondere rapidamente agli incidenti, mantenere la continuità operativa e dimostrare in ogni momento il rispetto degli standard richiesti, diventando un modello di riferimento nel settore.