Conformità
Conduco assessment per le principali certificazioni e direttive europee usando un questionario proprietario su piattaforma open-source. Le risposte restano ancorate alle norme, tracciate per autore e timestamp, riutilizzabili tra audit successivi.
Il questionario guida.La piattaforma traccia.L'analisi correla.Le evidenze restano.
Cosa significa
La raccolta di evidenze tramite email, fogli e allegati funziona per organizzazioni piccole o per un singolo audit. Quando il perimetro è ampio o gli audit si ripetono, ogni nuovo ciclo ricostruisce gli stessi dati da capo. La piattaforma elimina questa ricostruzione.
Come lavoriamo
Il valore non è in nessuno dei tre presi separatamente. È nel modo in cui si combinano.
Un questionario costruito sulla norma applicabile, organizzato in aree di processo. Le sezioni si attivano in base al profilo dell'organizzazione (settore, dimensione, ruolo). Per NIS2 sono circa 250 controlli su 20 aree; per altre certificazioni la struttura è analoga, calibrata sulla norma specifica.
Le risposte di sezioni diverse vengono incrociate. Contraddizioni evidenti — per esempio tra dichiarazioni della governance e procedure operative descritte — emergono prima della fase di analisi manuale. La correlazione è AI-assistita ma il consulente decide cosa significa ciascuna incoerenza nel contesto.
Output strutturati che servono a chi decide: relazione di valutazione, gap analysis con priorità, bozze di policy operative, roadmap di adeguamento. Non slide di consulenza — documenti che si presentano in CdA, si inviano all'auditor, si usano per allineare le funzioni interne.
Documenti che consegniamo
Per il board. Postura dell'organizzazione rispetto alla norma, livello di maturità per area, raccomandazioni prioritarie. Linguaggio gestionale, riferimenti puntuali alle aree tecniche per chi vuole approfondire.
Per il team di adeguamento. Distanza dal target per ciascun controllo, classificata per criticità e sforzo stimato. Punto di partenza per stimare costi e tempi della remediation.
Per le funzioni interne (IT, sicurezza, legale, HR dove applicabile). Bozze di policy, procedure e istruzioni operative — da validare e adottare formalmente dal committente attraverso i propri processi di approvazione.
Per la pianificazione pluriennale. Piano a fasi con milestone, responsabili e indicatori di avanzamento monitorabili. Pensata per essere aggiornata, non statica.
Lo strumento
La piattaforma non è un prodotto SaaS che vendo. È LimeSurvey, software open-source che gestisco sulla mia infrastruttura, configurato con questionari che ho costruito io. Le tue risposte non escono dal mio perimetro durante l'engagement; alla chiusura il dataset esportato resta a te.
Modello di maturità
Scala interna ispirata ai modelli di maturità di processo (CMMI, COBIT). Non è un appraisal certificato e non equivale a un livello di certificazione formale — è uno strumento di lettura coerente per leggere lo stato attuale e per definire il target di adeguamento.
Nessun processo definito per il controllo.
Azioni ad hoc, non documentate, dipendenti dalle singole persone.
Processo presente in aree limitate, non sistematico.
Processo formalizzato e diffuso nell'organizzazione.
Processo misurato e governato con indicatori.
Migliorato in modo continuo, con feedback strutturato.
Fasi
Durate indicative per perimetro medio, da confermare nello scoping in base a numero di società/sedi, servizi critici, asset, fornitori e disponibilità delle evidenze.
1–2 settimane. Definizione perimetro, tipologia di soggetto, persone responsabili coinvolte.
1 settimana. Setup piattaforma, profilazione dell'organizzazione, allineamento normativo.
3–4 settimane. Compilazione guidata, raccolta evidenze, follow-up mirati sui controlli incerti.
1–2 settimane. Correlazioni, gap analysis, redazione di relazione e manualistica.
1 settimana. Presentazione al board, roadmap di adeguamento, handover dei materiali.
Certificazioni coperte
La piattaforma e il modello di maturità sono trasversali. Cambia il questionario, calibrato sulla norma specifica e sulle aree di processo che essa richiede.
Direttiva (UE) 2022/2555 · D.Lgs. 138/2024. Soggetti essenziali e importanti. Circa 250 controlli su 20 aree.
Vedi metodo applicato →Requisiti tecnici e organizzativi per servizi cloud destinati alla pubblica amministrazione italiana. Su richiesta.
Approfondisci →Regolamento (UE) 2022/2554. Resilienza operativa digitale per il settore finanziario. Su richiesta.
Approfondisci →Regolamento (UE) 2024/1689. Obblighi per sistemi ad alto rischio e modelli GPAI. Su richiesta.
Approfondisci →Sistema di gestione della sicurezza delle informazioni. Allegato A controlli. Su richiesta.
Approfondisci →Sistema di gestione dell'intelligenza artificiale. Standard recente, ancora poco diffuso. Su richiesta.
Approfondisci →Regolamento (UE) 2016/679. Misure tecniche e organizzative, accountability, registri. Su richiesta.
Approfondisci →Esquema Nacional de Seguridad (Spagna). Sicurezza dei sistemi della PA spagnola. Su richiesta.
Approfondisci →Altre certificazioni o normative settoriali possono essere coperte su richiesta, mantenendo lo stesso metodo.
Cosa NON faccio
Non rilascio certificazioni e non sostituisco organismi accreditati, auditor terzi, DPO, legali o consulenti regolamentari. Fornisco assessment tecnico-operativo, strutturazione delle evidenze, gap analysis e documentazione di remediation. I deliverable sono utilizzabili come input per audit formali condotti da soggetti accreditati, non li sostituiscono.
Partiamo da uno scoping di 1–2 settimane: perimetro, tipologia di soggetto, persone responsabili e disponibilità delle evidenze. Da lì si dimensiona il resto.
