Oltre la Conformità: dalle scelte strategiche ISO e NIST 2.0 alla gestione proattiva del rischio

Autori

  • Giovanni Comandè
  • Chiara Nasi

DOI:

https://doi.org/10.32091/RIID0268

Parole chiave:

Cybersicurezza, Conformità, Misure di sicurezza, ISO/IEC 27001:2022, NIST CSF 2.0

Abstract

Il panorama digitale odierno richiede un approccio strategico alla sicurezza informatica. Questo studio presenta un modello operativo e pragmatico progettato per semplificare la complessa conformità normativa in un sistema di gestione aziendale facilmente applicabile. Il Modello si basa su un allineamento multilivello tra le misure di sicurezza operative e i due pilastri normativi internazionali: ISO/IEC 27001:2022 e NIST Cybersecurity Framework (CSF) 2.0. La metodologia utilizzata ha permesso di generare una mappatura innovativa che associa le misure operative ai controlli ISO e alle categorie NIST. L’utilità pratica del Modello è dimostrata come strumento di adattamento cruciale per le organizzazioni (note come “entità NIS”) soggette agli obblighi della direttiva NIS2. Ciò consente l’implementazione operativa degli elementi essenziali di gestione del rischio richiesti dalla normativa. Il Modello è progettato per essere scalabile a qualsiasi quadro normativo, riducendo i costi di conformità e massimizzando l’efficacia operativa. In prospettiva, lo stesso mira ad evolversi in un sistema quantitativo di misurazione della sicurezza IT, fornendo alle organizzazioni un mezzo tangibile per dimostrare il proprio livello di sicurezza informatica.

Biografie autore

  • Giovanni Comandè

    Professore ordinario di Diritto privato comparato alla Scuola Superiore Sant’Anna e fondatore di Smartlex s.r.l. e di Inlesi s.r.l.

  • Chiara Nasi

    Esperta in regolamentazione e conformità dell’Unione europea presso Smartlex s.r.l.

Riferimenti bibliografici

ACN–Agenzia per la Cybersicurezza Nazionale (2025), Linee guida NIS. Specifiche di base. Guida alla lettura, in can.gov.it, 2025

M. Alshar’e (2023), Cyber security framework selection: comparision of nist and iso27001, in “Applied computing Journal”, vol. 3, 2023, n. 1

F. Casarosa, G. Comandè (2025), Il percorso di implementazione della Direttiva NIS 2: verso l’armonizzazione o una maggiore frammentazione?, in “Annuario di Diritto Comparato”, 2025, in corso di pubblicazione

Enisa–European Union Agency for Network and Information Security (2025), ENISA Threat Landscape 2025, in enisa.europa.eu, 2025

Enisa–European Union Agency for Network and Information Security (2019), Reinforcing trust and security in the area of electronic communications and online services. Sketching the notion of “state-of-the-art” for SMEs in security of personal data processing, in enisa.europa.eu, 2019

A. Lokare, S. Bankar, P. Mhaske (2025), Integrating Cybersecurity Frameworks into IT Security: A Comprehensive Analysis of Threat Mitigation Strategies and Adaptive Technologies, in Arxiv, arXiv:2502.00651, 2025

M. Malatji (2023), Management of enterprise cyber security: A review of ISO/IEC 27001:2022, in “International Conference On Cyber Management And Engineering (CyMaEn)” (Bangkok, 26-27 gennaio 2023), 2023

A. Obi, O.V. Akagha, S.O. Dawodu, A.C. Anyanwu, S. Onwusinkwue, I.A. Ahmad (2024), Comprehensive review on cybersecurity: Modern threats and advanced defense strategies, in “Computer Science & IT Research Journal”, vol. 5, 2024, n. 2

S. Rose, O. Borchert, S. Mitchell, S. Connelly (2020), Zero Trust Architecture, NIST Special Publications 800-207, 2020

S. Schmitz-Berndt (2023), Defining the reporting threshold for a cybersecurity incident under the NIS Directive and the NIS 2 Directive, in “Journal of Cybersecurity”, vol. 9, 2023, n. 1

A. Shaji George, A.S. Hovan George, T. Baskar (2023), Digitally Immune Systems: Building Robust Defences in the Age of Cyber Threats, in “Partners Universal International Innovation Journal (PUIIJ)”, vol. 1, 2023, n. 4

O. Vakhula, Y. Kurii, I. Opirskyy, V. Susukailo (2024), Security-as-Code Concept for Fulfilling. ISO/IEC 27001:2022 Requirements, in “Cybersecurity Providing in Information and Telecommunication Systems”, vol. 3654, 2024

P. Wanecki, R. Jasek, I. Drofova (2023), The Contribution of the European NIS2 Directive to the Design of the Cyber Security Model, in “2023 International Conference on Information and Digital Technologies (IDT)” (Zilina, 20-22 giugno 2023), 2023

Dowloads

Pubblicato

2026-04-17

Fascicolo

Anno 8 , fascicolo 1 (2026)

Sezione

Sistemi e applicazioni

Licenza

Copyright (c) 2026 Rivista italiana di informatica e diritto

Creative Commons License

Questo volume è pubblicato con la licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 4.0 Internazionale.

Come citare

[1]
Comandè, G. and Nasi, C. 2026. Oltre la Conformità: dalle scelte strategiche ISO e NIST 2.0 alla gestione proattiva del rischio. Rivista italiana di informatica e diritto. 8, 1 (Apr. 2026), 26. DOI:https://doi.org/10.32091/RIID0268.