IRIS

Today’s digital landscape requires a strategic approach to cybersecurity. This study presents a model (hereinafter also “Smartlex Model”), an operational and pragmatic model designed to simplify complex regulatory compliance into an easily applicable business management system. The Model is based on a multi-level alignment between operational security measures and the two international regulatory pillars: ISO/IEC 27001:2022 and the NIST Cybersecurity Framework (CSF) 2.0. The methodology generates an innovative mapping that associates operational measures with ISO controls and NIST categories. The practical usefulness of the Model is demonstrated as a crucial adaptation tool for organisations (known as “NIS entities”) subject to the obligations of the NIS2 Directive. This allows for the operational implementation of the essential risk management elements required by the regulation. The Model is designed to be scalable to any regulatory framework, reducing compliance costs and maximising operational effectiveness. Looking ahead, the Smartlex Model aims to evolve into a quantitative IT security measurement system, providing organizations with a tangible means of demonstrating their cybersecurity posture.

Il panorama digitale odierno richiede un approccio strategico alla sicurezza informatica. Questo studio presenta un modello operativo e pragmatico progettato per semplificare la complessa conformità normativa in un sistema di gestione aziendale facilmente applicabile. Il Modello si basa su un allineamento multilivello tra le misure di sicurezza operative e i due pilastri normativi internazionali: ISO/IEC 27001:2022 e NIST Cybersecurity Framework (CSF) 2.0. La metodologia utilizzata ha permesso di generare una mappatura innovativa che associa le misure operative ai controlli ISO e alle categorie NIST. L’utilità pratica del Modello è dimostrata come strumento di adattamento cruciale per le organizzazioni (note come “entità NIS”) soggette agli obblighi della direttiva NIS2. Ciò consente l’implementazione operativa degli elementi essenziali di gestione del rischio richiesti dalla normativa. Il Modello è progettato per essere scalabile a qualsiasi quadro normativo, riducendo i costi di conformità e massimizzando l’efficacia operativa. In prospettiva, lo stesso mira ad evolversi in un sistema quantitativo di misurazione della sicurezza IT, fornendo alle organizzazioni un mezzo tangibile per dimostrare il proprio livello di sicurezza informatica

Oltre la Conformità: dalle scelte strategiche ISO e NIST 2.0 alla gestione proattiva del rischio

COMANDE
2026-01-01

Abstract

Today’s digital landscape requires a strategic approach to cybersecurity. This study presents a model (hereinafter also “Smartlex Model”), an operational and pragmatic model designed to simplify complex regulatory compliance into an easily applicable business management system. The Model is based on a multi-level alignment between operational security measures and the two international regulatory pillars: ISO/IEC 27001:2022 and the NIST Cybersecurity Framework (CSF) 2.0. The methodology generates an innovative mapping that associates operational measures with ISO controls and NIST categories. The practical usefulness of the Model is demonstrated as a crucial adaptation tool for organisations (known as “NIS entities”) subject to the obligations of the NIS2 Directive. This allows for the operational implementation of the essential risk management elements required by the regulation. The Model is designed to be scalable to any regulatory framework, reducing compliance costs and maximising operational effectiveness. Looking ahead, the Smartlex Model aims to evolve into a quantitative IT security measurement system, providing organizations with a tangible means of demonstrating their cybersecurity posture.
2026
Il panorama digitale odierno richiede un approccio strategico alla sicurezza informatica. Questo studio presenta un modello operativo e pragmatico progettato per semplificare la complessa conformità normativa in un sistema di gestione aziendale facilmente applicabile. Il Modello si basa su un allineamento multilivello tra le misure di sicurezza operative e i due pilastri normativi internazionali: ISO/IEC 27001:2022 e NIST Cybersecurity Framework (CSF) 2.0. La metodologia utilizzata ha permesso di generare una mappatura innovativa che associa le misure operative ai controlli ISO e alle categorie NIST. L’utilità pratica del Modello è dimostrata come strumento di adattamento cruciale per le organizzazioni (note come “entità NIS”) soggette agli obblighi della direttiva NIS2. Ciò consente l’implementazione operativa degli elementi essenziali di gestione del rischio richiesti dalla normativa. Il Modello è progettato per essere scalabile a qualsiasi quadro normativo, riducendo i costi di conformità e massimizzando l’efficacia operativa. In prospettiva, lo stesso mira ad evolversi in un sistema quantitativo di misurazione della sicurezza IT, fornendo alle organizzazioni un mezzo tangibile per dimostrare il proprio livello di sicurezza informatica
1.1 Articolo su Rivista/Article
File in questo prodotto:
File Dimensione Formato  
0268_RIID_2026_01ComandeNasi (1).pdf

solo utenti autorizzati

Tipologia: Documento in Post-print/Accepted manuscript
Licenza: Creative commons (selezionare)
Dimensione 901.66 kB
Formato Adobe PDF
  Visualizza/Apri   Richiedi una copia
901.66 kB Adobe PDF   Visualizza/Apri   Richiedi una copia

I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/11382/587192
 Attenzione

Attenzione! I dati visualizzati non sono stati sottoposti a validazione da parte dell'ateneo

Citazioni
  • ???jsp.display-item.citation.pmc??? ND
  • Scopus ND
social impact