Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Digital services provided by various types of organizations operating in sectors such as energy and transportation are becoming increasingly critical to the daily lives of citizens and businesses that depend on them. The disruption of services from one of these organizations could affect millions of people, slowing down or even completely halting essential activities. Therefore, entities classified as critical must meet specific requirements to ensure the security and continuity of their services. This thesis aims to identify, analyze, and mitigate security gaps within a transportation company by applying the European NIS2 standard, ensuring the organization’s compliance with it. The thesis begins with a description of the NIS2 directive, outlining the reasons for its introduction, the entities subject to this legislation, and a comparison with the previous NIS directive. This is followed by an analysis of the requirements and domains identified within the regulation, which are essential for identifying the security gaps within the organization and determining the measures needed to mitigate them. Subsequently, a risk analysis is conducted for each identified gap, along with an assessment of the complexity involved in implementing the corresponding mitigation measures. Additionally, a roadmap and an operational plan are presented to guide the client through the gap remediation process. Finally, the paper covers key aspects of several policies, including Asset Management, Patch Management, and Crisis Management, which have been drafted to ensure compliance with the NIS2 regulations.

I servizi digitali offerti da diverse categorie di organizzazioni che si occupano ad esempio di energia e trasporti, diventano ogni giorno sempre più fondamentali per la vita dei cittadini e delle imprese dipendenti da esse. L’interruzione dei servizi forniti da una di queste organizzazioni può portare a disservizi per milioni di cittadini causando il rallentamento o il completo blocco di alcune attività: per tale motivo è necessario che le entità considerate critiche rispettino requisiti specifici per garantire la sicurezza e la continuità dei propri servizi. Questa tesi si propone di individuare, analizzare e colmare i gap di sicurezza presenti all’interno di un’azienda di trasporti attraverso l’utilizzo della normativa Europea NIS2 in modo da rendere l’organizzazione compliant con quest’ultima. L’elaborato parte da una descrizione della direttiva NIS2 indicando le motivazioni della sua introduzione, le entità soggette a tale normativa e una comparazione rispetto alla precedente direttiva NIS. Segue un’analisi dei requisiti e domini individuati all’interno della normativa, necessari per l’individuazione dei gap di sicurezza presenti all’interno dell’organizzazione e la determinazione delle misure da implementare per compensare i gap identificati. Successivamente viene svolta un’analisi del rischio legato ad ogni gap e della complessità della misura da implementare per compensare quest’ultimo. Viene inoltre presentata una roadmap e un piano operativo che guideranno il cliente nel processo di gap compensation. Infine vengono trattati gli aspetti principali di alcune policy tra cui: Asset Management, Patch Management e Crisis Management redatte al fine di garantire la compliance con la normativa NIS2.

Identification and resolution of security gaps in an oganization: a NIS2-based approach

SPAGNI, ALEX
2023/2024

Abstract

Digital services provided by various types of organizations operating in sectors such as energy and transportation are becoming increasingly critical to the daily lives of citizens and businesses that depend on them. The disruption of services from one of these organizations could affect millions of people, slowing down or even completely halting essential activities. Therefore, entities classified as critical must meet specific requirements to ensure the security and continuity of their services. This thesis aims to identify, analyze, and mitigate security gaps within a transportation company by applying the European NIS2 standard, ensuring the organization’s compliance with it. The thesis begins with a description of the NIS2 directive, outlining the reasons for its introduction, the entities subject to this legislation, and a comparison with the previous NIS directive. This is followed by an analysis of the requirements and domains identified within the regulation, which are essential for identifying the security gaps within the organization and determining the measures needed to mitigate them. Subsequently, a risk analysis is conducted for each identified gap, along with an assessment of the complexity involved in implementing the corresponding mitigation measures. Additionally, a roadmap and an operational plan are presented to guide the client through the gap remediation process. Finally, the paper covers key aspects of several policies, including Asset Management, Patch Management, and Crisis Management, which have been drafted to ensure compliance with the NIS2 regulations.
ZANERO, STEFANO
ING - Scuola di Ingegneria Industriale e dell'Informazione
3-apr-2025
2023/2024
I servizi digitali offerti da diverse categorie di organizzazioni che si occupano ad esempio di energia e trasporti, diventano ogni giorno sempre più fondamentali per la vita dei cittadini e delle imprese dipendenti da esse. L’interruzione dei servizi forniti da una di queste organizzazioni può portare a disservizi per milioni di cittadini causando il rallentamento o il completo blocco di alcune attività: per tale motivo è necessario che le entità considerate critiche rispettino requisiti specifici per garantire la sicurezza e la continuità dei propri servizi. Questa tesi si propone di individuare, analizzare e colmare i gap di sicurezza presenti all’interno di un’azienda di trasporti attraverso l’utilizzo della normativa Europea NIS2 in modo da rendere l’organizzazione compliant con quest’ultima. L’elaborato parte da una descrizione della direttiva NIS2 indicando le motivazioni della sua introduzione, le entità soggette a tale normativa e una comparazione rispetto alla precedente direttiva NIS. Segue un’analisi dei requisiti e domini individuati all’interno della normativa, necessari per l’individuazione dei gap di sicurezza presenti all’interno dell’organizzazione e la determinazione delle misure da implementare per compensare i gap identificati. Successivamente viene svolta un’analisi del rischio legato ad ogni gap e della complessità della misura da implementare per compensare quest’ultimo. Viene inoltre presentata una roadmap e un piano operativo che guideranno il cliente nel processo di gap compensation. Infine vengono trattati gli aspetti principali di alcune policy tra cui: Asset Management, Patch Management e Crisis Management redatte al fine di garantire la compliance con la normativa NIS2.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
Polimi_Thesis_in_Computer_Science_and_Engineering_AlexSpagni.pdf

accessibile in internet solo dagli utenti autorizzati

Descrizione: The objective of this thesis is to illustrate the work carried out to ensure a transportation company’s com pliance with NIS2. The goal is to leverage this regulation to identify, analyze, and address security gaps within the organization, periodically providing the client with reports on the activities performed and the compensatory measures implemented.
Dimensione 1.01 MB
Formato Adobe PDF
  Visualizza/Apri
1.01 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/234534