Vai al contenuto
NIS2

Checklist della direttiva NIS2: la tua impresa è pronta?

·
11 minuti di lettura
HR da una parte, IT dall’altra?
Gestisci dispositivi, licenze e sicurezza da un unico posto. Sincronizzato con le assunzioni e le uscite del tuo team. Scopri Factorial IT
Scritto da

La direttiva NIS2 non è più una promessa per il futuro, ma è già realtà. Migliaia di aziende e fornitori in Italia devono adattarsi a requisiti di cybersicurezza molto più severi per proteggere i propri sistemi ed evitare possibili sanzioni da parte dell’ACN (Agenzia per la Cybersicurezza Nazionale).

Il problema è che affrontare il testo di legge e il decreto legislativo di recepimento italiano non è semplice. Per molti responsabili IT o dirigenti, passare dalla teoria alla pratica può risultare confuso e poco utile.

Per questo motivo lo semplificheremo. Di seguito troverai una checklist NIS2 chiara e pratica. Include le 10 misure dell’Articolo 21 spiegate passo dopo passo, in modo che tu possa valutare la tua azienda, individuare le falle e iniziare a metterti in regola fin da oggi.

Checklist riassuntiva: le 10 misure dell'Articolo 21 (NIS2)

Area di Sicurezza Cosa devi avere pronto?
1 Analisi dei rischi e politiche

“Inventario degli asset, mappa dei rischi aggiornata e politica di sicurezza ufficiale.”

2 Risposta agli incidenti

“Piano di risposta, ruoli/comitato di crisi definiti e protocollo rigoroso di notifica al CSIRT Italia / ACN (24h/72h/1 mese).”

3 Continuità operativa

“Piano di continuità manuale/limitato, backup immutabili e piano di disaster recovery.”

4 Catena di approvvigionamento

“Inventario dei fornitori critici, valutazione della sicurezza di terze parti e clausole contrattuali.”

5 Sviluppo e manutenzione

“Processo di gestione di patch/vulnerabilità, politica di acquisizione sicura e sviluppo sicuro.”

6 Valutazione dell’efficacia

“Audit periodici, test di intrusione (pentesting) e metriche di sicurezza per la direzione.”

7 Igiene informatica e formazione

“Piani di formazione continua, simulazioni di phishing e manuale di buone pratiche quotidiane.”

8 Crittografia e cifratura

“Cifratura dei dati archiviati (a riposo), cifratura dei dati in transito e gestione sicura delle chiavi.”

9 Risorse Umane (HR) e controllo degli accessi

“Politica rigorosa di assunzioni/dimissioni (onboarding/offboarding), principio del privilegio minimo e gestione degli asset.”

10 Autenticazione e comunicazioni

“Autenticazione a più fattori (MFA) obbligatoria, comunicazioni interne cifrate e canali di emergenza alternativi.”

1. Politiche di analisi dei rischi e sicurezza delle informazioni

Il primo passo per conformarsi alla NIS2 è conoscere le minacce a cui si va incontro. La direttiva impone che la cybersicurezza smetta di essere qualcosa di improvvisato e diventi formalmente organizzata. Non basta installare strumenti di protezione, devi anche avere chiaro cosa stai proteggendo e secondo quali regole.

Per spuntare questo punto nella tua checklist, assicurati di avere quanto segue:

  • Inventario degli asset: sapere esattamente quali hardware, software, sistemi e dati critici gestisce l’azienda. Se non sai cosa possiedi, non puoi proteggerlo.

  • Analisi dei rischi periodica: disporre di una mappa aggiornata che identifichi le vulnerabilità dei tuoi sistemi e valuti l’impatto reale di un attacco informatico sulle operazioni aziendali.

  • Politica di sicurezza delle informazioni: un documento ufficiale approvato dalla direzione che definisca le regole e le procedure per la gestione e la protezione delle informazioni nell’attività quotidiana dell’organizzazione.

Esempio pratico

Pensa a una media impresa di produzione e distribuzione alimentare (un settore chiave nel mercato italiano e che la NIS2 considera obbligatorio). Esaminando il proprio inventario, identificano che il sistema industriale SCADA, incaricato di controllare le temperature delle celle frigorifere, è il loro asset più critico.

L’analisi dei rischi mostra che, se un ransomware colpisse questi sensori, la catena del freddo si interromperebbe, si perderebbero tonnellate di prodotto e la catena di approvvigionamento verrebbe bloccata.

Per evitare ciò, la direzione approva una politica di sicurezza ufficiale che impone di isolare la rete dei macchinari, in modo che non sia connessa al Wi-Fi degli uffici, e vieta l’uso di chiavette USB nei computer dell’impianto.

2. Protocolli di gestione e risposta agli incidenti

Subire un attacco informatico non è più solo un problema tecnico. Con l’entrata in vigore della normativa in Italia, è anche una questione legale con scadenze molto precise. Quando si verifica un incidente grave non c’è margine per l’improvvisazione. La direttiva richiede che tu abbia stabilito come agire fin dal primo momento, chi guida la risposta e chi devi informare.

Per considerare completato questo punto, la tua organizzazione dovrebbe disporre di quanto segue:

  • Piano di risposta agli incidenti: un documento pratico che indichi dettagliatamente passo dopo passo come rilevare, contenere, analizzare e risolvere una minaccia. Ad esempio, isolare i dispositivi infetti da ransomware fin dal primo momento.

  • Ruoli definiti e comitato di crisi: deve essere chiaro chi prende le decisioni chiave a livello aziendale e chi si occupa della risposta tecnica, che si tratti di un team interno o di un fornitore esterno.

  • Protocollo di notifica: qui risiede uno dei grandi cambiamenti della NIS2. Non puoi nascondere un incidente. Hai bisogno di una procedura chiara per notificare alle autorità italiane competenti (CSIRT Italia e ACN) entro i tempi stabiliti:

    • Nelle prime 24 ore: si invia un preallarme dal momento in cui viene rilevato l’incidente.

    • Entro un massimo di 72 ore: si effettua la notifica formale con una prima valutazione dell’impatto.

    • Entro un mese: si presenta un rapporto completo sull’accaduto e sulle misure applicate.

Esempio pratico

Immagina una rete di ospedali pubblici (strutturata come un’ASL, Azienda Sanitaria Locale, in Italia), all’interno del settore sanitario, considerato Soggetto Essenziale. Un venerdì all’alba, un malware blocca l’accesso al sistema delle cartelle cliniche al pronto soccorso.

Seguendo il proprio piano di risposta, il team tecnico agisce immediatamente e isola i server interessati per evitare che l’infezione si diffonda in altri centri.

Invece di cercare di gestire la situazione in silenzio, il responsabile della conformità attiva il protocollo. Entro 24 ore, invia un preallarme al CSIRT Italia. In meno di 72 ore, mentre i sistemi sono già in fase di ripristino, effettuano la notifica formale all’ACN con una prima valutazione e confermano che l’assistenza ai pazienti non è stata gravemente compromessa.

Grazie a una risposta rapida e trasparente, non solo controllano l’incidente, ma evitano anche le pesanti sanzioni che la direttiva prevede in caso di occultamento.

3. Continuità operativa, copie di sicurezza e gestione delle crisi

La sicurezza informatica totale non esiste. Prima o poi, un attacco o un guasto grave può superare le difese. La direttiva NIS2 parte da questo presupposto e si concentra su un aspetto fondamentale: fare in modo che la tua azienda sia in grado di continuare a operare, proteggere ciò che è critico e riprendersi rapidamente senza dover pagare gli aggressori.

Per considerare soddisfatto questo punto nella tua checklist, dovresti disporre di quanto segue:

  • Piano di continuità operativa: definisce come opererà l’azienda in caso di guasto dei sistemi. Include scenari in cui sia necessario lavorare in modalità manuale o con servizi limitati mentre si risolve l’incidente.

  • Backup immutabili: non basta fare delle copie di sicurezza. Devono essere isolati dalla rete principale e protetti in modo che non possano essere modificati o cifrati in caso di attacco.

  • Piano di disaster recovery: una guida tecnica chiara per ripristinare sistemi e dati a partire dai backup e tornare alla normalità il prima possibile.

Esempio pratico

Immagina un’azienda di gestione e fornitura idrica (che opera come gestore del servizio idrico integrato a livello regionale in Italia), considerata soggetto essenziale. Un attacco informatico mette fuori uso i suoi server centrali.

Grazie al loro piano di continuità, gli operatori sanno come passare al controllo manuale delle valvole e la fornitura ai comuni non viene interrotta. Allo stesso tempo, il team IT avvia il piano di ripristino. Verificano che i backup, archiviati all’esterno della rete, non siano stati compromessi e iniziano a ripristinare i sistemi.

In meno di 48 ore l’azienda torna a operare regolarmente. Non è stato necessario pagare gli aggressori e il servizio alla popolazione è stato mantenuto in ogni momento.

4. Sicurezza nella catena di approvvigionamento

Questo è uno dei cambiamenti più importanti della NIS2 e uno dei punti che la normativa italiana sorveglia con maggiore attenzione. Non serve a molto proteggere la tua azienda se i fornitori con cui collabori rappresentano il punto debole. La normativa amplia l’orizzonte e ti obbliga a tenere in considerazione i rischi introdotti da terzi, dal fornitore di cloud fino a qualsiasi azienda con accesso ai tuoi sistemi.

Per soddisfare questo requisito, devi avere sotto controllo questi punti:

  • Inventario dei fornitori critici: identificare quali aziende esterne hanno accesso ai tuoi sistemi, alle tue reti o a dati sensibili.

  • Valutazione dei rischi di terze parti: chiedere ai fornitori di dimostrare il loro livello di cybersicurezza prima di stipulare o rinnovare un contratto. Può essere fatto tramite questionari, audit o certificazioni come la ISO 27001 (standard molto apprezzato nelle ispezioni dell’ACN).

  • Clausole contrattuali di sicurezza: inserire obblighi chiari nei contratti. Ad esempio, che il fornitore debba notificare gli incidenti entro un termine specifico o che garantisca misure come la cifratura delle informazioni.

Esempio pratico

Immagina una grande azienda di gestione dei rifiuti e dell’energia (una delle tipiche multiutility che operano in diverse province italiane), considerata soggetto importante. Utilizza un software esterno per ottimizzare i percorsi di raccolta dei rifiuti.

Nell’adattarsi alla NIS2, l’ufficio acquisti, insieme alla direzione, rivede la propria politica. Prima di rinnovare il contratto, esige che il fornitore dimostri di effettuare regolarmente test di sicurezza. Inoltre, aggiungono una clausola che obbliga il fornitore a segnalare qualsiasi violazione in meno di 12 ore.

Qualora non dovesse soddisfare questi requisiti, l’azienda decide di non rinnovare il contratto e cerca un’alternativa più sicura sul mercato.

5. Sicurezza nell'acquisizione, sviluppo e manutenzione

La sicurezza non può essere aggiunta alla fine come una toppa. Deve essere presente fin dall’inizio. La NIS2 e il quadro normativo italiano insistono su questo approccio “secure by design” e richiedono l’applicazione di controlli di cybersicurezza ogni volta che si acquista tecnologia, si sviluppa software o si aggiornano i sistemi.

Per conformarsi a questo punto, l’organizzazione dovrebbe garantire quanto segue:

  • Gestione delle vulnerabilità e delle patch: disporre di un processo chiaro per applicare gli aggiornamenti critici il prima possibile. Che sia automatizzato o pianificato, l’obiettivo è evitare che i difetti noti si trasformino in una porta d’ingresso per gli aggressori.

  • Politiche di acquisizione sicura: prima di introdurre qualsiasi apparecchiatura o software, il team IT deve verificare che soddisfi dei requisiti minimi di sicurezza. Ad esempio, che non includa password predefinite o configurazioni non sicure.

  • Sviluppo sicuro: se l’azienda sviluppa software proprietario, è fondamentale che i team seguano buone pratiche fin dall’inizio per evitare vulnerabilità comuni.

Esempio pratico

Immagina un’azienda di trasporto ferroviario (un settore vitale per i collegamenti nella penisola italiana), considerata soggetto essenziale. Decide di installare nelle sue stazioni nuove telecamere di videosorveglianza connesse alla rete.

Prima di distribuirle, il team di cybersicurezza esamina i dispositivi e rileva un problema. Le telecamere includono una password di fabbrica nota e non permettono di cambiarla. Di fronte a questo rischio, respingono l’acquisto e pretendono un modello che consenta effettivamente la gestione delle credenziali e riceva aggiornamenti di sicurezza.

Al tempo stesso, l’azienda ha configurato un sistema affinché i server che gestiscono i biglietti si aggiornino automaticamente non appena vengono rilasciate patch critiche. In questo modo, riducono al minimo il tempo in cui possono essere esposti.

6. Politiche per valutare l'efficacia delle misure di sicurezza

Installare un firewall o possedere un manuale non è sufficiente se non si verifica regolarmente che tutto funzioni come dovrebbe. La NIS2, così come la stessa ACN italiana, pone l’accento sul miglioramento continuo. Non puoi considerare chiusa la questione della sicurezza: devi metterla alla prova e dimostrare con i dati che continua a essere efficace contro nuove minacce.

Per soddisfare questo requisito, la tua checklist dovrebbe includere quanto segue:

  • Audit di sicurezza periodici: revisioni interne ed esterne che consentano di convalidare il rispetto delle policy e il livello reale di protezione.

  • Test di intrusione e analisi delle vulnerabilità: simulare attacchi controllati contro i tuoi sistemi per individuare da dove potrebbe entrare un aggressore reale (pentesting).

  • Metriche per la direzione: report chiari e regolari che mostrino lo stato della sicurezza, i rischi individuati e i tempi di risposta. La direzione o il Consiglio di Amministrazione deve avere visibilità, poiché è il responsabile finale.

Esempio pratico

Immagina un ente bancario o un istituto di credito italiano, che opera sotto la stretta sorveglianza della NIS2 e della Banca d’Italia. Ha appena lanciato una nuova app mobile per i propri clienti.

Per validarne la sicurezza, non si limita a fare affidamento sullo sviluppo interno, ma incarica un team esterno per testare l’applicazione. Durante la simulazione, individuano una falla che consentirebbe di aggirare il login.

Il problema viene corretto prima che colpisca alcun utente e il responsabile della sicurezza presenta i risultati alla direzione. Questo non solo migliora la protezione, ma serve anche a giustificare l’investimento in cybersicurezza con dati concreti davanti agli enti regolatori.

7. Pratiche di base di igiene informatica e formazione continua

Il punto debole di molte aziende non risiede nella tecnologia, ma nelle persone. La direttiva europea si concentra sulla consapevolezza aziendale e richiede che sia i dipendenti che i dirigenti sappiano identificare le minacce e agire in modo sicuro nella loro quotidianità.

Per rispettare questo punto, l’organizzazione dovrebbe assicurare quanto segue:

  • Formazione continua in cybersicurezza: programmi adattati a ciascun profilo per imparare a riconoscere rischi come il phishing o l’ingegneria sociale.

  • Simulazioni di phishing: invio di e-mail controllate per misurare il comportamento dei dipendenti e rafforzare la consapevolezza in modo pratico.

  • Buone pratiche quotidiane: regole chiare sull’uso di password sicure, blocco dei dispositivi, utilizzo delle reti e gestione di informazioni sensibili.

Esempio pratico

Immagina una grande azienda del settore energetico italiano (un’azienda energetica che opera a livello nazionale). Un impiegato della contabilità riceve un’e-mail urgente che sembra provenire dall’Amministratore Delegato (CEO), nella quale si richiede un bonifico immediato a un fornitore estero e il download di un file allegato.

Grazie alla formazione recente, l’impiegato nota una piccola anomalia nel dominio dell’e-mail. Anziché interagire con il messaggio o scaricare il file, lo segnala immediatamente al team IT.

Questo semplice gesto evita l’ingresso di malware nella rete aziendale e blocca una possibile frode del CEO (o attacco ransomware) prima che abbia un impatto reale sulle forniture o sulle finanze.

8. Procedure sull'uso della crittografia e della cifratura dei dati

Se un aggressore riesce ad accedere alle tue informazioni, la cifratura è ciò che fa la differenza tra un incidente sotto controllo e un problema grave. La NIS2 impone di proteggere i dati sensibili in ogni momento, sia quando sono archiviati sia quando vengono trasmessi.

Per conformarsi a questo punto, l’organizzazione dovrebbe garantire quanto segue:

  • Cifratura dei dati archiviati (a riposo): portatili, database e dispositivi mobili devono essere protetti tramite cifratura. Così, se un computer viene smarrito o rubato, le informazioni rimangono inaccessibili.

  • Cifratura dei dati in transito: uso di protocolli sicuri nelle comunicazioni e connessioni protette (come VPN) per gli accessi da remoto. Questo impedisce che le informazioni possano essere intercettate mentre viaggiano in rete.

  • Gestione sicura delle chiavi: definire come vengono create, conservate e rinnovate le chiavi che proteggono i dati. Senza una buona gestione, la crittografia perde gran parte del suo valore.

Esempio pratico

Immagina una grande azienda farmaceutica (parte del potente polo farmaceutico del nord Italia) che deve inviare la formula brevettata di un nuovo farmaco dalla sua sede centrale di Milano a un impianto di produzione in un’altra regione.

Per farlo in modo sicuro, utilizzano un canale cifrato che protegge le informazioni durante il trasferimento. Inoltre, anche i sistemi in cui viene conservata tale formula sono cifrati.

Settimane dopo, si verifica il furto di un disco rigido fisico nello stabilimento. Tuttavia, i dati non possono essere letti poiché sono protetti e le chiavi sono gestite correttamente.

L’incidente si limita alla perdita materiale dell’apparecchiatura e si previene un problema di spionaggio industriale o di fuga di informazioni critiche, risparmiando milioni di euro in ricerca.

9. Sicurezza delle Risorse Umane (HR), controllo degli accessi e gestione degli asset

Molte falle di sicurezza non derivano da hacker sofisticati ma da errori interni: un ex dipendente con accesso ancora attivo o un lavoratore con permessi non necessari possono causare danni enormi. La NIS2 richiede di controllare chi entra nei tuoi sistemi, cosa può fare mentre è all’interno e come vengono revocati i suoi accessi quando se ne va.

Per soddisfare questo punto, la tua checklist dovrebbe includere:

  • Politiche rigorose di assunzione e dimissioni: automatizzare i processi di onboarding e offboarding in modo che, nel momento in cui un dipendente lascia l’azienda, il dipartimento delle Risorse Umane revochi immediatamente tutte le sue credenziali, gli accessi e gli account.

  • Principio del privilegio minimo: ogni dipendente deve avere accesso solo alle informazioni e ai sistemi strettamente necessari per il proprio lavoro. Ciò limita il rischio di errori o abusi interni.

  • Gestione degli asset aziendali: utilizzare software che consentano di controllare, bloccare o cancellare da remoto laptop e smartphone aziendali in caso di smarrimento o furto.

Esempio pratico

Immagina un grande porto mercantile (come quelli di Genova o Trieste, infrastrutture logistiche critiche per l’economia italiana). Un operatore di gru automatizzate viene licenziato per cattiva condotta.

Grazie al processo automatico di offboarding, le Risorse Umane lo notificano all’IT e le sue credenziali vengono revocate all’istante. Inoltre, il principio del privilegio minimo garantisce che, finché era attivo, il dipendente non avesse accesso ai sistemi di fatturazione né ai database doganali (Agenzia delle Dogane).

Se l’azienda non avesse applicato queste misure, il lavoratore avrebbe potuto collegarsi da casa e sabotare i sistemi, paralizzando centinaia di container.

10. Uso dell'autenticazione a più fattori (MFA) e comunicazioni sicure

Le password da sole non sono più sufficienti per proteggere i sistemi critici. La normativa europea e le linee guida dell’ACN richiedono livelli di sicurezza aggiuntivi per verificare l’identità degli utenti e canali di comunicazione che non possano essere intercettati, soprattutto durante la gestione degli incidenti.

Per completare questo punto della checklist, l’organizzazione dovrebbe implementare:

  • Autenticazione a più fattori (MFA): verifica in due passaggi tramite applicazioni, SMS o chiavi fisiche per tutti gli accessi alla rete, dando priorità alle connessioni VPN, allo smart working e agli account amministratore. È una misura non negoziabile secondo i nuovi standard.

  • Comunicazioni interne cifrate: chat, chiamate e videoconferenze aziendali protette con crittografia end-to-end per mantenere la riservatezza delle informazioni.

  • Canali di comunicazione di emergenza alternativi: disporre di un sistema sicuro parallelo per coordinare la risposta in caso di un attacco informatico che interrompa i servizi abituali.

Esempio pratico

Immagina un fornitore di servizi cloud (Cloud Service Provider) che ospita dati della pubblica amministrazione italiana o di aziende strategiche. Un aggressore riesce a rubare la password di amministratore di un ingegnere tramite phishing.

Quando tenta di accedere ai server da un altro Paese, il sistema richiede l’MFA, che solo l’ingegnere può approvare dal proprio cellulare personale, bloccando immediatamente l’accesso.

L’ingegnere allerta il comitato di crisi e il team tecnico si coordina tramite un canale cifrato alternativo, impedendo all’aggressore (che potrebbe monitorare le e-mail standard) di interferire nella strategia di difesa.

Post correlati