In vigore dal 17 ott 2024·Giorno 575·

Riferimento · Articolo 21Ultima revisione il 15 mag 2026

Le 21 misure, spiegate con chiarezza.

L’articolo 21 della direttiva (UE) 2022/2555 elenca dieci categorie di misure di gestione del rischio cyber. Le abbiamo declinate in 21 punti di controllo concreti, raggruppati secondo ciò che il vostro team deve effettivamente consegnare.

§ 01

Governance

La NIS2 fa della cybersicurezza un obbligo di livello consiliare. L’articolo 20 impone agli organi di gestione di approvare le misure di gestione del rischio cyber, vigilare sulla loro attuazione e seguire formazione idonea a identificare e gestire il rischio. Lo stesso articolo introduce la responsabilità personale degli amministratori — discontinuità voluta rispetto alla NIS1. In concreto, quattro artefatti sono richiesti: politica di sicurezza approvata dal consiglio, ruoli e accountability scritti, formazione tracciata e revisione indipendente portata al consiglio. Senza questa ossatura, il resto dell’articolo 21 non regge. Il Regolamento di esecuzione 2024/2690 tratta la governance come precondizione di ogni altra categoria di controllo.

  1. M.01

    Politiche di sicurezza dell’informazione — approvate dal consiglio

    Una politica scritta approvata dal consiglio definisce propensione al rischio, ambito e cadenza di revisione — senza di essa ogni altra misura diventa estemporanea. L’Allegato A.5.1 di ISO 27001 è il riferimento operativo.

  2. M.02

    Ruoli, responsabilità e accountability formalmente documentati

    Ogni controllo ha un proprietario nominato; la separazione delle funzioni è documentata per le operazioni ad alto rischio. I supervisori chiederanno «chi ha approvato» a seguito di un incidente.

  3. M.03

    Formazione degli amministratori sul rischio cyber

    L’articolo 20, paragrafo 2, rende obbligatoria e tracciabile la formazione degli amministratori. I moduli di awareness generici non bastano — la formazione deve permettere di comprendere i rischi specifici dell’ente.

  4. M.04

    Revisione indipendente annuale del programma di sicurezza

    Un audit esterno o interno indipendente che esamini la maturità del programma ogni anno. Gli esiti sono portati al consiglio con piano di rimedio e calendario.

§ 02

Gestione del rischio

L’articolo 21, paragrafo 2, lettera a) richiede politiche di analisi del rischio e di sicurezza dei sistemi informativi. La lettera c) aggiunge continuità operativa, gestione dei backup e gestione delle crisi. È il ponte tra intenzione di governance ed esecuzione tecnica: metodologia di rischio scritta, registro vivo aggiornato con nuove minacce e variazioni di asset, inventario che rifletta ciò che è realmente in esercizio, e piani di continuità le cui procedure di ripristino siano state testate — non solo redatte. I supervisori NIS2 si aspettano evidenze di esercitazione, non soli documenti. Test di restore, esercizi tabletop e verbali controfirmati costituiscono la pista di audit che trasforma un registro cartaceo in un programma difendibile.

  1. M.05

    Metodologia di analisi del rischio e registro dei rischi aggiornato

    Una metodologia documentata (qualitativa o quantitativa) e un registro rivisto almeno trimestralmente. I registri statici sono un campanello d’allarme tipico per i supervisori.

  2. M.06

    Inventario degli asset: sistemi informativi e dati

    Non si protegge ciò che non si sa di esercire. L’inventario copre hardware, software, servizi cloud, flussi di dati e dipendenze — aggiornato automaticamente ove possibile.

  3. M.07

    Piani di continuità operativa e gestione delle crisi

    I piani coprono perdita del sito, del fornitore e dell’accesso. Definiscono RTO/RPO per servizio, protocolli di comunicazione e catena di comando in crisi.

  4. M.08

    Backup: procedure di ripristino testate

    Un backup mai ripristinato resta teorico. La NIS2 attende evidenze di test di restore regolari, idealmente con configurazioni resilienti al ransomware (immutabili, offline o air-gapped).

§ 03

Misure tecniche

L’articolo 21, paragrafo 2, elenca la base tecnica: crittografia (lettera h), autenticazione multifattore (lettera j), gestione degli incidenti (lettera b), sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi (lettera e), sicurezza del personale e controllo degli accessi (lettera i). Il Regolamento di esecuzione 2024/2690 traduce i punti in controlli concreti — MFA su accessi remoti e amministrativi, segmentazione tra zone di fiducia, gestione delle vulnerabilità con cadenza di patching, EDR sugli endpoint, ciclo di sviluppo sicuro per il codice interno e dei fornitori. Nulla di inedito nel merito: l’insieme si allinea all’Allegato A di ISO 27001 e al NIST CSF. La NIS2 eleva la «buona pratica» a soglia legale con diritto di ispezione.

  1. M.09

    Autenticazione multifattore su tutti gli accessi critici

    L’articolo 21, paragrafo 2, lettera j) richiede esplicitamente la MFA. L’accesso critico include account amministrativi, accesso remoto, applicazioni esposte e accesso a dati sensibili — i fattori resistenti al phishing sono sempre più attesi.

  2. M.10

    Politica di crittografia e cifratura

    Una politica che specifichi algoritmi, ciclo di vita delle chiavi e dove la cifratura è richiesta (dati a riposo, in transito, nei backup). L’ENISA indica la preparazione post-quantistica come criterio prospettico.

  3. M.11

    Segmentazione di rete e principi zero-trust

    Le reti piatte fanno di un compromesso iniziale un blackout settoriale. La segmentazione isola i sistemi critici; lo zero-trust sostituisce la fiducia implicita con la verifica continua di identità e postura del dispositivo.

  4. M.12

    Gestione delle vulnerabilità e cadenza di patching

    Un SLA di patching documentato per criticità (critico / alto / medio), un processo per patch d’emergenza fuori ciclo e gestione delle eccezioni per sistemi non patchabili con controlli compensativi.

  5. M.13

    Detection and response sugli endpoint (EDR)

    EDR o XDR su postazioni e server — oltre l’antivirus tradizionale. La telemetria va conservata abbastanza a lungo per l’analisi forense (tipicamente 6–12 mesi) e alimenta il SOC o l’MSSP.

  6. M.14

    Ciclo di sviluppo software sicuro

    Modellazione delle minacce in fase di design, scansione delle dipendenze in CI, rilevamento di segreti, revisione del codice e test applicativi a runtime. Vale in egual modo per i team interni e per gli sviluppatori esternalizzati.

§ 04

Catena di approvvigionamento

L’articolo 21, paragrafo 2, lettera d) eleva la sicurezza dei terzi a obbligo diretto: il soggetto deve trattare i rischi che derivano dai fornitori e prestatori di servizi. Le valutazioni coordinate del Gruppo di cooperazione (modello derivato dalla 5G toolbox) ne indicano la direzione — valutazioni settoriali dei fornitori critici, con misure che possono arrivare a restrizioni di fornitore. Tre strati in pratica: valutazioni di sicurezza precontrattuali, clausole contrattuali che reggono in operazioni (notifica, audit, controllo dei sub-fornitori), monitoraggio continuo dell’esposizione verso terzi (incidenti, sanzioni, rischio geopolitico). Kaseya, SolarWinds e MOVEit sono il riferimento implicito: un fornitore critico può far cadere un intero settore, e l’autorità di vigilanza vorrà vedere la vostra mappatura.

  1. M.15

    Valutazioni di sicurezza dei fornitori

    Stratificate i fornitori (quali possono mettervi in ginocchio?) e richiedete valutazioni di sicurezza proporzionate allo strato — questionari, certificazioni (ISO 27001, SOC 2) o audit in loco per i più critici.

  2. M.16

    Clausole di sicurezza contrattuali per fornitori critici

    Diritto di audit, tempi di notifica degli incidenti (allineati ai propri obblighi NIS2), localizzazione dei dati se richiesta, disclosure dei sub-fornitori, assistenza di uscita/transizione. Le clausole devono reggere a rinnovi e a fusioni e acquisizioni.

  3. M.17

    Monitoraggio continuo dell’esposizione verso terzi

    Monitoraggio della superficie di attacco esterna, screening sanzioni, intelligence sulle violazioni e rivalutazione al cambio di assetto proprietario del fornitore. Un questionario annuale statico non soddisfa il requisito «continuo» della NIS2.

§ 05

Gestione incidenti

L’articolo 23 fissa una cadenza in tre tempi: preallarme entro 24 ore, notifica di incidente entro 72 ore con valutazione iniziale di gravità, relazione finale entro un mese. Il presupposto è l’incidente «significativo» — quello che ha causato o può causare un grave disservizio operativo, perdite finanziarie o impatto su terzi. Dietro queste scadenze, gli artefatti operativi: playbook di rilevamento e classificazione, catena di escalation che raggiunga il CSIRT o l’autorità competente, matrice di gravità utilizzabile dalla reperibilità alle 3 di notte, e processo di lessons learned. Diversi regolatori pubblicano già massimali per ritardi nelle notifiche — rispettare 24/72/30 è la voce più economica del programma.

  1. M.18

    Playbook di rilevamento, classificazione ed escalation

    Runbook documentati per gli scenari più probabili (ransomware, esfiltrazione di dati, DDoS, compromissione della catena di fornitura, minaccia interna). Ogni runbook elenca i passaggi di triage, i criteri di classificazione e la catena di escalation.

  2. M.19

    Preallarme 24 h al CSIRT

    Entro 24 ore dalla conoscenza di un incidente significativo, preallarme al CSIRT o all’autorità competente — anche con informazioni parziali. Il termine decorre dalla conoscenza, non dalla comprensione completa.

  3. M.20

    Notifica di incidente a 72 h con valutazione di gravità

    Notifica formale entro 72 ore con gravità iniziale, indicatori di compromissione ed eventuale impatto transfrontaliero. Gli aggiornamenti seguono l’evoluzione della valutazione.

  4. M.21

    Relazione finale entro un mese

    Relazione dettagliata entro un mese che copra causa primaria, impatto effettivo, mitigazioni applicate e lessons learned. Questa relazione costituisce la base per qualsiasi seguito del supervisore.

Organo di amministrazione in piena discussione — il momento in cui viene commissionato l’auditAzione · Avviare l’autovalutazione

§ Azione

Pronti a mettere numeri su tutto questo?

Fate l’autovalutazione in 21 punti. Punteggio in due minuti. Uscite con un piano d’azione prioritizzato, pronto per essere portato all’organo di amministrazione.

Avviare l’autovalutazione