NIS2 Articolo 21(2)(c): cosa richiedono davvero backup e continuità operativa

Una banda di ransomware cifra l'ambiente di produzione di un cliente un venerdì sera. Il lunedì il cliente vuole sapere due cose: quando torneremo operativi e se possiamo dimostrare all'autorità di vigilanza di aver fatto tutto correttamente. Se il vostro piano di continuità operativa risiede in una cartella SharePoint che nessuno apre dal 2023, conoscete già la risposta a entrambe le domande.

L'articolo 21(2)(c) di NIS2 è la misura che la maggior parte delle organizzazioni crede di avere sotto controllo e che gli auditor trovano più spesso insufficiente. «Continuità operativa, come la gestione dei backup e il ripristino in caso di disastro, e gestione delle crisi» sembra una casella da spuntare con un manuale di ripristino esistente. Non lo è. Il Regolamento di esecuzione (UE) 2024/2690 della Commissione ha trasformato quell'unica sotto-disposizione in più di venti requisiti specifici e dimostrabili — e dal ciclo di audit di giugno 2026, quel regolamento è il metro a cui gli auditor ricorrono per primo.

Ecco cosa i vostri clienti devono effettivamente produrre, e dove si trovano di solito le lacune.

Il regolamento di esecuzione è lo standard con cui gli auditor misureranno

NIS2 in sé è deliberatamente vago. Elenca dieci misure all'articolo 21(2) e lascia il dettaglio agli Stati membri e alla Commissione. Per un insieme definito di soggetti — fornitori DNS, registri di domini di primo livello, fornitori di cloud e data center, fornitori di servizi gestiti e altre infrastrutture digitali — la Commissione ha colmato quel dettaglio direttamente con il CIR 2024/2690, applicabile dal 18 ottobre 2024.

Per tutti gli altri, il regolamento non è giuridicamente vincolante. Ma è la lettura più concreta dell'articolo 21 che esista, le autorità nazionali stanno allineando le loro checklist di audit ad esso, ed ENISA ha pubblicato linee guida tecniche di attuazione basate sulla stessa struttura. Trattatelo come il metro di fatto. Se un cliente soddisfa il CIR 2024/2690 sulla continuità operativa, nessun auditor nell'UE sosterrà che è venuto meno all'articolo 21(2)(c).

Il regolamento scompone la misura in tre cose che devono esistere in modo indipendente: un piano di continuità operativa e ripristino in caso di disastro, la gestione dei backup, e la gestione delle crisi. La maggior parte delle organizzazioni ne ha una su tre e dà per scontato che copra le altre. Non è così.

Articolo 21 — 10 Misure di Cybersicurezza NIS2
🛡️
Articolo 21
10 Misure di Cybersicurezza
📊
Governance & Strategia
1Analisi dei rischi & politiche di sicurezza delle informazioni
6Valutazione dell'efficacia delle misure di sicurezza
🚨
Incidenti & Continuità
2Gestione degli incidenti & notifica
3Continuità operativa & ripristino di emergenza
🔗
Catena di Fornitura & Sistemi
4Sicurezza della catena di fornitura
5Sicurezza nello sviluppo di sistemi di rete e informativi
🔐
Controlli Tecnici
8Crittografia & cifratura
10Autenticazione a più fattori & comunicazioni sicure
👥
Persone & Risorse
7Igiene informatica & formazione
9Sicurezza HR & controllo degli accessi

Un piano di continuità senza analisi di impatto è una congettura

Il primo requisito è un piano documentato di continuità e ripristino — ma il piano deve derivare da un'analisi di impatto sul business (BIA), non dall'intuito del team IT su ciò che conta.

Nella BIA si individuano i servizi critici e i sistemi che li sostengono, e si assegna a ciascuno un tempo massimo di inattività tollerabile. Da lì si stabilisce un Recovery Time Objective (RTO, con quale rapidità si ripristina) e un Recovery Point Objective (RPO, quanti dati si possono perdere). Questi due numeri guidano ogni decisione a valle: con quale frequenza si esegue il backup, dove si conservano i backup, come si progetta il failover.

Ecco la lacuna che gli auditor trovano di continuo. Il cliente ha annotato valori di RTO e RPO — quattro ore, quindici minuti, qualunque sia — ma il calendario dei backup e il progetto di ripristino non li realizzano. Un RPO di quindici minuti con backup notturni non è un obiettivo, è una finzione. Il regolamento si aspetta che obiettivi e architettura coincidano, e richiede che dimostriate questa coincidenza con un risultato di test, non con un'affermazione.

Per i consulenti, la BIA è inoltre il lavoro con la maggiore leva che possiate vendere. È indipendente dal framework, alimenta ISO 27001 e DORA contemporaneamente, e quasi nessun cliente PMI ne ha realizzata una correttamente.

I backup devono essere isolati, immutabili e con ripristino dimostrato

La gestione dei backup secondo il CIR 2024/2690 è il punto in cui la realtà del ransomware incontra la conformità. Tre cose non sono negoziabili.

I backup devono essere separati dalla produzione. Un backup sullo stesso dominio, raggiungibile con le stesse credenziali, viene cifrato insieme a tutto il resto. Il regolamento si aspetta una separazione logica e idealmente fisica.

I backup devono essere protetti dalle modifiche — immutabilità o controlli equivalenti, così che un aggressore con diritti di amministratore non possa eliminare o sovrascrivere i punti di ripristino. Questo è il più grande cambiamento architetturale che la maggior parte dei clienti deve ancora attuare.

E i backup devono essere testati ripristinandoli davvero. Un job di backup che segnala «successo» ogni notte vi dice che la scrittura ha funzionato. Non dice nulla sul fatto che i dati si ripristinino in un sistema funzionante entro il vostro RTO. L'allegato 4.3 del regolamento richiede specificamente test di ripristino con risultati documentati e azioni correttive.

La call to action si scrive da sola per qualsiasi MSP: la postura di backup dei vostri clienti è la parte di NIS2 più rapida da valutare e la più facile da migliorare in modo dimostrabile. La nostra scansione rapida NIS2 gratuita vi offre una base di partenza difendibile per esattamente questa conversazione.

La gestione delle crisi è un team designato e una catena decisionale provata, non una rubrica telefonica

Il terzo pilastro è quello che le organizzazioni dimenticano finché non ne hanno bisogno. La gestione delle crisi secondo NIS2 significa una struttura di leadership definita con ruoli chiari, autorità decisionale e procedure di comunicazione che funzionino sotto pressione.

In pratica significa un team di crisi designato, soglie di escalation documentate, modelli di comunicazione predisposti (anche per autorità e clienti), e la consapevolezza di chi può autorizzare cosa quando i sistemi sono fuori uso e i consueti approvatori sono irraggiungibili. Il regolamento tratta i modelli di comunicazione di crisi come uno specifico elemento di prova — gli auditor li richiederanno.

Questo si collega direttamente all'orologio di notifica di NIS2. Il piano di crisi è ciò che riunisce le persone giuste abbastanza in fretta da rispettare le scadenze di 24 ore (allerta precoce) e 72 ore (notifica) ai sensi dell'articolo 23. Un backup che si ripristina in quattro ore non vale nulla se nessuno ha deciso di dichiarare un incidente nei primi tre giorni.

Cronologia delle Notifiche di Incidenti NIS2
24h
⚡
Allerta Precoce
Notificare all'autorità competente (CSIRT/ANC) entro 24 ore dalla conoscenza di un incidente significativo.
Fase 1
72h
📋
Notifica dell'Incidente
Presentare una notifica dettagliata entro 72 ore con una valutazione iniziale della gravità, dell'impatto e degli indicatori di compromissione.
Fase 2
1mo
📊
Rapporto Finale
Consegnare un rapporto finale completo entro un mese che copra la causa principale, le misure adottate e l'impatto transfrontaliero.
Fase 3
24h
⚡
Allerta Precoce
Notificare all'autorità competente (CSIRT/ANC) entro 24 ore dalla conoscenza di un incidente significativo.
72h
📋
Notifica dell'Incidente
Presentare una notifica dettagliata entro 72 ore con una valutazione iniziale della gravità, dell'impatto e degli indicatori di compromissione.
1mo
📊
Rapporto Finale
Consegnare un rapporto finale completo entro un mese che copra la causa principale, le misure adottate e l'impatto transfrontaliero.

Cosa significa «prova» in un audit del 2026

Il cambiamento che coglie impreparate le organizzazioni in questo ciclo di audit è di natura probatoria. Gli auditor non si accontentano più che un piano esista. Vogliono vedere che è stato testato, che il test ha individuato problemi e che i problemi sono stati corretti.

Per ogni test di ripristino, il regolamento si aspetta un output documentato: la data e chi vi ha partecipato, lo scenario utilizzato, i problemi rilevati con livelli di gravità, le azioni correttive con responsabili nominati e scadenze, i risultati misurati rispetto ai vostri RTO e RPO dichiarati, e l'approvazione del management. Un piano senza verbale di test è trattato come un piano che non funziona.

Costruite la traccia delle prove man mano, non la settimana prima dell'audit. Le organizzazioni che faticano a giugno 2026 sono quelle che trattano la documentazione come un ripensamento anziché come un sottoprodotto dell'esecuzione effettiva del processo.

Escalation delle sanzioni NIS2 — Oltre la multa
!
Evento scatenante
Non conformità rilevata o incidente verificatosi
Un'autorità di vigilanza identifica una lacuna di conformità o un'organizzazione non soddisfa i requisiti NIS2
Le autorità possono imporre
▼
Sanzioni non finanziarie
1
Ordini di conformità con scadenze vincolanti
2
Audit di sicurezza obbligatori a vostre spese
3
Divulgazione pubblica delle violazioni
4
Istruzioni vincolanti su misure di sicurezza specifiche
Scala verso
▼
Conseguenze operative e personali
1
Sospensione di certificazioni o licenze operative
2
Divieto temporaneo di funzioni dirigenziali per individui
3
Denominazione pubblica delle persone fisiche responsabili
Evento scatenante
Non finanziario
Operativo / personale

L'esposizione alle sanzioni regge il caso da sola. I soggetti essenziali rischiano multe fino a 10 milioni di euro o il 2% del fatturato annuo mondiale, e un fallimento della continuità che trasforma un incidente recuperabile in un'interruzione prolungata è esattamente il tipo di negligenza che le autorità segnalano di voler perseguire. Ma l'argomento più forte con i clienti è operativo, non normativo: un'organizzazione che può dimostrare di ripristinare i servizi critici entro una finestra definita è semplicemente un'azienda gestita meglio.

Da dove iniziare con un cliente questo trimestre

Eseguite prima l'analisi di impatto sul business — senza di essa ogni altra decisione è una congettura. Poi verificate tre cose in ordine: se i backup sono isolati e immutabili, se negli ultimi dodici mesi è stato eseguito un vero test di ripristino, e se esiste un team di crisi designato con modelli pronti all'invio. Questi tre controlli separano i clienti davvero pronti da quelli che hanno un documento.

Per una lettura rapida di dove si trova un'organizzazione su tutte le dieci misure dell'articolo 21, la scansione rapida NIS2 trasforma un vago «siamo conformi?» in un elenco concreto di lacune su cui agire.

L'articolo 21(2)(c) premia il lavoro noioso: backup testati, decisioni messe per iscritto, risposte provate. È anche il lavoro che fa sì che un attacco ransomware un venerdì sera sia un brutto weekend anziché un evento fatale per l'azienda.