Sai rispondere a queste 10 domande sulla NIS2? La maggior parte delle organizzazioni non ci riesce
Hai letto gli articoli. Conosci la scadenza. Forse hai persino avviato un inventario interno.
Ma sai davvero rispondere a queste 10 domande?
Provengono dalla nostra valutazione di conformità NIS2 da 50 domande e ognuna mira a un punto cieco specifico che le organizzazioni sottovalutano sistematicamente. Non sono domande trabocchetto: sono le domande che porranno le autorità di vigilanza quando inizierà l''applicazione.
Sii onesto con te stesso. Se esiti su più di tre, hai lacune che richiedono attenzione.
Come funziona
Ogni domanda qui sotto corrisponde a una delle 10 categorie di misure di gestione del rischio dell''Articolo 21 della Direttiva NIS2. Insieme, queste categorie definiscono cosa significhi nella pratica una «cybersicurezza adeguata e proporzionata».
Abbiamo scelto la domanda più difficile di ciascuna categoria: quella che distingue le organizzazioni che si sono preparate davvero da quelle che hanno solo letto il riassunto.
Le 10 domande
1. Analisi dei rischi e sicurezza dei sistemi informativi
Puoi mostrare una valutazione dei rischi documentata e approvata dal consiglio che copra tutti gli asset, le minacce e le vulnerabilità rilevanti per la NIS2, aggiornata negli ultimi 12 mesi?
La maggior parte delle organizzazioni ha una qualche forma di registro dei rischi. Poche ne hanno uno che sia completo, aggiornato e approvato dal proprio organo di gestione come richiede l''Articolo 20 della NIS2. Una valutazione del rischio del 2022 che copra l''IT ma ignori l''OT, le dipendenze della catena di fornitura o i servizi cloud non soddisferà un regolatore.
2. Gestione degli incidenti
Hai un processo testato per rilevare, classificare e segnalare un incidente significativo alla tua autorità nazionale entro 24 ore?
La NIS2 richiede un preavviso entro 24 ore, una notifica completa entro 72 ore e una relazione finale entro un mese. La parola chiave è «testato». Una procedura documentata che non è mai stata provata è un fallimento documentato in attesa di accadere.
3. Continuità operativa e gestione delle crisi
Quando hai testato per l''ultima volta end-to-end il ripristino dei backup e il piano di disaster recovery, e puoi dimostrarlo?
Avere dei backup non è la stessa cosa che avere continuità operativa. La NIS2 richiede che tu possa effettivamente ripristinare le operazioni dopo un incidente. Se il tuo ultimo test di ripristino è stato «abbiamo verificato che il job di backup è andato a buon fine», quello non è un test: è una speranza.
4. Sicurezza della catena di fornitura
Puoi dimostrare di valutare e monitorare le pratiche di cybersicurezza dei tuoi fornitori critici, con criteri documentati e revisioni periodiche?
La sicurezza della catena di fornitura è l''area in cui la maggior parte delle organizzazioni presenta la lacuna più ampia. L''Articolo 21(3) della NIS2 richiede esplicitamente di affrontare i rischi di sicurezza derivanti dalle relazioni con i fornitori diretti e i prestatori di servizi. Un questionario standard inviato una sola volta in fase di onboarding non soddisfa questa soglia.
5. Sicurezza nell''acquisizione, sviluppo e manutenzione di reti e sistemi informativi
I tuoi processi di approvvigionamento e sviluppo includono requisiti di cybersicurezza dalla progettazione fino alla messa in produzione, inclusa la gestione e la divulgazione delle vulnerabilità?
Non si tratta solo di patching. La NIS2 si aspetta che la sicurezza sia integrata nel modo in cui acquisisci, costruisci e mantieni i sistemi. Se il tuo processo di acquisto valuta costo, funzionalità e tempi di consegna ma non la sicurezza, hai una lacuna strutturale.
6. Politiche e procedure per valutare l''efficacia delle misure di cybersicurezza
Come misuri se le tue misure di cybersicurezza funzionano davvero, e quando lo hai fatto l''ultima volta?
È la domanda che blocca la maggior parte delle organizzazioni. Avere le misure in atto è il primo passo. Dimostrare che sono efficaci è il secondo, ed è il passo che la NIS2 richiede esplicitamente. Se la tua risposta è «non abbiamo subito violazioni», quella non è una misurazione.
7. Pratiche di igiene informatica di base e formazione sulla cybersicurezza
Puoi dimostrare che tutto il personale, inclusa la dirigenza, ha ricevuto formazione di sensibilizzazione sulla cybersicurezza adeguata al proprio ruolo negli ultimi 12 mesi?
L''Articolo 20(2) richiede espressamente che gli organi di gestione seguano formazione. Non è opzionale. Non è «quando conviene». E «tutto il personale» significa tutti, inclusi i contrattisti e i lavoratori temporanei con accesso ai tuoi sistemi. Una singola simulazione di phishing annuale non è formazione.
8. Politiche e procedure sull''uso della crittografia e della cifratura
Hai una policy documentata su quando e come la cifratura viene applicata ai dati a riposo e in transito, con standard definiti e procedure di gestione delle chiavi?
Molte organizzazioni cifrano i dati in transito (HTTPS, VPN) ma non hanno una policy per i dati a riposo. La NIS2 richiede politiche e procedure documentate, non pratiche improvvisate. Se il tuo approccio alla crittografia è «usiamo quello che il fornitore imposta come default», quella non è una policy.
9. Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset
Esiste un processo documentato per concedere, revisionare e revocare i diritti di accesso, anche quando qualcuno cambia ruolo o lascia l''organizzazione?
Gli account orfani sono uno dei vettori d''attacco più comuni. La NIS2 si aspetta che tu gestisca i diritti di accesso come un processo continuo, non come una configurazione una tantum. Se occorrono più di 24 ore per revocare completamente l''accesso a un dipendente in uscita, il tuo processo presenta lacune.
10. Autenticazione a più fattori e comunicazioni sicure
L''MFA è imposta per tutti gli accessi privilegiati, le connessioni remote e l''amministrazione dei sistemi critici, con eccezioni documentate e una scadenza per chiudere le lacune?
La NIS2 non prescrive tecnologie specifiche, ma richiede l''uso «ove appropriato» dell''autenticazione a più fattori. In pratica, qualsiasi organizzazione che non imponga l''MFA per gli accessi amministrativi e il lavoro da remoto farà fatica a sostenere che le sue misure siano «adeguate».
Cosa dice il tuo punteggio
Conta le domande a cui puoi rispondere con un «sì» sicuro e documentato:
| Il tuo punteggio | Cosa significa |
|---|---|
| 8–10 «sì» sicuri | Base solida. Sei avanti rispetto alla maggior parte delle organizzazioni. Concentrati su documentazione e miglioramento continuo. |
| 5–7 «sì» sicuri | Lacune significative. Conosci le basi ma manchi della profondità che la NIS2 richiede. Dai priorità alle aree in cui hai esitato. |
| Meno di 5 | Azione urgente. La tua organizzazione ha lacune sostanziali di conformità che possono esporti a misure di applicazione oltre le sanzioni pecuniarie. |
Ricorda: le autorità di vigilanza non chiederanno se ci hai provato. Chiederanno se sei in grado di dimostrare che le tue misure sono adeguate e proporzionate. La documentazione non è burocrazia: è la tua prova.
Queste sono solo 10 su 50
Queste domande sono un campione della nostra valutazione completa di conformità NIS2 da 50 domande, che copre in profondità tutte le 10 categorie di misure dell''Articolo 21.
La quickscan gratuita ti offre una panoramica strutturata della tua situazione. La valutazione completa produce un report PDF dettagliato, il tipo che puoi mettere davanti al tuo consiglio dicendo: «ecco esattamente dove siamo ed ecco cosa dobbiamo fare».
Che tu sia un consulente IT che valuta i clienti, un responsabile della conformità che riferisce al consiglio o un CISO che costruisce un business case, la valutazione ti fornisce il punto di partenza strutturato e basato su evidenze che la NIS2 richiede.