La NIS2 non si affronta con una checklist PDF trovata online
Molte aziende cercano una semplice lista da spuntare.
La realtà è diversa.
La direttiva NIS2 richiede un approccio strutturale alla sicurezza, non un documento formale da archiviare.
Serve una visione operativa.
Primo passo: capire se rientri davvero
Prima di tutto bisogna capire se l’azienda rientra direttamente o indirettamente.
Settore, dimensione, dipendenze e ruolo nella filiera fanno la differenza.
Senza questa analisi, tutto il resto rischia di essere inutile.
Governance e responsabilità
Il management deve essere coinvolto.
La sicurezza non è più solo un tema tecnico.
Servono ruoli chiari, responsabilità definite e capacità decisionale reale.
Incident Response
Bisogna sapere cosa fare quando succede qualcosa.
Non durante.
Prima.
Serve un piano di risposta agli incidenti con processi, escalation e responsabilità precise.
Backup e Disaster Recovery
I backup devono esistere davvero, essere verificati e utilizzabili.
Il disaster recovery non è teoria:
è tempo reale di ripartenza.
Business Continuity
Quanto tempo può restare ferma l’azienda?
Quali processi sono critici?
Chi decide durante la crisi?
Qui si misura la resilienza.
Accessi e controllo identità
MFA, privilegi, utenti, accessi remoti, account dimenticati.
Molti attacchi iniziano proprio da qui.
Fornitori e supply chain
Anche i partner diventano rischio.
La sicurezza dei fornitori è parte della sicurezza aziendale.
Monitoraggio continuo
Audit iniziale non basta.
Serve controllo continuo, visibilità e capacità di reazione.
Conclusione
La domanda giusta non è:
“abbiamo una checklist?”
ma:
“se domani succede qualcosa, siamo davvero pronti?”