NIS2Audit

Audit NIS2: la checklist che usiamo davvero in azienda

52 punti raggruppati in 10 macroaree. Una giornata di lavoro per la prima passata, mezza giornata per le successive.

2 min di lettura

TL;DR

Una checklist NIS2 di 52 punti suddivisi in 10 macroaree, basata sull'articolo 21 e sulle linee guida ACN. Una giornata per la prima passata, mezza per le successive. Stampabile.

Macroarea 1 — Governance (5 punti)

  1. Politica di sicurezza approvata dal management e datata negli ultimi 12 mesi.
  2. Referente NIS2 nominato e registrato in ACN.
  3. Risk assessment formale degli ultimi 12 mesi.
  4. Comitato cyber con verbali di riunione.
  5. Inventario dei sistemi critici aggiornato.

Macroarea 2 — Continuità operativa (8 punti)

  1. Piano DR scritto e firmato.
  2. RTO e RPO definiti per processo critico.
  3. Backup verificati per integrità nei 30 giorni.
  4. Backup off-site cifrati.
  5. Runbook DR per ciascun servizio critico.
  6. Test DR documentato negli ultimi 12 mesi.
  7. Procedura di failover testata.
  8. BIA aggiornata negli ultimi 24 mesi.

Macroarea 3 — Gestione incidenti (6 punti)

  1. Procedura di rilevamento incidenti.
  2. Template di early warning pronto.
  3. Catena di responsabilità definita.
  4. Esercitazione di notifica negli ultimi 12 mesi.
  5. SIEM o equivalente attivo.
  6. Log retention conforme al D.Lgs. 138.

Macroarea 4 — Supply chain (5 punti)

  1. Inventario fornitori IT critici.
  2. Contratti con clausole NIS2.
  3. Risk assessment dei fornitori.
  4. Verifica delle certificazioni dei fornitori.
  5. Procedura di gestione modifiche fornitore.

Macroarea 5 — Crittografia (4 punti)

  1. Inventario chiavi crittografiche.
  2. Procedura key management documentata.
  3. Cifratura dati a riposo per sistemi critici.
  4. Cifratura dati in transito (TLS 1.2+).

Macroarea 6 — Controllo accessi (6 punti)

  1. MFA obbligatoria per account privilegiati.
  2. MFA per accesso remoto.
  3. Procedura di provisioning/deprovisioning utenti.
  4. Revisione accessi semestrale.
  5. Privileged Access Management (PAM) attivo.
  6. Login centralizzato (SSO o equivalente).

Macroarea 7 — Sviluppo sicuro (4 punti)

  1. SDLC con security review.
  2. Static Analysis su codice prodotto.
  3. Vulnerability scanning periodico.
  4. Patch management documentato.

Macroarea 8 — Risorse umane (5 punti)

  1. Formazione cyber annuale per tutto il personale.
  2. Formazione mirata per ruoli IT.
  3. Procedura disciplinare per violazioni.
  4. Verifica precedenti su personale critico.
  5. NDA con dipendenti.

Macroarea 9 — Monitoraggio (5 punti)

  1. Monitoraggio 24/7 sistemi critici.
  2. Soglie di allarme tarate.
  3. Procedura di escalation.
  4. Test di efficacia delle misure di sicurezza.
  5. Penetration test annuale.

Macroarea 10 — Documentazione (4 punti)

  1. Tutte le policy datate e versionate.
  2. Repository centralizzato delle evidenze.
  3. Procedure di audit interno.
  4. Calendario di revisione delle policy.

Come usarla

  • prima passata: una giornata, segnando OK / KO / parziale;
  • per ogni KO o parziale: aprire un'azione correttiva con responsabile e scadenza;
  • ripetere ogni 6 mesi.

FAQ

Devo coprire tutti i 52 punti?

Sì, ma proporzionalmente al rischio. Una PMI può fare meno sui punti 35-37 (sviluppo) se non sviluppa software in casa.

Va condivisa con i dipendenti?

La checklist no. La policy generale sì.

Per le misure tecniche, Misure tecniche minime NIS2. Per la notifica incidenti, Notifica incidenti NIS2.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo