NIS2 e Disaster Recovery: la guida completa

TL;DR

La direttiva NIS2 (Network and Information Security Directive 2, recepita in Italia con D.Lgs. 138/2024) impone misure di gestione del rischio cyber e di continuità operativa a un perimetro molto più ampio della precedente NIS. Per il Disaster Recovery, il punto chiave è l'articolo 21: piani di continuità misurabili, testati, documentati. Questa guida copre cosa richiede esattamente NIS2 lato DR, con quali deadline, quali sanzioni, e come arrivarci con uno sforzo realistico.

Cosa è NIS2 e a chi si applica

NIS2 è la direttiva europea 2022/2555 che sostituisce e amplia la NIS. In Italia è stata recepita con il Decreto Legislativo 138/2024, in vigore dal 16 ottobre 2024. Il regime sanzionatorio è progressivo, con la fase pienamente operativa dal 2026.

Il perimetro è molto più ampio della NIS:

• 18 settori (contro 7 della NIS) suddivisi in essenziali e importanti;
• soglie dimensionali (medio: 50+ dipendenti o fatturato > 10M €);
• catena di fornitura: chi fornisce servizi IT a un'entità NIS2 è coinvolto.

Risultato: secondo le stime di ACN, in Italia sono coinvolte 20.000-40.000 entità dirette, con effetto a cascata su decine di migliaia di fornitori.

L'articolo 21: il cuore tecnico della direttiva

L'articolo 21 elenca dieci categorie di misure che le entità NIS2 devono adottare. Per il DR rilevano direttamente:

• politiche di analisi del rischio e di sicurezza dei sistemi informatici;
• gestione degli incidenti;
• continuità operativa, con backup e ripristino;
• sicurezza della catena di approvvigionamento;
• pratiche di igiene cyber e formazione;
• procedure per valutare l'efficacia delle misure.

Per il DR ciò si traduce in 5 pilastri concreti:

1. piano DR scritto (non un excel, un documento approvato);
2. misurazione di RTO e RPO per processo critico;
3. backup off-site con verifica di integrità;
4. test periodici documentati;
5. procedure di notifica all'autorità e alla supply chain.

Le deadline italiane che contano

Tre date sono le uniche che è bene memorizzare:

• 18 ottobre 2024 — entrata in vigore del D.Lgs. 138/2024.
• 1 gennaio 2025 — apertura della finestra di registrazione presso ACN per le entità essenziali e importanti. La registrazione richiede l'identificazione del referente cyber e dei sistemi critici.
• 2026 a regime — controlli, audit e sanzioni applicate pienamente.

Verificate la propria posizione sul portale ACN. La registrazione tardiva è una delle prime infrazioni sanzionate (vedi sotto).

Le sanzioni: numeri reali

Le sanzioni amministrative sono significative:

• entità essenziali: fino a 10 milioni € o 2% del fatturato globale, il maggiore;
• entità importanti: fino a 7 milioni € o 1,4% del fatturato globale.

Inoltre il regolatore può imporre la sospensione di servizi o la perdita temporanea della certificazione professionale del management. Quest'ultima è la sanzione che fa più male in pratica: nessun amministratore vuole essere temporaneamente interdetto.

I sette controlli DR che NIS2 richiede direttamente

In una checklist compatta, NIS2 articolo 21 chiede al lato DR:

1. piano DR documentato, approvato dal management e revisionato annualmente;
2. RTO e RPO definiti per processo critico;
3. backup verificati per integrità (non solo "esistono");
4. backup off-site protetti da accessi privilegiati;
5. test di ripristino periodici, documentati con tempi misurati;
6. runbook di failover per ogni servizio critico;
7. procedura di notifica incidente (24h, 72h, finale).

Se mancano queste sette cose, l'audit non passa.

Notifica incidenti: 24h, 72h e finale

NIS2 introduce un meccanismo di notifica a tre tempi:

• 24 ore dall'evento: early warning a CSIRT-Italia;
• 72 ore dall'evento: notifica completa con dati noti;
• un mese dopo: report finale con root cause e azioni correttive.

Per il DR ciò significa avere già pronto un template di early warning e una catena di responsabilità definita su chi notifica.

Mappatura con ISO 27001:2022

Buona notizia: chi è già ISO 27001:2022 ha circa l'80% dei controlli NIS2. La mappatura è quasi 1-a-1 sui controlli dell'Annex A:

• A.5.30 → continuità operativa (NIS2 art. 21 lett. c);
• A.5.24-5.28 → gestione incidenti (NIS2 art. 21 lett. b);
• A.5.19-5.23 → supply chain (NIS2 art. 21 lett. d);
• A.6.3 → formazione (NIS2 art. 21 lett. g).

Il 20% mancante è di solito documentazione formale e procedure di notifica.

Cosa fare nei primi 90 giorni

Un piano realistico per arrivare ad essere "NIS2-ready":

• giorni 1-15: assessment iniziale, identificazione referente, registrazione ACN.
• giorni 16-45: BIA, definizione RTO/RPO, redazione policy continuità.
• giorni 46-75: verifica backup, gap analysis sui controlli mancanti, redazione runbook.
• giorni 76-90: primo test DR documentato, formazione del personale, revisione contratti fornitori IT.

In 90 giorni un'azienda media arriva al livello sufficiente per superare un'ispezione iniziale.

Sefthy e NIS2

Sefthy è progettato per coprire direttamente i punti b, c, d, e dell'articolo 21:

• backup off-site cifrati e verificati (DeepVerify);
• failover documentato con RTO misurato a ogni test;
• multi-tenant con segregazione di rete (rilevante per la supply chain);
• evidenze esportabili in PDF per audit.

I dati restano in Italia, su cloud sovrano. Per le entità essenziali questo è un punto critico.

FAQ

Chi non è soggetto a NIS2 in Italia?

Microimprese (sotto 10 dipendenti e 2M € di fatturato) sono fuori salvo che siano in settori specifici (pubblica amministrazione, telecomunicazioni, servizi fiduciari, registri TLD). Anche escluse, però, sono spesso "fornitori" di entità soggette: la supply chain riporta dentro la maggior parte degli MSP.

Se sono già ISO 27001 sono NIS2-compliant?

Quasi. La 27001:2022 copre l'80%. Manca formalmente la procedura di notifica al CSIRT e qualche evidenza specifica sulla gestione delle vulnerabilità.

Devo registrarmi anche se sono solo un fornitore?

Solo se siete inseriti in uno degli 18 settori. Diversamente, il vostro cliente NIS2 dovrà chiedervi attestazioni e SLA, ma non vi registrate direttamente.

Quanto costa adeguarsi?

Per una PMI italiana già con backup decente, 15-30k € una tantum + canone DR. Per chi parte da zero, 50-80k € + canone.

Vuoi capire come Sefthy si mappa sui controlli NIS2? Leggi Sefthy e conformità NIS2 o scarica la nostra checklist audit NIS2.