Checklist per la compliance NIS2: valutazione del rischio cyber
Con l’entrata in vigore della Direttiva NIS2 (UE 2022/2555), la gestione del rischio cyber diventa un obbligo normativo, non più una buona pratica volontaria. Per le organizzazioni che operano in settori considerati essenziali o importanti (energia, finanza, sanità, trasporti, infrastrutture digitali), questo implica:
- Obbligo di condurre valutazioni documentate del rischio
- Coinvolgimento diretto del board e dei responsabili legali
- Sanzioni fino al 2% del fatturato annuo globale in caso di non conformità
Per CISO, IT manager e compliance officer, adeguarsi significa strutturare un processo di valutazione del rischio in linea con quanto richiesto agli articoli 21, 23 e 27 della direttiva.
In questo articolo presentiamo una checklist operativa aggiornata, una mappatura dei requisiti NIS2 e consigli pratici per dimostrare, documentare e migliorare la propria compliance.
Cosa richiede la NIS2 in tema di valutazione del rischio?
La NIS2 stabilisce che gli enti soggetti all’obbligo (operatori di servizi essenziali e soggetti importanti):
- Svolgano valutazioni periodiche del rischio cyber
- Integrino l’analisi dei rischi nella governance aziendale
- Adottino contromisure tecniche e organizzative proporzionate
- Documentino e mantengano disponibile il processo di Risk Assessment
Ogni misura tecnica o organizzativa deve avere come giustificazione una valutazione di rischio formale.
Riferimento ufficiale: Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio, articoli 21, 23 e 27.
Checklist NIS2: 10 punti chiave per valutare il rischio cyber
Verifica se il tuo processo di Risk Assessment è NIS2-compliant:
- Hai identificato e classificato gli asset critici (IT, OT, dati, applicazioni)?
- Hai mappato le minacce più rilevanti (ransomware, supply chain, insider)?
- Hai stimato impatto e probabilità per ciascun scenario (RA)?
- Hai una metodologia formale di RA documentata (es. ISO 27005, FAIR)?
- Il ciclo di valutazione è aggiornato almeno annualmente?
- Hai associato misure tecniche e organizzative ai rischi individuati?
- Il board è coinvolto nel ciclo decisionale e nei reporting?
- Hai incluso fornitori critici nel perimetro RA (TPRM)?
- Hai definito scenari di crisi e piani di escalation?
- Puoi fornire evidenze documentali di ogni fase (audit trail)?
Mini checklist operativa (RA NIS2-ready)
✅ Classifica asset IT/OT
✅ Mappa minacce e vulnerabilità note
✅ Associa controlli a ogni rischio individuato
✅ Documenta le decisioni e i criteri
✅ Riesamina ogni 6–12 mesi
✅ Verifica se i fornitori sono coperti dal RA
✅ Definisci un processo di escalation e reporting
Mappatura normativa: NIS2 → Risk Assessment
| Articolo NIS2 | Requisito | Implicazioni operative |
| Art. 21 | Adozione di misure basate sul rischio | Necessario un RA formale, coerente, documentato |
| Art. 23 | Obbligo di notifica incidenti | Il RA deve includere scenari di crisi, impatti, SLA |
| Art. 27 | Supervisione e audit da parte dell’autorità competente | Il RA deve essere auditabile, trasparente, verificabile |
ISO/IEC 27005:2022 è riconosciuta come metodologia ufficiale per la valutazione del rischio all’interno di un SGSI (ISO/IEC 27001:2022)
Quali framework usare per la valutazione del rischio cyber?
Non è obbligatorio utilizzare un framework specifico, ma è essenziale che il processo sia coerente, proporzionato e tracciabile.
- Aziende con SGSI, audit ISO, compliance UE: ISO/IEC 27005
- Settori finance, telco, assicurativo, contesti ROI-driven: FAIR
- Enti USA, infrastrutture critiche, contesto NIST: NIST SP 800-30
- PMI, PA, aziende in fase di avvio RA: NIST CSF
Dal rischio teorico alla prova documentale
Un RA incompleto, datato o non documentato può costare caro — non solo in termini di sanzioni, ma anche di reputazione.
La checklist e le best practice qui presentate ti aiutano a:
- Dimostrare conformità
- Ridurre il rischio reale
- Migliorare la readiness in caso di audit o incidente
❓FAQ – Domande frequenti sulla compliance NIS2
1. La NIS2 impone l’uso di un framework specifico?
No. La direttiva NIS2 non impone l’adozione di un framework specifico, ma richiede che il processo di valutazione del rischio sia formalizzato, coerente con la realtà dell’organizzazione, documentato e verificabile. L’importante è dimostrare la proporzionalità delle misure adottate in base al rischio.
2. Ogni quanto deve essere aggiornato il Risk Assessment?
Il Risk Assessment dovrebbe essere aggiornato almeno una volta all’anno. Tuttavia, ogni cambiamento significativo – come l’introduzione di nuovi sistemi IT/OT, nuovi fornitori, vulnerabilità critiche o cambiamenti normativi – richiede una revisione immediata.
3. Quali sono le sanzioni previste per non conformità?
La direttiva NIS2 prevede sanzioni fino al 2% del fatturato annuo globale dell’organizzazione. Inoltre, possono esserci responsabilità personali per i dirigenti in caso di gravi violazioni o negligenze nel processo di gestione del rischio.
4. È necessario coinvolgere il board nel RA?
Sì. Il coinvolgimento del board non è solo raccomandato, ma esplicitamente richiesto. La NIS2 stabilisce che i vertici aziendali siano informati, consapevoli e responsabili delle decisioni in ambito di sicurezza informatica e gestione del rischio.
Glossario tecnico
Vulnerabilità: debolezza che può essere sfruttata da una minaccia
Impatto: conseguenza economica, operativa o reputazionale di un evento
Rischio residuo: rischio che rimane dopo l’applicazione delle contromisure
TPRM: third-Party Risk Management, gestione rischio fornitori
Riesame: revisione periodica e aggiornamento del RA
📥 Scarica la checklist NIS2 (PDF)
Vuoi una versione stampabile e condivisibile con il tuo team?
[Scarica ora la checklist NIS2 per la valutazione del rischio cyber]
Vuoi capire se sei pronto per un audit NIS2?
Prenota una sessione gratuita con un esperto ISGroup per valutare il tuo processo RA, identificare gap e costruire un piano di conformità NIS2.
👉🏻 [Richiedi una consulenza gratuita](https://www.isgroup.it)