Checklist per la compliance NIS2: valutazione del rischio cyber
Table of Contents
Con l’entrata in vigore della Direttiva NIS2 (UE 2022/2555), la gestione del rischio cyber diventa un obbligo normativo, non più una buona pratica volontaria. Per le organizzazioni che operano in settori considerati essenziali o importanti (energia, finanza, sanità, trasporti, infrastrutture digitali), questo implica:
- Obbligo di condurre valutazioni documentate del rischio
- Coinvolgimento diretto del board e dei responsabili legali
- Sanzioni fino al 2% del fatturato annuo globale in caso di non conformità
Per CISO, IT manager e compliance officer, adeguarsi significa strutturare un processo di valutazione del rischio in linea con quanto richiesto agli articoli 21, 23 e 27 della direttiva.
In questo articolo presentiamo una checklist operativa aggiornata, una mappatura dei requisiti NIS2 e consigli pratici per dimostrare, documentare e migliorare la propria compliance.
Cosa richiede la NIS2 in tema di valutazione del rischio?
La NIS2 stabilisce che gli enti soggetti all’obbligo (operatori di servizi essenziali e soggetti importanti):
- Svolgano valutazioni periodiche del rischio cyber
- Integrino l’analisi dei rischi nella governance aziendale
- Adottino contromisure tecniche e organizzative proporzionate
- Documentino e mantengano disponibile il processo di Risk Assessment
Ogni misura tecnica o organizzativa deve avere come giustificazione una valutazione di rischio formale.
Riferimento ufficiale: Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio, articoli 21, 23 e 27.
Checklist NIS2: 10 punti chiave per valutare il rischio cyber
Verifica se il tuo processo di Risk Assessment è NIS2-compliant:
- Hai identificato e classificato gli asset critici (IT, OT, dati, applicazioni)?
- Hai mappato le minacce più rilevanti (ransomware, supply chain, insider)?
- Hai stimato impatto e probabilità per ciascun scenario (RA)?
- Hai una metodologia formale di RA documentata (es. ISO 27005, FAIR)?
- Il ciclo di valutazione è aggiornato almeno annualmente?
- Hai associato misure tecniche e organizzative ai rischi individuati?
- Il board è coinvolto nel ciclo decisionale e nei reporting?
- Hai incluso fornitori critici nel perimetro RA (TPRM)?
- Hai definito scenari di crisi e piani di escalation?
- Puoi fornire evidenze documentali di ogni fase (audit trail)?
Mini checklist operativa (RA NIS2-ready)
- Classifica asset IT/OT
- Mappa minacce e vulnerabilità note
- Associa controlli a ogni rischio individuato
- Documenta le decisioni e i criteri
- Riesamina ogni 6–12 mesi
- Verifica se i fornitori sono coperti dal RA
- Definisci un processo di escalation e reporting
Mappatura normativa: NIS2 → Risk Assessment
| Articolo NIS2 | Requisito | Implicazioni operative |
| Art. 21 | Adozione di misure basate sul rischio | Necessario un RA formale, coerente, documentato |
| Art. 23 | Obbligo di notifica incidenti | Il RA deve includere scenari di crisi, impatti, SLA |
| Art. 27 | Supervisione e audit da parte dell’autorità competente | Il RA deve essere auditabile, trasparente, verificabile |
ISO/IEC 27005:2022 è riconosciuta come metodologia ufficiale per la valutazione del rischio all’interno di un SGSI (ISO/IEC 27001:2022)
Quali framework usare per la valutazione del rischio cyber?
Non è obbligatorio utilizzare un framework specifico, ma è essenziale che il processo sia coerente, proporzionato e tracciabile.
- Aziende con SGSI, audit ISO, compliance UE: ISO/IEC 27005
- Settori finance, telco, assicurativo, contesti ROI-driven: FAIR
- Enti USA, infrastrutture critiche, contesto NIST: NIST SP 800-30
- PMI, PA, aziende in fase di avvio RA: NIST CSF
Dal rischio teorico alla prova documentale
Un RA incompleto, datato o non documentato può costare caro — non solo in termini di sanzioni, ma anche di reputazione.
La checklist e le best practice qui presentate ti aiutano a:
- Dimostrare conformità
- Ridurre il rischio reale
- Migliorare la readiness in caso di audit o incidente
❓FAQ – Domande frequenti sulla compliance NIS2
- La NIS2 impone l’uso di un framework specifico?
- No. La direttiva NIS2 non impone l’adozione di un framework specifico, ma richiede che il processo di valutazione del rischio sia formalizzato, coerente con la realtà dell’organizzazione, documentato e verificabile. L’importante è dimostrare la proporzionalità delle misure adottate in base al rischio.
- Ogni quanto deve essere aggiornato il Risk Assessment?
- Il Risk Assessment dovrebbe essere aggiornato almeno una volta all’anno. Tuttavia, ogni cambiamento significativo – come l’introduzione di nuovi sistemi IT/OT, nuovi fornitori, vulnerabilità critiche o cambiamenti normativi – richiede una revisione immediata.
- Quali sono le sanzioni previste per non conformità?
- La direttiva NIS2 prevede sanzioni fino al 2% del fatturato annuo globale dell’organizzazione. Inoltre, possono esserci responsabilità personali per i dirigenti in caso di gravi violazioni o negligenze nel processo di gestione del rischio.
- È necessario coinvolgere il board nel RA?
- Sì. Il coinvolgimento del board non è solo raccomandato, ma esplicitamente richiesto. La NIS2 stabilisce che i vertici aziendali siano informati, consapevoli e responsabili delle decisioni in ambito di sicurezza informatica e gestione del rischio.
Glossario tecnico
- Vulnerabilità Debolezza che può essere sfruttata da una minaccia
- Impatto Conseguenza economica, operativa o reputazionale di un evento
- Rischio residuo Rischio che rimane dopo l’applicazione delle contromisure
- TPRM Third-Party Risk Management, gestione rischio fornitori
- Riesame Revisione periodica e aggiornamento del RA
RA – Risk Assessment Avanzato
Valuta la tua resilienza cyber prima che lo facciano gli hacker. Il nostro Risk Assessment Strategico identifica vulnerabilità reali, misura l’impatto sul business e ti guida nel rispetto di GDPR, NIS2, DORA.
Ricevi un report tecnico con executive summary e roadmap di intervento.