Articolo 21: il cuore operativo della NIS2
L'Art. 21 della Direttiva NIS2 non è un suggerimento: è un obbligo di legge che definisce le misure minime di gestione del rischio cyber. Recepito nel D.Lgs. 138/2024, si applica a tutti i soggetti essenziali e importanti. Ecco i 10 requisiti, tradotti in azioni concrete per le PMI.
1. Politiche di analisi dei rischi e sicurezza dei sistemi informatici
Serve un documento formale di risk assessment. Non un PDF generico da consulente: una mappatura reale degli asset, delle minacce probabili e delle contromisure attive. Deve essere approvato dal management e rivisto almeno annualmente.
2. Gestione degli incidenti
Procedura scritta di incident response: chi fa cosa, entro quanto tempo, con quali strumenti. La NIS2 richiede notifica all'ACN entro 24 ore (early warning) e report completo entro 72 ore. Senza una procedura testata, questi tempi sono irrealistici.
3. Continuità operativa e gestione delle crisi
Un piano di business continuity che copra: backup verificati, disaster recovery, comunicazione di crisi. Il 60% delle PMI italiane non ha un piano di DR testato (Cyber Index PMI 2025). È il momento di cambiare.
4. Sicurezza della supply chain
Dovete valutare la sicurezza dei vostri fornitori critici, specialmente quelli IT. Clausole contrattuali, questionari di sicurezza, audit periodici. Se il vostro provider cloud viene compromesso, la responsabilità è anche vostra.
5. Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi
Se sviluppate software o gestite sistemi IT: secure development lifecycle, patching regolare, vulnerability management. Ogni CVE critica non patchata entro 48 ore è un rischio documentabile.
6. Politiche per valutare l'efficacia delle misure
Audit interni, penetration test, vulnerability assessment periodici. Non basta implementare: bisogna dimostrare che le misure funzionano. Almeno un test all'anno, documentato.
7. Pratiche di igiene informatica e formazione
Formazione obbligatoria per tutti i dipendenti. Non la slide annuale: simulazioni di phishing, training interattivo, metriche di miglioramento. Il rapporto Verizon DBIR 2025 conferma che il 74% dei breach coinvolge l'elemento umano.
8. Politiche sull'uso della crittografia
Encryption at rest e in transit per i dati sensibili. TLS 1.3 per le comunicazioni, AES-256 per i dati archiviati. Niente password in chiaro, niente dati su canali non cifrati.
9. Sicurezza delle risorse umane e controllo degli accessi
MFA obbligatoria su tutti gli account privilegiati. Principio del minimo privilegio. Procedure di onboarding/offboarding che includono la revoca immediata degli accessi. Il 34% dei breach sfrutta credenziali compromesse (Verizon DBIR 2025).
10. Autenticazione multi-fattore e comunicazioni sicure
MFA non è opzionale: è un requisito esplicito. Soluzioni come TOTP, chiavi hardware FIDO2 o app authenticator. Per le comunicazioni interne sensibili: canali cifrati end-to-end.
Il percorso pratico
Nessuna PMI può implementare tutto in un giorno. La chiave è un piano a 90 giorni: primi 30 giorni per gap analysis e quick wins (MFA, backup), 60 giorni per procedure e policy, 90 giorni per formazione e test. Un approccio proporzionato, documentato e sostenibile.