La NIS2 in pratica | Ep. 3: Ho già la ISO 27001, sono a posto con la NIS2?

Articolo di Nis2Lab.

Benvenuti in “La NIS2 in pratica”, la rubrica editoriale di NIS2Lab dedicata ad accompagnare le aziende e i professionisti IT nel percorso di adeguamento alla direttiva europea NIS2. In questa serie di articoli, affronteremo in modo pratico e operativo tutto ciò che serve sapere per trasformare l’obbligo normativo in un vantaggio competitivo, tutelando il business, la filiera e i vertici aziendali.

Una delle domande più frequenti che i consulenti IT e gli MSP si sentono rivolgere dalle aziende più strutturate è: “Abbiamo appena rinnovato la certificazione ISO/IEC 27001, siamo automaticamente conformi anche alla NIS2, vero?”

La risposta breve è: no, non siete automaticamente conformi.

La risposta articolata è che possedere un sistema di gestione della sicurezza delle informazioni (ISMS) certificato ISO 27001:2022 vi mette in una posizione di enorme vantaggio, andando a coprire circa il 70-80% dei requisiti operativi previsti dalla normativa europea.

Tuttavia, bisogna comprendere una differenza sostanziale: la ISO 27001 è uno standard volontario di gestione, mentre la NIS2 (recepita in Italia dal D.Lgs. 138/2024) è una norma prescrittiva cogente. Quest’ultima richiede adempimenti legali, documenti specifici e mappature che non sono sempre presenti nel framework ISO. In questo terzo episodio, analizzeremo esattamente quali sono i “gap” da colmare.

I 4 gap principali tra ISO 27001 e Direttiva NIS2

Per trasformare un’azienda “ISO Compliant” in un’azienda “NIS2 Compliant”, è necessario intervenire su quattro aree critiche dove la normativa europea impone vincoli più stringenti.

1. Dalla “direzione” alla responsabilità penale del CdA

Nella ISO 27001, l’impegno del vertice si traduce nel “supporto dell’Alta Direzione”. La NIS2, invece, impone responsabilità legali e sanzionabili dirette agli organi di amministrazione. Non basta una dichiarazione di intenti: serve un verbale formale di approvazione delle misure di sicurezza da parte del CdA. Inoltre, mentre la formazione nella ISO è generale, la NIS2 richiede attestati di formazione specifici e obbligatori per il management.

2. Tempistiche di notifica degli incidenti

Se un incidente informatico colpisce un’azienda ISO, la notifica avviene secondo le procedure interne o verso gli stakeholder definiti. La NIS2 cambia le regole del gioco introducendo l’obbligo di notifica verso il CSIRT Italia (Computer Security Incident Response Team) con scadenze tassative: un preallarme (early warning) entro 24 ore dalla scoperta dell’incidente e una notifica completa entro 72 ore. I piani di Incident Response aziendali vanno quindi riscritti per rispettare queste tempistiche di legge.

3. Supply Chain e audit sui fornitori

La gestione dei fornitori nella ISO 27001 si basa spesso su questionari standard e monitoraggio dei livelli di servizio. La NIS2 esige una valutazione della “vulnerabilità specifica” del fornitore e della sua catena del valore (sub-fornitori). Questo si traduce nella necessità di redigere clausole contrattuali standard che obblighino i partner a notifiche rapide, audit di sicurezza e gestione delle vulnerabilità.

4. Business Continuity: dai test parziali a quelli totali

Spesso, nello scopo di certificazione (il campo di applicazione) di una ISO 27001, i piani di continuità operativa coprono solo alcune aree aziendali specifiche. Per la NIS2, i piani di Business Continuity (BCP) e Disaster Recovery (DR) devono includere tutti i servizi essenziali, con l’obbligo di produrre evidenze documentate delle simulazioni di ripristino su larga scala.

Le integrazioni per le autorità italiane (Le determine ACN): perchè l’ISO 27001 non basta

Un aspetto puramente normativo, assente nella ISO, riguarda le richieste specifiche dell’Agenzia per la Cybersicurezza Nazionale (ACN). L’ACN richiede che la documentazione aziendale sia intellegibile secondo i propri codici. Tra i documenti da integrare troviamo:

La Matrice di Correlazione (Cross-Reference Table): un documento che mappa i controlli del vostro Allegato A (ISO 27001) con i requisiti tecnici previsti dalle determine ACN (es. crittografia, igiene informatica, controllo accessi).
Policy sulla Vulnerabilità (VDP): documentazione relativa alla gestione delle vulnerabilità, inclusa la modalità di ricezione di segnalazioni esterne (Coordinated Vulnerability Disclosure).

Colmare il gap con Bastione.cloud

Riscrivere policy, generare matrici di correlazione e adattare un sistema ISO alla NIS2 manualmente richiede decine di ore di lavoro consulenziale.

L’approccio più intelligente per le aziende e gli MSP è sfruttare l’automazione. La piattaforma software Bastione.cloud è dotata di un motore intelligente progettato esattamente per risolvere questo problema.

Se l’azienda possiede già documentazione ISO 27001, il sistema permette di caricare i file esistenti per generare automaticamente le integrazioni mancanti. In pochi passaggi, Bastione mappa i vostri documenti sui codici richiesti da ACN e produce le policy necessarie per chiudere il perimetro di conformità (come la VDP o i verbali per il CdA), blindandoli con Data Certa e Hash Forense.

L’ecosistema di NIS2Lab unisce l’efficienza tecnologica della piattaforma al supporto strategico dei nostri consulenti, pronti ad affiancarvi nella revisione dei vostri processi.

Hai già la ISO 27001 e vuoi capire cosa ti manca per la NIS2? Contatta oggi stesso i consulenti di NIS2Lab per un assessment rapido e scopri come colmare il gap in modo semplice e guidato.

Ecco gli altri episodi de “La NIS2 in pratica”

Il percorso verso la conformità normativa e la messa in sicurezza della tua azienda è un mosaico composto da diversi tasselli strategici e operativi. Per avere una visione completa e non farti trovare impreparato, leggi tutti gli approfondimenti della nostra rubrica dedicata: