CyberTotem
Tutti gli articoli
NIS2BCPcontinuità operativarisk management

Business Continuity Plan: la guida pratica per le PMI

La NIS2 obbliga ad avere un BCP approvato dal management. Cos'è, cosa deve contenere e come scriverne uno che funziona davvero — non solo per il cassetto.

Team CyberTotem

L'Art. 21, punto (c) della Direttiva NIS2 richiede che le organizzazioni soggette implementino misure di continuità operativa, che includono gestione dei backup, ripristino in caso di disastro e gestione delle crisi.

In termini concreti: devi avere un Business Continuity Plan (BCP) — approvato dal management — e devi essere in grado di dimostrare che funziona.

Cos'è un Business Continuity Plan

Un BCP è un documento che descrive come l'organizzazione continua a operare (o riprende a operare) in caso di interruzione grave: un attacco ransomware, un'alluvione, un guasto critico dei sistemi, la perdita improvvisa di personale chiave.

Il BCP risponde a queste domande:

  • Quali processi aziendali sono critici e non possono fermarsi?
  • Come si riprendono queste attività se i sistemi normali non sono disponibili?
  • Chi fa cosa, e in quale ordine?
  • Quanto tempo ci possiamo permettere di restare fermi?

Un BCP non è un documento teorico. È una procedura operativa che il personale deve conoscere e che deve funzionare quando serve — ovvero sotto stress, con sistemi parzialmente non disponibili, e con poco tempo per decidere.

RTO e RPO: i due parametri fondamentali

Ogni sistema o processo critico dovrebbe avere due parametri definiti:

RTO (Recovery Time Objective): il tempo massimo tollerabile di inattività. Se il gestionale è giù, quanto possiamo lavorare in modalità alternativa prima che l'impatto diventi inaccettabile? 4 ore? 24 ore? Una settimana?

RPO (Recovery Point Objective): la quantità massima di dati che possiamo permetterci di perdere, espressa in tempo. Se abbiamo un backup delle 20:00 e l'incidente avviene alle 17:00 del giorno dopo, perdiamo 21 ore di transazioni. È accettabile?

Definire RTO e RPO per ogni sistema critico è il primo passo per capire quante risorse investire nella continuità.

I backup: la base della continuità

Il backup è il componente più concreto della continuità operativa. La NIS2 non specifica una tecnologia, ma la prassi e le linee guida ENISA indicano il principio 3-2-1:

  • 3 copie dei dati
  • su 2 tipi di supporto diversi
  • di cui 1 copia offsite (fuori sede o su cloud non connesso alla rete principale)

La regola più importante: un backup non testato non è un backup. Bisogna verificare periodicamente che i dati possano essere effettivamente ripristinati, nei tempi definiti dall'RTO.

Frequenza minima consigliata per test di ripristino: almeno una volta all'anno per le PMI, preferibilmente trimestrale per i sistemi più critici.

Cosa deve contenere un BCP

Un BCP completo include tipicamente:

1. Analisi dell'impatto sul business (BIA) Lista dei processi critici con il loro impatto se interrotti, e i valori di RTO/RPO associati.

2. Analisi dei rischi Scenari di interruzione possibili: attacco informatico, guasto hardware, incendio, blackout prolungato, perdita di personale chiave.

3. Strategie di continuità Per ogni scenario e ogni processo critico: come si opera in modalità alternativa? Procedure manuali, sistemi di backup, sedi alternative, forniture di emergenza.

4. Piano di risposta agli incidenti Chi attiva il BCP, chi lo coordina, chi comunica verso clienti/fornitori/media, chi gestisce la parte tecnica.

5. Piano di ripristino (DR Plan) Le procedure tecniche per il ripristino dei sistemi, nell'ordine corretto.

6. Comunicazione di crisi Come comunicare con clienti, fornitori, dipendenti e media durante un'interruzione prolungata.

7. Test e aggiornamento Frequenza dei test, chi è responsabile dell'aggiornamento, procedura di revisione.

Il ruolo del management nel BCP

L'Art. 20 NIS2 richiede che il management approvi e supervisi le misure di sicurezza — incluso il BCP. Non basta che il documento esista: il CDA deve averlo approvato formalmente (va messo a verbale) e deve ricevere report periodici sull'esito dei test.

Durante la fase di formazione management prevista dall'Art. 20, i dirigenti devono comprendere:

  • Come viene attivato il BCP e da chi
  • Quali decisioni spettano al management durante una crisi
  • Come funziona la comunicazione verso l'esterno
  • Qual è la loro responsabilità legale in caso di incidente

Come iniziare: il minimo vitale per una PMI

Se non hai ancora un BCP, inizia dal minimo:

  1. Lista dei processi critici: cosa non può fermarsi più di X ore?
  2. Lista dei sistemi che li supportano: quali server, applicazioni, fornitori cloud?
  3. Stato dei backup: dove, con quale frequenza, testati quando l'ultima volta?
  4. Piano di contatti: chi chiami se l'IT è giù? Chi ha le password di backup? Chi può lavorare da casa?
  5. Procedura di escalation: chi decide di attivare il BCP, e con quale autorità?

Anche un documento di 5 pagine che risponde a queste domande è infinitamente meglio di niente. Poi lo si arricchisce nel tempo.

La continuità operativa è una delle 6 aree valutate nel Check NIS2. Fai il check gratuito per vedere dove sei.

CyberTotem

Porta la formazione cybersecurity in azienda.

10 minuti al mese per dipendente. 12 moduli l'anno. Attestati automatici.

Richiedi una demo