CyberTotem
Tutti gli articoli
NIS2checklistcompliancePMI

Checklist NIS2: 20 controlli da verificare prima di fine anno

Una checklist operativa per le PMI soggette NIS2. Verifica cosa hai già e cosa manca: formazione, documentazione, sistemi tecnici e governance.

Team CyberTotem

Fine anno è il momento giusto per fare il punto sullo stato della compliance NIS2. Questa checklist copre i 20 controlli più rilevanti, organizzati per area, con indicazione di priorità.

Usa questa checklist come punto di partenza per il tuo self-assessment. Per un'analisi più dettagliata e un report con piano d'azione, usa il Check NIS2 gratuito di CyberTotem.

Governance e organizzazione

  • [ ] Registrazione ACN completata — la tua organizzazione è registrata sulla piattaforma ACN come soggetto NIS2.

  • [ ] Politica di sicurezza informatica approvata — esiste un documento di policy approvato formalmente dal management (non solo redatto dall'IT).

  • [ ] Verbale di approvazione CDA — c'è traccia che gli organi di gestione hanno approvato le misure di sicurezza NIS2.

  • [ ] Figura NIS2 designata — è chiaro chi è responsabile della compliance NIS2 nell'organizzazione e chi è il punto di contatto con l'ACN.

Formazione del personale (Art. 20 e 21g)

  • [ ] Programma di formazione attivo — la formazione cybersecurity avviene regolarmente, non solo come corso una-tantum.

  • [ ] Registro dei completamenti — esiste traccia di chi ha completato cosa e quando, con timestamp.

  • [ ] Attestati individuali — ogni dipendente che ha completato il percorso ha il suo attestato.

  • [ ] Formazione management (Art. 20) — CDA e dirigenti hanno completato un percorso formativo separato, con attestato che fa riferimento all'Art. 20 NIS2.

Nota: questa è l'area più verificabile in un'ispezione ACN. Se hai un solo gap, risolvi questo.

Sicurezza operativa

  • [ ] MFA attiva sugli accessi critici — autenticazione a più fattori abilitata su email aziendale, VPN, accessi remoti e applicativi gestionali.

  • [ ] Policy di gestione delle password — esiste e viene applicata una policy che vieta password deboli o riutilizzate. Preferibilmente con un password manager aziendale.

  • [ ] Patch management — i sistemi operativi e le applicazioni critiche ricevono aggiornamenti di sicurezza entro tempi definiti.

  • [ ] Accessi privilegiati limitati — il principio del minimo privilegio è applicato: le persone hanno accesso solo a quello che serve per il loro ruolo.

Gestione del rischio

  • [ ] Risk assessment documentato — è stato condotto un assessment formale dei rischi informatici nell'ultimo anno, con registro dei rischi e piano di trattamento.

  • [ ] Registro degli asset — esiste un inventario dei sistemi, applicazioni e dati sensibili dell'organizzazione.

  • [ ] Valutazione dei fornitori critici — i fornitori con accesso ai sistemi sono stati identificati e valutati sotto il profilo della sicurezza.

Gestione degli incidenti

  • [ ] Procedura di incident response — esiste una procedura scritta che definisce chi fa cosa in caso di incidente, inclusa la notifica all'ACN.

  • [ ] Contatti ACN salvati — i riferimenti per la notifica all'ACN sono noti e accessibili senza doverli cercare durante un'emergenza.

  • [ ] Registro degli incidenti — vengono documentati gli incidenti (anche quelli minori) con data, tipo, impatto e misure adottate.

Continuità operativa

  • [ ] Backup funzionanti e testati — i backup esistono, sono isolati dalla rete principale e sono stati ripristinati con successo in un test recente.

  • [ ] BCP approvato — esiste un Business Continuity Plan formale, approvato dal management, con RTO e RPO definiti per i sistemi critici.

Come usare questa checklist

Verde (fatto): documenta dove si trova la prova. In un audit, "lo facciamo" non basta: occorre mostrare la documentazione.

Giallo (parziale): identifica cosa manca e pianifica un'azione correttiva con scadenza entro Q1 dell'anno nuovo.

Rosso (non fatto): prioritizza in base all'impatto. Formazione e governance sono generalmente le aree più verificate nelle prime ispezioni ACN.

Ricorda: la compliance NIS2 non è un progetto con una data di fine. È un processo continuo. L'obiettivo di fine anno non è la perfezione — è avere una visione chiara di dove sei e un piano per migliorare.

Vuoi un report dettagliato con score per area? Fai il Check NIS2 gratuito di CyberTotem.

CyberTotem

Porta la formazione cybersecurity in azienda.

10 minuti al mese per dipendente. 12 moduli l'anno. Attestati automatici.

Richiedi una demo