Strumento NIS2: guida all'acquisto per il software di conformità
Quali strumenti NIS2 vi servono davvero, quanto costano, a cosa prestare attenzione e quali funzionalità sono obbligatorie ai sensi della direttiva.
Uno strumento NIS2 è un software che aiuta le aziende ad attuare la direttiva NIS2 dell'UE (2022/2555) e la sua trasposizione nazionale (in Germania: BSIG / NIS2UmsuCG). Deve supportare le 10 misure di cybersicurezza dell'articolo 21 NIS2, oltre alla notifica degli incidenti e alla registrazione presso l'autorità.
- NIS2 richiede prove di audit durature. I documenti Word non bastano.
- Il BSI verifica i tempi di risposta (24h / 72h / 1 mese), difficili da dimostrare manualmente.
- Responsabilità personale della direzione ai sensi del §38 BSIG: serve la prova che le misure siano state attuate.
- Le 10 misure dell'articolo 21 coinvolgono più reparti. Strumenti coordinati fanno risparmiare tempo.
| Tool | Purpose | NIS2 |
|---|---|---|
| Piattaforma GRC | Governance, rischio e conformità. Rappresenta tutte le misure, i rischi e gli audit. | Obbligatoria per la documentazione |
| Gestione degli asset | Inventario degli asset IT come base per l'analisi dei rischi. | Obbligatoria (RSK 2.2) |
| SIEM / logging | Rilevamento degli eventi di sicurezza, analisi forense. | Fortemente consigliato: rilevare gli incidenti soggetti a notifica |
| Gestione delle patch | Monitoraggio degli aggiornamenti per sistemi operativi e applicazioni. | Obbligatoria (articolo 21(2)(e) NIS2) |
| MFA / IAM | Autenticazione a più fattori, gestione delle identità e degli accessi. | Obbligatoria (articolo 21(2)(j) NIS2) |
| Backup / disaster recovery | Backup dei dati e capacità di ripristino. | Obbligatoria (articolo 21(2)(c) NIS2) |
| Gestione dei fornitori | Valutazione della cybersicurezza dei vostri fornitori e partner. | Obbligatoria (articolo 21(2)(d) NIS2) |
| Piattaforma di formazione | Formazione di sensibilizzazione per tutto il personale e la direzione (§38 BSIG). | Obbligatoria (articolo 21(2)(g) NIS2) |
- Tutte le 10 misure dell'articolo 21 NIS2 / §30 BSIG
- Cascata di notifica degli incidenti a tre fasi (24h / 72h / 1 mese) ai sensi del §32 BSIG
- Dati di registrazione BSI (§33 BSIG) con controllo delle versioni
- Pista di audit: ogni modifica con marca temporale e responsabile
- Approvazione della direzione tramite firma conforme a eIDAS
- Inventario dei fornitori con il loro stato di conformità
- Supporto multipaese in caso di attività transfrontaliera nell'UE
- Vincolo del fornitore: l'esportazione completa dei dati deve essere possibile
- « Gratis per sempre » come argomento di marketing: spesso un'esca, leggete le clausole in piccolo
- Tutti i 49 requisiti del BSIG coperti
- Cascata di notifica degli incidenti a tre fasi integrata
- Pista di audit non cancellabile
- Protezione della responsabilità della direzione: approvazione, formazione, prove
- Portale fornitori: questionari self-service
- Piattaforma gratuita, accompagnamento all'attuazione opzionale e a pagamento
Quanto costa uno strumento NIS2?
Gli strumenti GRC commerciali (Vanta, Drata, OneTrust) si attestano in genere tra 10.000 e 60.000 EUR all'anno per un'azienda di medie dimensioni. nisd2.eu è gratuito. Il nostro accompagnamento all'attuazione parte da 500 EUR al mese.
Mi serve uno strumento o basta Excel?
Excel non basta. Il BSI richiede una pista di audit a prova di manomissione. Dopo un incidente dovete poter dimostrare chi ha modificato cosa e quando. I file Excel vengono sovrascritti. Un auditor del BSI lo contesterà.
Basta un solo strumento o ne servono diversi?
Uno strumento GRC copre la documentazione e le prove. Per SIEM, gestione delle patch, MFA e backup servono comunque strumenti tecnici separati. Un buon strumento NIS2 integra le prove provenienti da quei sistemi.
Una piattaforma gratuita può essere conforme a NIS2?
Sì. NIS2 non impone un fornitore specifico. Ciò che conta è che i requisiti siano soddisfatti e documentati in modo resistente all'audit. Gli strumenti open source e gratuiti possono farlo bene quanto le costose soluzioni SaaS.