Continuità operativa NIS 2 ai sensi dell'articolo 21(2)(c)
NIS 2 stabilisce che devi mantenere le operazioni in funzione e ripristinarle quando qualcosa si rompe. L'articolo 21(2)(c) è il dovere. Il §4 del CIR (UE) 2024/2690 dettaglia il BCP, il piano di backup e la procedura di crisi. La Germania lo inserisce nel §30(2)(3) BSIG.
La versione breve
La continuità operativa si colloca al punto (c) dell'elenco dell'articolo 21(2). La direttiva raggruppa tre cose: mantenere l'attività in funzione, gestire i backup e il ripristino, e attuare la gestione delle crisi. Se NIS 2 si applica a te, devi fare tutte e tre.
Il §4 del CIR (UE) 2024/2690 suddivide lo stesso dovere in tre sottosezioni. Il §4.1 è il piano di continuità operativa stesso, con un elenco di otto punti di contenuto. Il §4.2 è il backup e la ridondanza, con un piano di sei punti più i test di integrità. Il §4.3 è la procedura di gestione delle crisi, compreso il modo in cui ti rapporti con l'autorità di regolamentazione. Se gestisci DNS, cloud, un centro dati, un MSP, servizi fiduciari o qualsiasi altro settore nell'Allegato del CIR, questo ti vincola direttamente.
La Germania inserisce la stessa regola nel diritto nazionale attraverso il §30(2)(3) BSIG. Il testo segue la direttiva. Questa pagina percorre la direttiva, il regolamento di attuazione dell'UE e il recepimento tedesco in quest'ordine.
Articolo 21(2)(c) direttiva NIS 2 (2022/2555)
Continuità operativa, ad esempio gestione dei backup e ripristino in caso di disastro, e gestione delle crisi.
Il punto (c) dell'elenco delle dieci misure di cybersicurezza che ogni soggetto essenziale e importante deve attuare. Una riga, tre doveri raggruppati.
CIR (UE) 2024/2690, Allegato §4
Continuità operativa e gestione delle crisi (articolo 21(2)(c) della direttiva (UE) 2022/2555).
Poiché si tratta di un regolamento (non di una direttiva), è diritto dell'UE direttamente vincolante. Il CIR suddivide il §4 in tre sottosezioni: §4.1 il piano di continuità operativa e di ripristino in caso di disastro, §4.2 la gestione dei backup e della ridondanza, §4.3 la procedura di gestione delle crisi. Si applica direttamente ai fornitori di DNS, ai registri dei nomi a dominio di primo livello (TLD), ai fornitori di cloud e di centri dati, agli MSP e agli altri settori elencati nel suo Allegato.
§30(2)(3) BSIG (Germania)
Continuità operativa, ad esempio gestione dei backup e ripristino in caso di disastro, e gestione delle crisi.
La Germania copia il testo della direttiva. Gli Infopakete del BSI elencano la continuità operativa come una delle dieci misure dell'articolo 21(2) che ogni soggetto essenziale e importante deve coprire.
Piano di continuità operativa e di ripristino in caso di disastro
Un piano scritto con otto punti: finalità e ambito, ruoli e responsabilità, elenco dei contatti, le condizioni che ne attivano l'attivazione, la sequenza di ripristino, il piano di ripristino per ciascun processo critico, le risorse necessarie e il modo in cui riavvii e riprendi le normali operazioni. Non tre frasi in un documento Word. Un documento reale che le persone possono seguire quando la rete è giù e i telefoni squillano.
Gestione dei backup e della ridondanza
Un piano di backup di sei punti: tempi di ripristino obiettivo, completezza dei backup, archiviazione fuori sede, controlli di accesso fisici e logici, la procedura di ripristino stessa e i periodi di conservazione. Più test di integrità periodici per scoprire, prima dell'incidente, se i backup ripristinano davvero. Più la ridondanza (N+1) per asset, personale e canali di comunicazione.
Procedura di gestione delle crisi
Una procedura scritta con ruoli nominati, un canale di comunicazione con l'autorità competente, un modo per mantenere la sicurezza durante la crisi e l'elenco delle comunicazioni obbligatorie, comprese le notifiche degli incidenti ai sensi dell'articolo 23. La gestione delle crisi non è 'ci colleghiamo in chiamata'. È chi è in chiamata, cosa decide e a chi lo comunica.
Il backup è governance, non solo IT
Il piano di backup del §4.2 è documentazione verificabile, non una casella spuntata nel tuo strumento di backup. I periodi di conservazione vengono approvati. L'ubicazione dell'archiviazione fuori sede viene documentata. I tempi di ripristino vengono fissati in base all'attività, non in base a ciò che lo strumento può fare. Se la tua gestione dei backup vive interamente all'interno del team IT, ti manca il livello di governance richiesto dal CIR.
Testa con cadenza, non 'quando abbiamo tempo'
Il §4.1 prevede che il BCP sia testato periodicamente. Il §4.2 prevede test di integrità dei backup con cadenza. Un BCP non testato è carta. Un backup non testato è una speranza. Una volta l'anno per l'esercitazione teorica del BCP, più spesso per i test di ripristino dei backup. Documenta il test, documenta cosa è fallito, documenta cosa hai corretto.
BSI / IT-Grundschutz DER.4
Il BSI elenca la continuità operativa come una delle dieci misure dell'articolo 21(2) (cfr. §30(2)(3) BSIG) e indica il Baustein DER.4 'Notfallmanagement' di IT-Grundschutz come via pratica. Il DER.4 copre l'intero ciclo di vita della continuità: BIA, BCP, piani di ripristino, test, approvazione. Se segui il DER.4 dall'inizio alla fine, sei ben oltre la soglia minima del §4 del CIR.
ENISA Technical Implementation Guidance
La TIG dell'ENISA trasforma il §4 del CIR in passi concreti e lo mappa sulla ISO/IEC 27001:2022 (clausole attorno ad A.5.29, A.5.30, A.8.13, A.8.14) e sul NIST CSF 2.0 (funzione Recover). Se gestisci già la ISO 27001 o il NIST CSF, la TIG ti dice cosa puoi riutilizzare e cosa presenta ancora lacune.
Leggi nazionali di recepimento
Ogni Stato membro ha il proprio recepimento (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet). Il dovere di continuità è lo stesso perché la direttiva fissa un unico standard a livello UE. Ciò che differisce: quale autorità nazionale notifichi in caso di crisi e su quale canale.
Abbiamo backup su nastro, quindi siamo a posto.
I backup non bastano. Il §4.2 del CIR richiede che l'intero piano di sei punti sia documentato: tempi di ripristino obiettivo, completezza, archiviazione fuori sede, controlli di accesso, procedura di ripristino, periodi di conservazione. Più test di integrità periodici. Una rotazione dei nastri senza il piano scritto è metà del requisito.
Il BCP è un problema del team IT.
Non lo è. Il §4.3 copre esplicitamente la gestione delle crisi con il livello dirigenziale: canali di comunicazione con l'autorità competente, le notifiche obbligatorie degli incidenti ai sensi dell'articolo 23, le decisioni su quali servizi mantenere e quali sospendere. È un dovere degli organi di gestione, non un dovere dell'IT.
Ce la caveremo durante la crisi.
Non ce la caverai. Il §4.3 richiede una procedura di crisi scritta con ruoli nominati e canali di comunicazione predefiniti. Il senso di metterlo per iscritto in anticipo è che non lo stai improvvisando alle 3 del mattino di domenica. Un auditor chiederà il documento. 'Abbiamo persone valide' non è il documento.
Ciò che vediamo nella pratica: la maggior parte delle aziende del Mittelstand ha backup. Nastro, cloud, secondo sito, qualcosa. Ciò che quasi mai hanno è il piano documentato del §4.2 attorno a quei backup: obiettivi di tempo di ripristino fissati in base all'attività, periodi di conservazione approvati, ubicazione dell'archiviazione fuori sede indicata, test di integrità a calendario. I backup esistono. La governance no.
Due passi che portano a termine il lavoro: primo, scrivi il BCP del §4.1. Usa l'elenco di otto punti del CIR come indice. Secondo, esegui il test una volta l'anno. Un'esercitazione teorica in cui il team di gestione percorre il BCP per uno scenario reale vale più di sei mesi di rifinitura del documento. Il test è ciò che produce la prova per l'audit.
Abbiamo integrato il §4 del CIR nella piattaforma come modulo. Il modulo BCP cattura gli otto campi di contenuto del §4.1. Il modulo di backup cattura i sei punti del §4.2 più il calendario dei test. Il modulo della procedura di crisi cattura i ruoli, i canali e i percorsi di comunicazione dell'articolo 23 del §4.3. L'approvazione vive accanto a ciascun artefatto.
Anche la cadenza dei test vive sulla piattaforma. Pianifichi l'esercitazione teorica annuale del BCP e i test trimestrali di ripristino dei backup, la piattaforma avvisa il responsabile, il responsabile registra il risultato e la pista di controllo mostra quando è stato eseguito e cosa è accaduto. Nessun calendario separato, nessun archivio documentale separato.
- Direttiva (UE) 2022/2555 (NIS 2), articolo 21(2)(c) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), Allegato §4 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legge sul BSI (BSIG), §30(2)(3) come modificata dalla legge di attuazione di NIS2 e di rafforzamento della cybersicurezza
- BSI IT-Grundschutz Baustein DER.4 'Notfallmanagement' — bsi.bund.de/grundschutz
- ENISA Technical Implementation Guidance per il CIR (UE) 2024/2690 (al maggio 2026)