Un audit di cybersecurity e una valutazione sistematica della postura di sicurezza della tua organizzazione. Verifica se le policy sono adeguate, se le misure tecniche funzionano, se il personale e preparato e se la documentazione e in ordine. Per la NIS2, l'audit e sia uno strumento di autovalutazione sia una possibilita concreta: l'ACN puo ordinare audit e addebitarne i costi all'azienda.
Meglio farsi un audit da soli — e correggere le lacune — piuttosto che scoprirle durante un'ispezione ACN. E una questione di buon senso prima ancora che di compliance.
Tipi di audit cybersecurity
| Tipo | Focus | Frequenza consigliata |
|---|---|---|
| Audit di compliance | Verifica rispetto normative (NIS2, GDPR, ISO 27001) | Annuale |
| Audit tecnico | Vulnerability assessment, pentest, config review | Semestrale/annuale |
| Audit organizzativo | Policy, procedure, ruoli, formazione | Annuale |
| Audit della supply chain | Sicurezza dei fornitori critici | Annuale |
| Tabletop exercise | Test del piano di incident response | Semestrale |
Come prepararsi a un'ispezione ACN
Se l'ACN bussa alla porta (o se vuoi semplicemente essere pronto), ecco cosa deve essere in ordine:
- Documentazione risk assessment — aggiornato, approvato dal CdA, con piano di trattamento
- Policy di sicurezza — documentate, approvate, diffuse e aggiornate
- Registro incidenti — tracciamento di tutti gli incidenti, incluse le azioni correttive
- Evidenze di formazione — registro presenze, attestati, risultati simulazioni phishing
- Contratti fornitori — con clausole cyber, diritto di audit, obblighi di notifica
- Piano di incident response — documentato, testato, con evidenze delle esercitazioni
- Piano di continuita — BCP e DRP testati con report dei test
L'audit come strumento di miglioramento
L'audit non e un esame da superare — e uno strumento di miglioramento continuo. Ogni audit deve generare un piano di remediation con priorita, responsabili e scadenze. Le lacune critiche vanno corrette immediatamente, le medie entro 30 giorni, le basse entro 90. E il prossimo audit verifica che le azioni correttive siano state effettivamente implementate.