NIS2 e Cybersicurezza

Business Continuity Plan e Cybersecurity: Guida NIS2

Pubblicato il 2026-03-27 4 min di lettura Di Redazione NIS2 Italia

Un ransomware blocca tutti i server. I dipendenti non possono lavorare. I clienti non ricevono le consegne. Il centralino e inondato di chiamate. Quanto puo resistere la tua azienda? Un giorno? Una settimana? Un mese? La risposta a questa domanda e l'essenza del Business Continuity Plan (BCP).

La NIS2, all'articolo 21, include esplicitamente la continuita operativa e il disaster recovery tra le misure obbligatorie. Non si tratta piu di una best practice — e un requisito normativo, con sanzioni per chi non lo rispetta.

Cos'e un Business Continuity Plan

Un BCP e un documento che descrive come l'organizzazione continuera a operare — o riprendera le operazioni — in caso di interruzione grave. Nel contesto cyber, parliamo di attacchi informatici, ma il BCP copre qualsiasi tipo di interruzione: incendi, alluvioni, pandemie, guasti tecnici. L'obiettivo e garantire che i servizi critici restino disponibili o vengano ripristinati entro tempi accettabili.

BIA: Business Impact Analysis

Il BCP parte dalla BIA, l'analisi dell'impatto sul business. Per ogni processo aziendale, valuti: quanto e critico? Quanto tempo puo restare fermo? Qual e il costo dell'interruzione? Da questa analisi derivano due parametri fondamentali:

  • RTO (Recovery Time Objective) — il tempo massimo entro cui un servizio deve essere ripristinato. Per un e-commerce potrebbe essere 4 ore, per un sistema di posta elettronica 24 ore.
  • RPO (Recovery Point Objective) — la quantita massima di dati che puoi permetterti di perdere. Un RPO di 1 ora significa che il backup piu recente non deve essere piu vecchio di 1 ora.

Componenti chiave del BCP

  1. Piano di disaster recovery — procedure tecniche per il ripristino dei sistemi IT
  2. Piano di comunicazione di crisi — chi comunica cosa, a chi, come
  3. Procedure operative alternative — come lavorare senza IT (si, serve prevederlo)
  4. Piano di gestione delle risorse — personale, fornitori, sedi alternative
  5. Procedure di escalation — quando e come coinvolgere il management e le autorita

Disaster Recovery: il cuore tecnico

Il Disaster Recovery Plan (DRP) e la componente tecnica del BCP. Descrive come ripristinare l'infrastruttura IT: backup, replica dei dati, siti di disaster recovery, procedure di failover. La strategia 3-2-1 resta il gold standard: 3 copie dei dati, su 2 supporti diversi, di cui 1 offsite (o nel cloud). Ma attenzione al ransomware: se il backup e connesso alla rete, puo essere crittografato insieme ai dati. Servono backup offline o immutabili.

Test del BCP: l'unico modo per validarlo

Un BCP non testato e un documento inutile. I test possono essere di diversi tipi: walkthrough (revisione del documento in gruppo), simulation (esercitazione con scenario simulato), parallel test (attivazione del sito DR in parallelo ai sistemi produttivi) o full interruption test (spegnimento dei sistemi primari e switch sul DR). Quest'ultimo e il piu efficace ma anche il piu rischioso — va pianificato con attenzione.

La NIS2 non specifica la frequenza dei test, ma le best practice suggeriscono almeno un test annuale del DR e un walkthrough semestrale del BCP. Ogni test deve generare un report con le criticita emerse e le azioni correttive.

BCP e NIS2: i requisiti specifici

La NIS2 richiede che il BCP includa almeno: la gestione dei backup, le procedure di disaster recovery, la gestione della crisi e le comunicazioni. Ma va oltre il tradizionale BCP aggiungendo l'obbligo di considerare gli aspetti cyber specifici: cosa succede se l'attaccante e ancora nei tuoi sistemi durante il ripristino? Come garantisci che i backup non siano compromessi? Come comunichi con clienti e autorita durante la crisi?

Backup compromessi Nel 94% degli attacchi ransomware, gli aggressori tentano di compromettere anche i backup. Usa backup immutabili, offline o con air gap. Testa regolarmente il ripristino — un backup che non si riesce a ripristinare non e un backup.

La continuita operativa non e un lusso per grandi aziende. E una necessita per qualsiasi organizzazione che dipende dai propri sistemi informatici — cioe praticamente tutte, nel 2026.

Approfondimento Leggi anche la guida al Backup e Disaster Recovery e all'Incident Response Plan.

Domande Frequenti

Qual e la differenza tra BCP e DRP?
Il BCP copre la continuita di tutta l'organizzazione (processi, persone, comunicazione). Il DRP e la componente tecnica che si occupa del ripristino dei sistemi IT. Il DRP e parte del BCP.
Quanto spesso va testato il BCP?
Le best practice suggeriscono un test del DR almeno annuale e un walkthrough semestrale del BCP. La NIS2 non specifica una frequenza ma richiede che i piani siano testati e aggiornati.
Il cloud elimina la necessita di un DRP?
No. Il cloud sposta parte della responsabilita al provider, ma il cliente resta responsabile dei propri dati e della configurazione. Un errore di configurazione o un attacco via credenziali compromesse possono causare perdita di dati anche nel cloud.

Articoli Correlati

ACN: Ruolo e Funzioni dell'Autorita Nazionale per la Cybersicurezza
3 min di lettura
Audit di Cybersecurity: Come Valutare la Sicurezza della Tua Azienda
2 min di lettura
Backup e Disaster Recovery: Strategie per la Continuita Aziendale
3 min di lettura