norppa.io
Guide

Guida NIS2 · 7 min

ISO 27001 e NIS2: cosa copre già il tuo SGSI — e le lacune che restano

Se hai già la ISO/IEC 27001, non parti da zero con NIS2 — tutt'altro. Un SGSI operativo copre gran parte della base dell'articolo 21. Ma la certificazione non è conformità: NIS2 aggiunge obblighi di legge che un SGSI, da solo, non soddisfa. Questa guida mappa cosa si riporta, dove sono le lacune reali e come colmarle senza ricostruire ciò che già hai.

Punti chiave

  • La ISO 27001 copre la maggior parte delle misure dell'art. 21 di NIS2 — gestione dei rischi, controllo degli accessi, crittografia, continuità, controlli sui fornitori — quindi è un buon vantaggio.
  • Ma la certificazione non è conformità: NIS2 aggiunge le scadenze di legge per la notifica, la responsabilità della dirigenza, la registrazione e l'assicurazione continua della supply chain.
  • Le lacune maggiori sono di solito l'obbligo di notifica a 24/72 ore e il monitoraggio continuo delle terze parti, non i controlli di base.
  • Colma le lacune sopra il SGSI — non ricostruire; mappa i tuoi controlli dell'Allegato A sulla lista dell'art. 21 e aggiungi ciò che manca.

Cosa copre già il tuo SGSI

La base dell'articolo 21 di NIS2 e la ISO/IEC 27001 (con i suoi controlli dell'Allegato A) si sovrappongono ampiamente. Se il tuo SGSI è davvero in funzione — non solo certificato — gran parte della sostanza tecnica e organizzativa della direttiva è già in atto:

  • Gestione dei rischi — il processo di valutazione e trattamento dei rischi del tuo SGSI si mappa direttamente sull'art. 21(2)(a).
  • Controllo degli accessi e crittografia — i controlli su accessi e crittografia dell'Allegato A si allineano all'art. 21(2)(i) e (h).
  • Gestione degli incidenti — il tuo processo sugli incidenti copre il lato gestione dell'art. 21(2)(b) (sul lato notifica NIS2 aggiunge di più).
  • Continuità operativa — i controlli di backup, ripristino e continuità si mappano sull'art. 21(2)(c).
  • Relazioni con i fornitori — i controlli sui fornitori dell'Allegato A sono la base su cui poggia l'art. 21(2)(d).

Dove NIS2 va oltre il tuo SGSI

La certificazione prova che esiste un sistema gestito per un ambito definito. NIS2 è un obbligo di legge per l'intero soggetto interessato e aggiunge doveri che un certificato ISO, da solo, non assolve:

Notifica di legge degli incidenti — la ISO 27001 richiede di gestire gli incidenti; NIS2 richiede di notificare quelli significativi a un'autorità nazionale con un orologio di 24 h / 72 h / un mese (art. 23). Nessuna scadenza del SGSI equivale a questo.

Responsabilità e formazione della dirigenza — NIS2 obbliga l'organo di gestione ad approvare e vigilare sulle misure, seguire formazione ed essere personalmente responsabile (art. 20). La ISO chiede l'impegno della dirigenza, non la responsabilità legale.

Assicurazione continua della supply chain — i controlli sui fornitori dell'Allegato A sono in gran parte puntuali. L'art. 21(2)(d) di NIS2, letto con il criterio delle "misure adeguate", spinge verso un monitoraggio continuo del rischio fornitori.

Registrazione e ambito — molti soggetti devono registrarsi presso la propria autorità nazionale, e NIS2 si applica all'intera organizzazione interessata indipendentemente dall'ambito SGSI scelto.

Realtà dell'applicazione — una non conformità ISO è tra te e il tuo certificatore; una violazione di NIS2 può comportare istruzioni vincolanti e sanzioni fino a 10 mln € o il 2% del fatturato (art. 34).

Colmare la lacuna senza ricostruire

La via efficiente tratta NIS2 come un'aggiunta sopra un SGSI funzionante, non come un programma parallelo:

  • Mappa i tuoi controlli dell'Allegato A sulla lista art. 21(2)(a)–(j) — la maggior parte delle celle sarà già riempita.
  • Avvia il flusso di notifica: chi decide la "significatività", chi contatta il CSIRT, e il playbook di 24/72 ore.
  • Porta la governance NIS2 in consiglio: approvazione delle misure, reporting di vigilanza e formazione della dirigenza (art. 20).
  • Eleva l'assicurazione fornitori da un questionario annuale a un monitoraggio continuo per i fornitori critici.
  • Conferma la registrazione presso la tua autorità nazionale e che l'ambito del SGSI copra i servizi interessati.

Fonte: Direttiva (UE) 2022/2555 (NIS2), articoli 20, 21 e 23 — la mappatura ISO/IEC 27001 è indicativa; conferma i requisiti vincolanti nella tua legge nazionale di recepimento.

Come aiuta norppa.io

Le due lacune che un SGSI lascia più aperte sono proprio quelle per cui norppa.io è costruito: assicurazione continua dei fornitori ed evidenza pronta per la notifica. Ogni fornitore monitorato è controllato ogni giorno su oltre 100 punti di controllo, con rilievi mappati alle stesse sottoclausole dell'art. 21 che il tuo SGSI già parla — così il controllo della supply chain diventa continuo, non annuale.

E poiché tutto è con marca temporale ed esportabile, l'evidenza a supporto di una notifica ai sensi dell'art. 23 o di un controllo si trova accanto alla tua documentazione SGSI anziché in un silo separato. norppa.io completa la ISO 27001; non la duplica.

Colma la lacuna sulla supply chain che il tuo SGSI lascia

Guarda il monitoraggio continuo dei fornitori mappato a NIS2 nel report di esempio — due minuti.

Vedi report di esempio

Guide correlate

NIS2 e il requisito della supply chain — cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

NIS2 Art. 21(2) — checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il tuo obbligo.