Il vocabolario della compliance, senza giri di parole.

Organizzazione che opera in un settore ad alta criticità (energia, trasporti, sanità, banche, infrastrutture digitali e altri dell'allegato I della Direttiva NIS 2) e supera le soglie dimensionali previste. È sottoposta a vigilanza proattiva (ex ante) e alle sanzioni più severe.

Organizzazione in un settore critico (allegato II) o che non raggiunge le soglie del soggetto essenziale. Ha gli stessi obblighi di gestione del rischio e notifica, ma è sottoposta a vigilanza reattiva (ex post), attivata cioè a seguito di indizi di non conformità.

Insieme dei fornitori e dei servizi esterni da cui dipende l'organizzazione. La NIS 2 estende la responsabilità alla sicurezza della catena di fornitura: vanno valutati il ruolo, la criticità e la sostituibilità di ciascun fornitore e gli elementi che gestisce.

Autorità nazionale competente per la NIS 2 in Italia. Gestisce il portale di registrazione dei soggetti obbligati, emana le determinazioni attuative (categorizzazione, misure, tassonomia degli incidenti) e riceve le notifiche tramite il proprio CSIRT.

Computer Security Incident Response Team operante presso l'ACN. È il destinatario delle notifiche di incidente significativo previste dalla NIS 2 e il riferimento operativo per la gestione e il coordinamento della risposta a livello nazionale.

La singola prescrizione che una norma o un framework impone (per esempio una delle misure dell'art. 21 NIS 2 o un controllo dell'Annex A della ISO 27001). Un requisito si considera coperto solo quando esiste una misura concreta che lo soddisfa, verificata nel tempo.

Lo snodo che collega un requisito normativo alle misure che lo attuano. Un presidio suggerisce i controlli da adottare e, condiviso tra più framework, permette di riusare la stessa misura per soddisfare requisiti di NIS 2, ISO 27001 e GDPR contemporaneamente.

Il controllo concreto — tecnico, organizzativo, documentale o formativo — realmente adottato o pianificato dall'organizzazione. Ha un ciclo di vita (pianificata, in corso, completa), un perimetro di applicazione e verifiche periodiche di efficacia con relative evidenze.

Risorsa tecnologica rilevante per la sicurezza: server, applicazione, endpoint o infrastruttura. Ogni asset ha una criticità, un referente e una classificazione, ed è collegato ai processi, ai fornitori e ai trattamenti che lo coinvolgono. È l'unità di base dell'analisi del rischio.

Processo con cui si identificano gli scenari di rischio che insistono su asset e processi, se ne stima la severità e la probabilità e si decide come trattarli. La NIS 2 (art. 21) e la ISO 27001 la richiedono come fondamento di tutto il sistema di gestione.

Il rischio lordo è quello stimato in assenza di contromisure; il rischio netto è quello residuo dopo aver applicato le misure di sicurezza. Tenerli distinti permette di misurare l'effetto reale dei controlli su severità e probabilità e di motivare le decisioni di trattamento.

Attività di individuazione e valutazione delle vulnerabilità tecniche di un asset o di un sistema. Fornisce l'input concreto all'analisi del rischio: le vulnerabilità rilevate, incrociate con le minacce, determinano gli scenari di rischio da trattare.

Strumento che incrocia la severità di uno scenario con la sua probabilità per ricavarne un livello di criticità. La matrice è configurabile: definisce le soglie con cui un rischio passa da accettabile a critico e orienta le priorità del piano di trattamento.

Analisi che misura l'impatto dell'indisponibilità di un asset o di un processo sull'operatività dell'organizzazione. Valuta l'asset non isolato, ma in relazione agli altri asset e ai processi che abilita: la criticità di un asset eredita quella dei processi che sostiene.

Gli obiettivi di continuità di un processo o di un asset: RTO (tempo massimo di ripristino), RPO (massima perdita di dati tollerabile) e MDT (massimo tempo di indisponibilità). Definiscono quanto velocemente e con quale perdita un servizio essenziale deve poter ripartire.

Capacità dell'organizzazione di mantenere o ripristinare in tempi accettabili i servizi essenziali dopo un incidente. È un obiettivo esplicito della NIS 2 ed è normata dalla ISO 22301; poggia su BIA, recovery indicator e misure di ripristino documentate.

Incidente di sicurezza con impatto rilevante sull'erogazione dei servizi — per gravità del disservizio, numero di utenti coinvolti o danno potenziale. Per la NIS 2 fa scattare l'obbligo di notifica all'ACN secondo una timeline precisa.

La procedura di segnalazione NIS 2: un preallarme entro 24 ore dalla conoscenza dell'incidente, una notifica completa entro 72 ore e una relazione finale entro un mese. Vigilio prepara la scheda nel formato ACN per la trasposizione sul portale.

Il processo di gestione di un incidente lungo il suo ciclo di vita — Aperto, In gestione, Chiuso — che comprende rilevazione, contenimento, ripristino, notifiche e lezioni apprese. La ISO 27035 ne fornisce il modello di riferimento.

Violazione di sicurezza che comporta la distruzione, la perdita o l'accesso non autorizzato a dati personali. È disciplinato dal GDPR (notifica al Garante entro 72 ore) e può coincidere con un incidente NIS 2: lo stesso evento può quindi attivare una doppia notifica.

Standard internazionale per il sistema di gestione della sicurezza delle informazioni (ISMS). Definisce requisiti di governance (clausole 4-10) e un catalogo di controlli (Annex A). Adottarlo copre buona parte degli obblighi NIS 2 e ne costituisce una base solida.

Linea guida per la gestione del rischio nella sicurezza delle informazioni. Fornisce la metodologia per identificare, analizzare e trattare i rischi a supporto della ISO 27001 e dell'analisi del rischio richiesta dalla NIS 2.

Standard dedicato alla gestione degli incidenti di sicurezza delle informazioni. Definisce le fasi di pianificazione, rilevazione, valutazione, risposta e apprendimento: il modello di processo a cui ricondurre la gestione degli incidenti NIS 2.

Standard per la continuità operativa (Business Continuity Management). Normalizza l'uso di BIA, recovery indicator e piani di ripristino per garantire la continuità dei servizi essenziali, obiettivo condiviso con la NIS 2.

Confronto strutturato tra lo stato attuale dei controlli e i requisiti di un framework (ISO 27001 o NIS 2) per individuare le carenze. È il punto di partenza del piano di adeguamento: dalla gap analysis nascono le azioni correttive con priorità, responsabile e scadenza.