Le 10 misure NIS 2 e i controlli ISO 27001 che le coprono.
Una mappa pratica tra gli obblighi dell'art. 21 della NIS 2 e i controlli della ISO/IEC 27001:2022. Se hai già un ISMS, è il punto di partenza per riusarlo.
La NIS 2 e la ISO 27001 parlano lingue diverse ma si sovrappongono ampiamente: chi adotta un sistema di gestione ISO 27001 copre buona parte delle dieci misure minime imposte dall'art. 21. Questa tabella incrocia ogni obbligo con i controlli pertinenti dell'Annex A (e con le clausole 4-10 dove la ISO 27001 colloca il requisito), e indica il modulo di Vigilio che lo presidia.
| Misura NIS 2 — art. 21(2) | Controlli ISO/IEC 27001:2022 | Dove in Vigilio |
|---|---|---|
| a) Politiche di analisi dei rischi e di sicurezza dei sistemi informativi | A.5.1 Politiche · A.5.2 Ruoli e responsabilità · clausole 6.1.2-6.1.3 (valutazione e trattamento del rischio) | Cataloghi normativi e analisi del rischio → |
| b) Gestione degli incidenti | A.5.24-A.5.28 (pianificazione, valutazione, risposta, apprendimento, prove) · A.6.8 Segnalazione degli eventi | Registro incidenti Cybersecurity NIS → |
| c) Continuità operativa: backup, disaster recovery e gestione delle crisi | A.5.29 Sicurezza durante le interruzioni · A.5.30 Prontezza ICT alla continuità · A.8.13 Backup · A.8.14 Ridondanza | Assessment di processo · BIA → |
| d) Sicurezza della catena di approvvigionamento | A.5.19-A.5.23 (relazioni con i fornitori, accordi, filiera ICT, monitoraggio, servizi cloud) | Inventario fornitori → |
| e) Sicurezza in acquisizione, sviluppo e manutenzione, gestione delle vulnerabilità | A.8.8 Vulnerabilità tecniche · A.8.25-A.8.29 (sviluppo sicuro) · A.8.31 Separazione ambienti · A.8.32 Gestione dei cambiamenti | Catalogo misure di sicurezza (tecniche) → |
| f) Politiche per valutare l'efficacia delle misure di gestione del rischio | Clausole 9.1-9.3 (monitoraggio, audit interni, riesame della direzione) · A.5.35 Riesame indipendente · A.5.36 Conformità alle politiche | Audit di compliance e verifiche di efficacia → |
| g) Igiene informatica di base e formazione in materia di cybersicurezza | A.6.3 Consapevolezza e formazione · A.5.10 Uso accettabile · A.8.7 Protezione dal malware · A.8.19 Software sui sistemi operativi | Catalogo misure di sicurezza (formative) → |
| h) Politiche e procedure sull'uso della crittografia e della cifratura | A.8.24 Uso della crittografia | Catalogo misure di sicurezza (tecniche) → |
| i) Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset | A.6.1-A.6.5 (risorse umane) · A.5.9-A.5.11 (asset) · A.5.15-A.5.18 e A.8.2-A.8.3 (controllo degli accessi) | Inventario asset, ruoli e responsabilità → |
| j) Autenticazione a più fattori e comunicazioni sicure (ove opportuno) | A.8.5 Autenticazione sicura · A.5.14 Trasferimento delle informazioni · A.8.20-A.8.21 Sicurezza delle reti e dei servizi di rete | Misure tecniche e secondo fattore (trasversale) → |
Nessuna corrispondenza per il filtro inserito.
Mappatura indicativa, basata sull'art. 21 della Direttiva (UE) 2022/2555 e sulla ISO/IEC 27001:2022 (93 controlli dell'Annex A, in quattro temi: organizzativi, persone, fisici, tecnologici). Alcuni requisiti — analisi del rischio e valutazione dell'efficacia — risiedono nelle clausole 4-10 della norma, non nell'Annex A. Non sostituisce un'analisi puntuale del proprio Statement of Applicability.
Domande frequenti
Avere la ISO 27001 basta per essere conformi alla NIS 2?
No, ma è una base solida. Un ISMS ISO 27001 copre gran parte delle dieci misure dell'art. 21; la NIS 2 aggiunge però obblighi propri — in particolare la notifica degli incidenti all'ACN nei tempi previsti e la responsabilità diretta degli organi di gestione — che vanno presidiati a parte.
Quanti controlli ha l'Annex A della ISO 27001:2022?
Novantatré controlli, organizzati in quattro temi: organizzativi (A.5), relativi alle persone (A.6), fisici (A.7) e tecnologici (A.8). La revisione 2022 ha ridotto e riorganizzato i controlli rispetto alla versione 2013.
Questa mappatura è ufficiale?
È una mappatura indicativa a fini di orientamento, costruita sui testi dell'art. 21 della Direttiva 2022/2555 e della ISO/IEC 27001:2022. La corrispondenza effettiva dipende dal perimetro e dallo Statement of Applicability della singola organizzazione.
Fai il lavoro una volta sola.
In Vigilio un solo controllo può soddisfare i presìdi di NIS 2 e ISO 27001 insieme. Una demo di 30 minuti mostra come si misura la copertura di entrambi.