⚠️ DOCUMENTO RISERVATO - DISTRIBUZIONE LIMITATA ⚠️
Elenco Sistemi Rilevanti NIS2
Documento Formale ai sensi della Direttiva (UE) 2022/2555
Requisito GV.OC-04
Codice Documento: NIS2-GV-OC-04-v2.3
Data Emissione: 15 Febbraio 2024
Versione: 2.3
Prossima Revisione: 15 Agosto 2024
Redatto da: CISO - Marco Bianchi
Approvato da: CdA - Delibera 05/2024
1. PREMESSA
Il presente documento costituisce l'elenco formale dei sistemi classificati come rilevanti ai fini della conformità alla Direttiva NIS2 (UE) 2022/2555 e al relativo decreto di recepimento nazionale. La classificazione è stata effettuata secondo la metodologia di scoring approvata dal Consiglio di Amministrazione in data 10 Gennaio 2024, basata su sei criteri di valutazione con punteggio massimo di 100 punti.
Soglia di Rilevanza: Sono considerati rilevanti tutti i sistemi con punteggio ≥ 40 punti.
Sistemi Critici: Sistemi con punteggio ≥ 80 punti richiedono misure di sicurezza massime e monitoraggio continuo 24/7.
2. RIEPILOGO STATISTICO
Categoria Range Punteggio Numero Sistemi Percentuale
CRITICO 80-100 12 31.6%
ALTO 60-79 15 39.5%
MEDIO 40-59 11 28.9%
TOTALE RILEVANTI ≥40 38 100%
3. ELENCO SISTEMI CRITICI (≥80 PUNTI)
Codice Nome Sistema Tipo Punteggio RTO/RPO Monitoraggio
SW-ERP-001 SAP ERP Software 95 4h / 1h 24/7
SVC-001 Piattaforma ERP Cloud Servizio 94 4h / 1h 24/7
SW-SEC-008 Splunk SIEM Software 92 4h / 4h 24/7
HW-SRV-001 ERP-PROD-01 Hardware 91 4h / 1h 24/7
SW-DB-003 Oracle Database Software 89 4h / 1h 24/7
HW-NET-015 FW-PERIMETRALE-01 Hardware 88 1h / N/A 24/7
SVC-002 Hosting Applicazioni Servizio 88 8h / 4h 24/7
CLD-IAAS-001 VM Production AWS Cloud 87 4h / 1h 24/7
CLD-PAAS-003 Azure SQL Database Cloud 85 4h / 1h 24/7
HW-NET-022 Core Switch Datacenter Hardware 84 2h / N/A 24/7
SW-BACKUP-001 Veeam Backup System Software 82 24h / 24h 24/7
HW-SRV-012 DB-PROD-01 Hardware 80 4h / 1h 24/7
4. MISURE DI SICUREZZA OBBLIGATORIE
Per tutti i sistemi rilevanti sono implementate le seguenti misure minime di sicurezza:
  • Backup giornaliero con retention minima 30 giorni
  • Patch management con SLA massimo 30 giorni per vulnerabilità critiche
  • Logging centralizzato su SIEM con retention 12 mesi
  • Controllo accessi con autenticazione multi-fattore (MFA)
  • Monitoraggio continuo con alerting automatico
  • Business Continuity Plan e Disaster Recovery Plan documentati e testati
Sistemi Critici (≥80): Oltre alle misure sopra elencate, richiedono ridondanza hardware/software, monitoraggio 24/7 con reperibilità H24, test DR semestrali e revisione trimestrale delle configurazioni di sicurezza.
5. REVISIONE E AGGIORNAMENTO
Il presente documento è soggetto a revisione semestrale obbligatoria. Revisioni straordinarie sono richieste in caso di:
  • Introduzione di nuovi sistemi con punteggio ≥40
  • Modifiche sostanziali ai sistemi esistenti che ne alterano il punteggio
  • Incidenti di sicurezza significativi
  • Cambiamenti normativi rilevanti
APPROVAZIONE
Il presente documento è stato approvato dal Consiglio di Amministrazione in data 15 Febbraio 2024 con Delibera n. 05/2024 e costituisce documento ufficiale ai fini della conformità NIS2.
Marco Bianchi
Chief Information Security Officer (CISO)
Giovanni Rossi
Amministratore Delegato
Pagina 1 di 1 - Documento NIS2-GV-OC-04-v2.3 - RISERVATO