Il punto di vista di Cyber Academy
La resilienza operativa è la capacità di un'organizzazione di erogare servizi critici durante una disruption e di recuperare in seguito. In Europa la governano tre framework: ISO 22301 (lo standard per il BCMS, il livello operativo), NIS 2 (l'obbligo di continuità operativa dell'Articolo 21 per le entità in ambito), DORA (Articoli 11-12 per le entità finanziarie, oltre a test dedicati). Un unico programma può soddisfare tutti e tre; gestirli come flussi di lavoro separati duplica gli sforzi e crea incongruenze.
TL;DR
- 1ISO 22301 è la spina dorsale operativa: BIA, obiettivi di ripristino, BCP, runbook, esercitazioni tabletop, BCMS sottoposto a riesame della direzione.
- 2NIS 2 aggiunge la notifica degli incidenti (preallarme entro 24 ore, notifica entro 72 ore, relazione entro un mese) e la continuità della catena di fornitura.
- 3DORA aggiunge i test specifici per le entità finanziarie (threat-led penetration testing per le entità significative ogni tre anni), il registro dei terzi ICT e la vigilanza a livello delle ESA per i fornitori critici.
- 4Il corso Lead Operational Resilience Manager (credenziale PECB) è concepito specificamente per integrare i tre.
- 5Mappa una volta, audit tre volte: un unico BCMS allineato a 22301 con le mappature dei controlli NIS 2 e DORA soddisfa tutti e tre gli audit.
Perché un solo programma, non tre
L'istinto, nella maggior parte delle organizzazioni, è trattare ISO 22301, NIS 2 e DORA come tre progetti di conformità separati, spesso di proprietà di tre team diversi: continuità operativa, security operations e una funzione di regolamentazione finanziaria o di rischio. È il modo più costoso di procedere. Si finisce con tre analisi di impatto sul business che non concordano su quali servizi siano critici, tre serie di obiettivi di ripristino che nessuno riconcilia e tre calendari di esercitazioni che sfiniscono le stesse persone. Gli auditor notano subito le cuciture.
I framework non sono concorrenti. ISO 22301 fornisce il sistema di gestione: la business impact analysis (BIA), gli obiettivi di tempo di ripristino e di punto di ripristino, i piani di continuità e di ripristino, le esercitazioni e il ciclo di riesame della direzione. NIS 2 e DORA non sostituiscono nulla di tutto ciò. Aggiungono obblighi al di sopra, principalmente in materia di notifica degli incidenti, garanzia sulla catena di fornitura e (per DORA) un regime di test specifico. Se il BCMS è costruito bene, i livelli regolamentari si agganciano a esso anziché duplicarlo.
Costruisci prima la spina dorsale. Il corso ISO 22301 Lead Implementer è quello che insegna a realizzare il sistema di gestione a cui tutto il resto si aggancia; se devi soltanto comprendere la struttura e il vocabolario, parti dal corso ISO 22301 Foundation.
Cosa aggiunge realmente ciascun framework
Il modo onesto di leggere i tre è come un unico nucleo operativo più due livelli regolamentari sovrapposti. ISO 22301 è il nucleo perché è l'unico dei tre a prescrivere come costruire e mantenere la capacità di continuità stessa. NIS 2 e DORA presumono che tale capacità esista e poi impongono doveri al di sopra: chi devi avvisare quando qualcosa si rompe, con quale rapidità e come devi dimostrare che la capacità funziona.
| Framework | Cosa aggiunge sopra il nucleo | A chi si applica |
|---|---|---|
| ISO 22301 | Il sistema di gestione della continuità operativa in sé: BIA, RTO/RPO, piani di continuità e di ripristino, runbook, esercitazioni, riesame della direzione. La spina dorsale operativa che gli altri due presuppongono. | Qualsiasi organizzazione, su base volontaria. Certificabile ma non obbligatorio per legge. |
| NIS 2 | Le tempistiche di notifica degli incidenti (preallarme, notifica, relazione finale), i doveri di continuità operativa e di gestione delle crisi, la sicurezza della catena di fornitura e la responsabilità della direzione. | Entità essenziali e importanti in settori specifici in tutta l'UE (energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione e altri). |
| DORA | Resilienza ICT del settore finanziario: un programma di test di resilienza operativa digitale che include il threat-led penetration testing per le entità significative, il registro dei terzi ICT e la supervisione diretta dei fornitori ICT critici. | Entità finanziarie nell'UE (banche, assicuratori, imprese di investimento, prestatori di servizi per le cripto-attività) e i loro terzi ICT critici. |
Leggi la tabella dall'alto verso il basso e il disegno diventa evidente. Implementi ISO 22301 una volta sola. NIS 2 e DORA ti dicono poi quali evidenze il regolatore vuole vedere da quell'unico sistema, e DORA aggiunge una disciplina di test che va oltre le esercitazioni tabletop previste da ISO 22301.
Come funziona nelle operazioni
In termini quotidiani, l'integrazione vive in tre artefatti, e farli bene è gran parte del lavoro. Il primo è un unico catalogo dei servizi e una BIA autorevoli. Decidi una volta sola quali servizi siano critici, qual è la loro tolleranza alla disruption e da cosa dipendono. Ogni framework attinge poi da quell'unica fonte. Se il tuo scoping NIS 2 e il tuo elenco delle funzioni critiche o importanti DORA non concordano con la tua BIA ISO 22301, hai già perso la discussione di audit prima ancora che cominci.
Il secondo è una pipeline unificata degli incidenti. ISO 22301 vuole che tu rilevi, risponda e attivi i piani di continuità. NIS 2 e DORA vogliono che tu notifichi, a tempo, a un'autorità competente. Costruisci un unico processo di rilevazione e triage il cui output alimenti sia la risposta interna di continuità sia il flusso di lavoro della notifica regolamentare. L'orologio della notifica parte dal momento della consapevolezza, quindi il collo di bottiglia raramente è il piano di continuità; è la decisione se un evento sia notificabile e la rapidità nel redigere la notifica iniziale. Modelli di notifica predisposti e un titolare dell'escalation chiaramente individuato valgono qui più di qualsiasi strumento.
Il terzo artefatto è il programma di test ed esercitazioni, ed è qui che DORA spinge con più forza. Le esercitazioni ISO 22301 convalidano i piani; DORA richiede un programma di test documentato e, per le entità significative, threat-led penetration testing su un ciclo pluriennale. Il corso DORA Lead Manager copre il regime di test e il registro dei terzi ICT con la profondità che la regolamentazione richiede, mentre il corso Lead Operational Resilience Manager è quello concepito specificamente per gestire i tre framework come un unico programma.
La decisione: certificare, allineare o entrambi
Una domanda frequente è se serva la certificazione ISO 22301 per soddisfare NIS 2 o DORA. Non serve. Nessuna delle due regolamentazioni impone il certificato. Ma lo standard è il modello più ampiamente riconosciuto per la capacità che entrambe le regolamentazioni presuppongono, quindi la maggior parte dei team si allinea a ISO 22301 anche quando sceglie di non certificarsi. La decisione si divide nettamente: allinearsi a ISO 22301 per ottenere un BCMS coerente e difendibile; certificarsi in aggiunta solo se un cliente, una gara o un consiglio di amministrazione vuole una garanzia di terza parte su di esso.
Se persegui il certificato, comprendi la prospettiva di audit da entrambi i lati del tavolo. Gli implementatori costruiscono il sistema; gli auditor verificano se regge.
Per condurre l'audit di certificazione (interno o come organismo di certificazione), il corso ISO 22301 Lead Auditor insegna la metodologia di audit e come valutare un BCMS rispetto allo standard, che è anche il modo più rapido per imparare in base a quali evidenze sarà giudicato il tuo programma.
Dove i programmi falliscono
I fallimenti ricorrenti sono prevedibili, e quasi tutti derivano dal trattare i framework come separati anziché stratificati.
- Tre BIA in disaccordo. Continuità, sicurezza e finanza valutano l'ambito della criticità ciascuna in modo diverso. Si risolve imponendo un'unica BIA che tutte e tre le funzioni sottoscrivano.
- Piani che superano l'esercitazione ma falliscono nell'evento reale. Le esercitazioni tabletop che si limitano a scorrere una presentazione non dimostrano nulla. Testa l'attivazione, non la narrazione: esegui realmente il failover, ripristina realmente dal backup, raggiungi realmente le persone nella catena di chiamata.
- Confondere le funzioni di continuità, ripristino e risposta agli incidenti. La continuità operativa mantiene il servizio in funzione, il disaster recovery ripristina la tecnologia e la risposta agli incidenti contiene la causa. Sono discipline distinte che devono passarsi il testimone in modo pulito.
- Mancare l'orologio della notifica. Il piano di continuità ha funzionato ma nessuno ha presentato il preallarme in tempo. La notifica regolamentare è un obbligo separato e a tempo limitato e necessita di un proprio titolare.
- Trattare la gestione delle crisi come un ripensamento. Quando un incidente degenera, il punto di fallimento è il processo decisionale, non il ripristino tecnico.
Due di questi fallimenti hanno rimedi dedicati. Il corso Lead Disaster Recovery Manager separa il ripristino tecnologico dalla continuità operativa, così i due smettono di essere confusi, e il corso Certified Lead Crisis Manager costruisce la struttura di comando, comunicazione e decisione che regge quando un incidente diventa una crisi.
La realtà della sala di audit
Ciò che un valutatore di uno qualsiasi dei tre framework sta realmente sondando è se la tua resilienza sia reale o di carta. Chiederà la BIA e poi chiederà chi l'ha approvata e quando è stata riesaminata l'ultima volta. Chiederà la tua ultima esercitazione e poi chiederà cosa è fallito e cosa hai cambiato di conseguenza, perché un'esercitazione senza rilievi è un campanello d'allarme, non un certificato di buona salute. Per le entità DORA, chiederà il programma di test e il registro dei terzi e si aspetterà che entrambi siano aggiornati, non ricostruiti la settimana prima.
I team che superano l'audit con serenità sono quelli che gestiscono un unico programma: una BIA, una pipeline degli incidenti che alimenta sia la risposta interna sia la notifica regolamentare, un calendario di esercitazioni che rompe davvero le cose e un'unica mappatura dei controlli che consente loro di rispondere a tre regolatori dalla stessa base di evidenze. Costruisci bene la spina dorsale ISO 22301, sovrapponi a essa con intenzionalità gli obblighi NIS 2 e DORA, e la frase che dovrebbe descrivere i tuoi audit è: mappa una volta, audit tre volte.
Frequently asked questions
01Ho bisogno della certificazione ISO 22301 ai sensi di NIS 2 o DORA?
No. Né NIS 2 né DORA impongono la certificazione ISO 22301. Entrambi richiedono che l'organizzazione operi capacità di continuità operativa e di resilienza che raggiungano determinati risultati (recuperare entro i tempi concordati, notificare gli incidenti entro le scadenze, testare i piani). Un BCMS conforme a ISO 22301 dimostra in modo chiaro tali capacità a un'autorità di vigilanza.
Nella pratica, le entità finanziarie e gli operatori di importanza vitale perseguono spesso la certificazione ISO 22301 perché le evidenze di audit richieste da NIS 2 e DORA corrispondono quasi esattamente alle evidenze della certificazione.
02Qual è la relazione tra BCP, DR e risposta agli incidenti?
Tre discipline che si sovrappongono. I Business Continuity Plan (BCP) riguardano come l'azienda continua a operare durante una disruption: personale, sedi alternative, soluzioni provvisorie, comunicazione. Il Disaster Recovery (DR) riguarda il ripristino specifico dei sistemi e dei dati IT. La Incident Response (IR) riguarda il ciclo dalla rilevazione al ripristino degli incidenti di sicurezza.
Un programma maturo le gestisce come un'unica cosa. Lo stesso playbook procede dalla rilevazione dell'incidente (IR) al ripristino dei sistemi (DR) alla continuazione delle operazioni aziendali (BCP). Team diversi possono eseguire fasi diverse, ma il piano è integrato.
03Che cos'è il threat-led penetration testing ai sensi di DORA?
Il TLPT è l'esercitazione di red team supervisionata dal regolatore richiesta per le entità finanziarie significative ai sensi di DORA, almeno ogni tre anni. Si basa su TIBER-EU. È guidato dall'intelligence (un team separato di threat intelligence produce il profilo dell'attaccante), prende di mira funzioni critiche o importanti ed è supervisionato dall'autorità nazionale.
Il TLPT è un lavoro che dura più mesi e costa diverse centinaia di migliaia di euro. È il test di resilienza più rigoroso che un CISO del settore finanziario dovrà affrontare, e quello che espone il SOC, le regole di rilevazione e la catena di risposta agli incidenti per ciò che realmente sono.
04Come strutturo un unico programma di resilienza?
Si parte dal BCMS (la spina dorsale ISO 22301): ambito, BIA, obiettivi di ripristino, piani, test, riesame della direzione. Si aggiungono le procedure di notifica degli incidenti NIS 2 e gli obblighi di continuità della catena di fornitura derivanti dall'Articolo 21. Si aggiunge il calendario di test specifico di DORA, il registro dei terzi ICT e la classificazione degli incidenti per le entità finanziarie.
Si mappano i controlli in un unico documento di mappatura che indica quale clausola di quale framework ciascun controllo soddisfa. Gli auditor riconoscono la mappatura e smettono di porre domande duplicate.






