Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

La sicurezza misurabile

Gestire gli incidenti significativi: la matrice operativa per la conformità NIS 2

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

La sicurezza non vive nei documenti ma nei sistemi che li mettono in relazione. Ecco come passare dalla Business Impact Analysis alla notifica di un incidente significativo mediante una matrice operativa che correla impatti, tempi di continuità e livelli di servizio

Pubblicato il 2 dic 2025
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

GDPR e NIS 2; Dalla teoria alla tabella: correlare BIA, SL e incidenti significativi nel Monis

La sicurezza non vive nei documenti, ma nei sistemi che li mettono in relazione. Dopo aver compreso come la misura/subcategoria DE.CM-01 del FNCDP 2.1, la BIA, gli SL e gli SLA si intrecciano nel nuovo linguaggio della rilevazione, il passo decisivo è costruire una matrice che renda questa coerenza visibile, tracciabile e auditabile e disponibile in caso di controlli da parte delle autorità competenti.

Lo scopo del Modello Organizzativo NIS 2 (Monis) consiste nel trasformare la conformità normativa in architettura gestionale.

Ecco un paio di esempi concreti per collegare concretamente BIA, livelli di servizio (SL), oggetto di contratto (SLA) e criteri di incidenti significativi all’interno di un’unica struttura, applicabile tanto nella Pubblica Amministrazione quanto nel settore sanitario.

NIS 2 come sicurezza misurabile: come riconoscere un incidente significativo

Dal frammento all’unità: il Monis come architettura della sicurezza digitale

Ogni organizzazione dispone di analisi, piani e contratti. Ma troppo spesso questi strumenti vivono in compartimenti separati: la BIA parla un linguaggio
tecnico-gestionale, gli SLA un linguaggio commerciale, le procedure di notifica un linguaggio legale.

Il Modello organizzativo NIS 2 (Monis) [1] nasce proprio per unire questi mondi, restituendo unità di governo alla sicurezza digitale.

Nel Monis, la misurabilità non è un elemento accessorio, ma la sua spina dorsale.
Tutto ciò che viene dichiarato come essenziale deve essere tracciabile fino alla soglia di impatto e ai valori di servizio corrispondenti.

Solo così l’organizzazione può dimostrare che il proprio sistema non si limita a reagire ma prevede, misura e governa.

Il Modello organizzativo NIS 2 come struttura di coerenza

Il Modello organizzativo NIS 2 (MONIS) è l’equivalente, in ambito sicurezza, del modello D.lgs 231/2001 in materia di responsabilità amministrativa di impresa: una cornice che unisce norme, processi e responsabilità.

Nel suo schema, ogni misura tecnica o organizzativa deve poter essere ricondotta a tre elementi:

  • una fonte di rischio analizzata e valutata;
  • un obiettivo di continuità derivato dalla BIA;
  • una soglia di rilevamento collegata ai livelli di servizio;

In questo modo, la BIA non resta confinata nei piani di continuità ma alimenta direttamente i parametri del monitoraggio e la classificazione degli incidenti significativi.

È la trasformazione del dato analitico in indicatore operativo.

La tabella di correlazione: dal concetto al modello

La matrice di correlazione tra BIA, SL e incidenti significativi è lo strumento che rende visibile questa logica.

Può essere costruita in forma di tabella o di registro, integrata nel Monis.
Un esempio di struttura semplificata è nella tabella.

Questa tabella consente di seguire la filiera logica: dall’impatto stimato, ai tempi di continuità fino ai livelli di servizio e ai criteri di significatività.

In caso di ispezione dell’Acn, la correlazione dimostra non solo la conformità formale ma anche la tracciabilità operativa delle decisioni.

Applicazione nella Pubblica amministrazione

Nel contesto della PA, la matrice “BIA-SL-incidenti” assume un valore strategico come atto della politica dell’ente.

Ogni servizio digitale, ogni portale o piattaforma rappresenta un atto di fiducia tra cittadino e istituzione; di conseguenza, definire la soglia di continuità significa dichiarare quanto quella fiducia è tutelata.

Un esempio pratico

Attraverso la propria BIA, un Comune stabilisce che il servizio di anagrafe online non può restare indisponibile oltre 8 ore consecutive (RTO) e deve garantire un livello di servizio di almeno il 98% su base mensile (pari a 14,4 ore per mesi di durata 30 giorni).

Il sistema di monitoraggio registra una caduta del 3% per cause infrastrutturali; il superamento della soglia attiva una valutazione interna e, se l’impatto coinvolge più Comuni o sistemi centrali, la notifica al CSIRT Italia.

In questo modo, il principio di buon andamento dell’art. 97 della Costituzione trova una traduzione digitale concreta.

Applicazione nel settore sanitario

Nel sanitario, la correlazione “BIA-SL-incidenti” è questione di vita reale.

Un laboratorio di analisi, un sistema di prenotazione, una piattaforma di telemedicina: ogni minuto di inattività ha un impatto potenzialmente clinico.

La BIA, in questo caso, valuta non solo il danno economico ma anche quello etico e reputazionale.

Un esempio concreto

Un ospedale individua un MTD di 2 ore per il sistema di refertazione. Ne derivano un RTO di 60 minuti e un livello di servizio di disponibilità del 99,9%.

Il monitoraggio registra un’interruzione prolungata per guasto del data center esterno: il superamento della soglia comporta l’apertura immediata di un incidente, la raccolta delle evidenze e la notifica al CSIRT Italia entro le 24 ore.

Qui la matrice del Monis diventa strumento di prova e di trasparenza verso i pazienti, la committenza (ATS), i cittadini e le autorità di vigilanza.

Il ciclo di miglioramento continuo

La matrice BIA-SL-incidenti non è un documento statico, ma una struttura dinamica.

Ogni volta che cambiano i servizi, i fornitori o le tecnologie, o ancora le normative, la BIA va aggiornata.

Di conseguenza, anche i livelli di servizio e le soglie di rilevamento devono essere riallineati.

Questo chiude il ciclo Plan-Do-Check.Act del MONIS, in coerenza con ISO/IEC 27001, ISO 22301 e ISO 31000.

Sicurezza come linguaggio comune tra tecnologia, diritto e gestione

Con questo quarto capitolo della tetralogia, si chiude il percorso iniziato dalle Linee guida – Specifiche di base dell’ACN fino al Monis.

Abbiamo visto che la misurabilità non è un requisito tecnico, ma una forma di cultura organizzativa che si declina secondo la seguente progressione:

  • la BIA dà senso ai numeri;
  • i livelli di servizio trasformano quei numeri in soglie operative;
  • il monitoraggio li traduce in prove;
  • il Monis li unisce in una struttura di responsabilità.

In questa architettura, la sicurezza diventa linguaggio comune tra tecnologia, diritto e gestione.

Bibliografia

[1] Per approfondimenti su questi temi si rinvia all Manuale Il Modello organizzativo NIS 2 (MONIS) di Giuseppe Alverone e Monica Perego – Ed. Simone Professionale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Sarcoma Ransomware: una gang dedita alla doppia estorsione; Knownsec Leak, anatomia di un data breach di Stato; Attacco ransomware al gruppo Poltronesofà: nessuna rivendicazione, ecco cosa sappiamo

  • attacco ransomware

    L'ombra del Dragone sulla Silicon Valley: anatomia di un campo di battaglia asimmetrico

    17 Nov 2025

    di Benito Mirra

    Condividi
  • hacker; Cyber attacchi globali a quota 24 trilioni di dollari: come proteggersi nell'era dell'Agentic AI

  • crimini informatici

    Attacchi globali a quota 24 trilioni di dollari: come difendersi nell'era dell'Agentic AI

    24 Nov 2025

    di Mirella Castigli

    Condividi
  • Piano ispettivo privacy

  • GDPR

    Ispezioni privacy 2025, ecco cosa devono sapere le aziende

    14 Feb 2025

    di Rosario Palumbo

    Condividi
  • AI Act moratoria

  • intelligenza artificiale

    AI Act, un anno di grazia: pragmatismo europeo o resa alle Big Tech?

    10 Nov 2025

    di Tania Orrù

    Condividi
0
Lascia un commento, la tua opinione conta.x