Riferimento · Articolo 21Ultima revisione il 05 mag 2026
Le 21 misure, spiegate con chiarezza.
L’articolo 21 della direttiva (UE) 2022/2555 elenca dieci categorie di misure di gestione del rischio cyber. Le abbiamo declinate in 21 punti di controllo concreti, raggruppati secondo ciò che il vostro team deve effettivamente consegnare.
§ 01
Governance
- M.01Politiche di sicurezza dell’informazione — approvate dal consiglio
- M.02Ruoli, responsabilità e accountability formalmente documentati
- M.03Formazione degli amministratori sul rischio cyber
- M.04Revisione indipendente annuale del programma di sicurezza
§ 02
Gestione del rischio
- M.05Metodologia di analisi del rischio e registro dei rischi aggiornato
- M.06Inventario degli asset: sistemi informativi e dati
- M.07Piani di continuità operativa e gestione delle crisi
- M.08Backup: procedure di ripristino testate
§ 03
Misure tecniche
- M.09Autenticazione multifattore su tutti gli accessi critici
- M.10Politica di crittografia e cifratura
- M.11Segmentazione di rete e principi zero-trust
- M.12Gestione delle vulnerabilità e cadenza di patching
- M.13Detection and response sugli endpoint (EDR)
- M.14Ciclo di sviluppo software sicuro
§ 04
Catena di approvvigionamento
- M.15Valutazioni di sicurezza dei fornitori
- M.16Clausole di sicurezza contrattuali per fornitori critici
- M.17Monitoraggio continuo dell’esposizione verso terzi
§ 05
Gestione incidenti
- M.18Playbook di rilevamento, classificazione ed escalation
- M.19Preallarme 24 h al CSIRT
- M.20Notifica di incidente a 72 h con valutazione di gravità
- M.21Relazione finale entro un mese
Azione · Avviare l’autovalutazione§ Azione
Pronti a mettere numeri su tutto questo?
Fate l’autovalutazione in 21 punti. Punteggio in due minuti. Uscite con un piano d’azione prioritizzato, pronto per essere portato all’organo di amministrazione.