La Nuova Direttiva NIS 2 e il Recepimento Italiano

Un Approfondimento Strategico per Aziende e Pubbliche Amministrazioni

La Direttiva NIS 2 (Direttiva (UE) 2022/2555) rappresenta una pietra miliare nel rafforzamento della sicurezza cibernetica dell’Unione Europea. Pubblicata il 27 dicembre 2022, essa sostituisce la Direttiva NIS del 2016, ridefinendo il quadro normativo in materia di protezione delle infrastrutture critiche e di gestione del rischio informatico. In questo approfondimento analizziamo i principali cambiamenti introdotti, con un focus sul recepimento italiano tramite il Decreto Legislativo 138/2024, e sulle opportunità e sfide che derivano per il settore pubblico e privato.

Il Contesto Europeo: Una Strategia Rinnovata per la Cybersecurity

Obiettivi della Direttiva NIS 2

La cybersecurity è oggi un tema strategico per l’Unione Europea, che punta a garantire un elevato livello di resilienza digitale in tutti gli Stati membri. La Direttiva NIS 2 si propone di:

Migliorare la protezione delle infrastrutture critiche da attacchi informatici sempre più sofisticati e frequenti.
Promuovere la cooperazione e la condivisione di informazioni tra i Paesi membri.
Creare un mercato unico della sicurezza cibernetica, sostenendo lo sviluppo di tecnologie innovative e standardizzati.

Dal 2016 al 2024: Le Evoluzioni Normative

Rispetto alla Direttiva NIS del 2016, la NIS 2 amplia significativamente il proprio campo di applicazione e introduce requisiti più rigorosi per la gestione del rischio e la segnalazione degli incidenti. Tra le novità principali:

Ampliamento dei settori coperti: La NIS 2 coinvolge nuovi settori critici, come i trasporti pubblici locali, la gestione dell’acqua e le infrastrutture digitali.
Responsabilità aumentata per le imprese: Gli operatori devono adottare un approccio proattivo nella gestione del rischio, con politiche e procedure strutturate.
Sanzioni più severe: I meccanismi di vigilanza vengono rafforzati, con pene significative per le aziende inadempienti.

Il Recepimento Italiano: Il Decreto Legislativo 138/2024

Una Normativa Completa

Il recepimento della Direttiva NIS 2 in Italia è avvenuto tramite il Decreto Legislativo 138/2024, che abroga il precedente Dlgs. n. 65/2018. Questo decreto rappresenta un passo decisivo per rafforzare la sicurezza cibernetica nazionale, adeguando il quadro normativo italiano alle più recenti esigenze europee.

I Punti Chiave del Dlgs. 138/2024

Il decreto introduce nuovi obblighi e scadenze per le aziende e le pubbliche amministrazioni:

Registrazione sulla piattaforma ACN

Entro gennaio 2025, i soggetti interessati devono registrarsi sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN).
La registrazione include l’autovalutazione per determinare l’appartenenza alle categorie di soggetti essenziali o importanti.

Identificazione dei soggetti coinvolti

Entro aprile 2025, l’ACN pubblicherà l’elenco ufficiale dei soggetti essenziali e importanti.

Adempimenti successivi

Tra il 2025 e il 2026, gli operatori devono implementare politiche di gestione del rischio, procedure di notifica degli incidenti e misure di sicurezza tecniche e organizzative.

Gli Obblighi Specifici

La Direttiva NIS 2 introduce requisiti stringenti per migliorare la sicurezza informatica. Tra gli obblighi principali:

Valutazione del rischio

Ogni organizzazione deve adottare un approccio multirischio, considerando minacce fisiche, logiche e ambientali.

Notifica degli incidenti

Gli incidenti significativi devono essere notificati entro 24 ore, con aggiornamenti successivi e una relazione finale entro un mese.

Formazione e sensibilizzazione

Gli organi di amministrazione devono essere formati sulle tematiche di cybersecurity, con sessioni obbligatorie di aggiornamento.

I Settori Coinvolti: Una Visione Ampia

La Direttiva NIS 2 amplia il perimetro delle organizzazioni soggette agli obblighi di cybersecurity. Tra i settori inclusi:

Energia e trasporti

Reti elettriche
Gasdotti
Trasporto ferroviario
Trasporto aereo

Servizi digitali

Cloud computing
Data center
Motori di ricerca
Piattaforme social

Pubblica amministrazione

Enti locali
Amministrazioni centrali
Istituti di ricerca

Le aziende con più di 50 dipendenti o un fatturato superiore ai 10 milioni di euro sono automaticamente considerate soggetti rilevanti, salvo eccezioni specifiche.

Una Cybersecurity Multirischio: La Gestione del Rischio nella NIS 2

Una Nuova Filosofia di Gestione

La Direttiva adotta un approccio olistico, richiedendo che ogni organizzazione valuti non solo le minacce dirette, ma anche i rischi derivanti dalla supply chain e dai fornitori.

Focus sulla Supply Chain

Gli operatori devono:

Valutare la sicurezza dei propri fornitori e delle loro pratiche.
Monitorare costantemente le vulnerabilità nella catena di approvvigionamento.
Collaborare con partner e stakeholder per mitigare rischi condivisi.

Notifica degli Incidenti: Procedure e Tempistiche

Tre livelli di notifica

Preallarme entro 24 ore

Segnalazione preliminare per informare il CSIRT (Computer Security Incident Response Team) dell’incidente.

Aggiornamenti entro 72 ore

Informazioni più dettagliate sull’impatto e sulle misure adottate.

Relazione finale entro un mese

Valutazione completa dell’incidente, inclusa l’analisi delle cause e l’efficacia delle contromisure.

L’Agenzia per la Cybersicurezza Nazionale: Un Ruolo Centrale

Supervisione e Supporto

L’ACN ha un ruolo centrale nell’implementazione della Direttiva, con responsabilità che includono:

Gestione della piattaforma di registrazione.
Audit e verifiche a campione per garantire la conformità.
Promozione di standard internazionali per la sicurezza.

Standard e Certificazioni

L’ACN incoraggia l’adozione di standard riconosciuti come ISO 27001, ENISA e ETSI, promuovendo l’armonizzazione delle pratiche di sicurezza in tutta l’UE.

Le Opportunità per le Aziende

Vantaggi Competitivi

L’adeguamento alla NIS 2 offre diversi benefici, tra cui:

Miglioramento della resilienza organizzativa.
Rafforzamento della fiducia di clienti e stakeholder.
Accesso a nuovi mercati grazie alla conformità normativa.

Integrazione con altre normative

La Direttiva NIS 2 si integra con altre regolamentazioni europee, come il Regolamento DORA e la Direttiva CER, creando un ecosistema normativo coerente e completo.

La nostra Consulenza Aziendale in Tema di Applicazione della Direttiva NIS 2

L’Autovalutazione: Una Decisione Strategica e Responsabile

Affrontare l’autovalutazione per stabilire l’applicabilità della Direttiva NIS 2 è un passaggio delicato e strategico per qualsiasi azienda. Anche la decisione di escludersi dal campo di applicazione della normativa deve essere supportata da un processo altrettanto rigoroso rispetto a quello adottato per dichiararsi soggetti conformi. Questo approccio dimostra trasparenza e accountability, essenziali per tutelarsi in caso di future ispezioni o verifiche.

Sebbene la normativa non lo imponga esplicitamente, è altamente consigliato che le aziende che ritengono di non rientrare tra i soggetti obbligati dalla Direttiva NIS 2 documentino formalmente tale scelta. Un documento ufficiale del Consiglio di Amministrazione (CdA) può rappresentare un elemento chiave, poiché certifica la consapevolezza e la responsabilità della dirigenza riguardo ai rischi e alle opportunità legati alla conformità normativa.

Perché Formalizzare una Decisione di Esclusione

La formalizzazione di una decisione “in negativo” tramite un atto del CdA non solo rafforza la credibilità dell’organizzazione, ma rappresenta anche un elemento di prova tangibile di una valutazione approfondita. Questo tipo di documentazione può essere particolarmente utile durante ispezioni future, poiché testimonia che l’azienda ha considerato attentamente tutti gli aspetti legati alla normativa.

Un atto del CdA che illustra i motivi per cui un’azienda non si considera soggetta alla NIS 2 dovrebbe includere:

Riepilogo delle analisi effettuate

Una descrizione dettagliata delle valutazioni interne, che comprenda elementi come la natura delle attività, il settore di appartenenza, il numero di dipendenti e il fatturato.

Motivazione della decisione

Un’analisi basata sui parametri chiave della normativa, spiegando in modo specifico perché l’azienda ritiene di non ricadere sotto gli obblighi della Direttiva.

Piano di rivalutazione periodica

Una strategia per monitorare regolarmente i parametri aziendali, assicurando che eventuali cambiamenti (ad esempio, fusioni, acquisizioni o crescita organica) siano considerati per una revisione della conformità.

Questa procedura non solo dimostra la responsabilità dell’azienda, ma permette di mantenere un approccio proattivo rispetto a possibili evoluzioni normative o cambiamenti organizzativi.

Gestione delle Ambiguità nella Normativa

Alcune aziende si trovano in una posizione borderline rispetto ai requisiti della Direttiva NIS 2. Ad esempio, nel settore della distribuzione alimentare, la normativa include nell’Allegato II le imprese alimentari coinvolte nella produzione, trasformazione e distribuzione all’ingrosso, ma non chiarisce completamente i confini di applicabilità.

Questa ambiguità può creare incertezze interpretative, come nel caso delle aziende che si occupano di distribuzione all’ingrosso senza attività di trasformazione industriale. In questi contesti, è cruciale che il CdA formalizzi un documento che espliciti in modo dettagliato le motivazioni per cui l’organizzazione non si considera soggetta agli obblighi della normativa. Tale documento rappresenta una garanzia in caso di verifiche o interpretazioni future.

Monitorare la Conformità: Un Approccio Continuo e Dinamico

La Verifica Periodica dei Parametri Aziendali

L’applicazione della NIS 2 non è un processo statico, ma richiede un monitoraggio continuo dei parametri aziendali. Ad esempio:

Superamento delle soglie di fatturato o dipendenti

Se un’azienda supera i 50 dipendenti o i 10 milioni di euro di fatturato, deve rivalutare immediatamente la propria posizione rispetto alla normativa.

Ampliamento delle attività aziendali

Cambiamenti significativi nel business, come l’introduzione di nuove linee produttive o l’espansione a nuovi mercati, possono influenzare l’applicabilità della normativa.

Un esempio pratico è rappresentato da un’azienda produttrice di integratori alimentari che decide di entrare nel mercato alimentare tradizionale. Questa evoluzione richiede una rivalutazione della conformità alla NIS 2, poiché i nuovi processi produttivi potrebbero rientrare tra le attività critiche.

I Fornitori di Aziende Soggette alla NIS 2

Anche le organizzazioni che non ricadono direttamente nel campo di applicazione della NIS 2 possono essere influenzate dalla normativa, se operano come fornitori di aziende soggette. In questi casi, adottare alcune disposizioni della NIS 2 può rappresentare un vantaggio competitivo, migliorando la qualificazione sul mercato e rafforzando la fiducia dei clienti.

Accountability e Strategia per il Futuro

L’approccio proattivo alla conformità normativa, incluso quello per la documentazione delle esclusioni, rappresenta una best practice che ogni azienda dovrebbe considerare. Questo non solo garantisce la trasparenza e la responsabilità, ma prepara l’organizzazione a eventuali cambiamenti futuri. Inoltre, monitorare costantemente i parametri aziendali consente di reagire rapidamente a nuove esigenze di conformità, evitando sanzioni e rafforzando la posizione competitiva dell’azienda sul mercato.

Le aziende, pur non obbligate dalla NIS 2, dovrebbero valutare l’opportunità di adottare standard di cybersecurity in linea con la normativa, sia per migliorare le proprie competenze, sia per rafforzare il loro valore percepito nel mercato. Questa visione strategica può fare la differenza in un panorama sempre più competitivo e regolamentato.

Requisiti Tecnici e Metodologici per la Conformità alla Direttiva NIS 2

L’Importanza di Misure Tecniche e Metodologiche Adeguate

La Direttiva NIS 2 stabilisce che le entità coperte dalla normativa devono implementare misure tecniche e metodologiche efficaci per gestire i rischi informatici. Queste misure devono essere calibrate sulla base dei rischi specifici che l’entità affronta, tenendo conto di fattori come la dimensione aziendale, la probabilità di incidenti e la gravità potenziale degli impatti, compresi quelli sociali ed economici.

Per garantire un’applicazione uniforme e riconosciuta, i requisiti tecnici si basano su standard internazionali, come ISO/IEC 27001 e ETSI EN 319, e devono essere adattati alle peculiarità delle attività svolte dalle entità.

Un Approccio Sistematico alla Gestione del Rischio

La Direttiva richiede un approccio strutturato alla gestione del rischio, che includa:

Politiche di sicurezza delle reti e dei sistemi informativi

Linee guida chiare per proteggere le risorse critiche.

Gestione degli accessi e segmentazione delle reti

Pratiche che garantiscono l’accesso esclusivo alle risorse da parte di utenti e sistemi autorizzati.

Flessibilità per le PMI

Per supportare le piccole e medie imprese, la Direttiva prevede la possibilità di adottare misure compensative in caso di difficoltà nell’applicazione di alcuni requisiti. Tuttavia, tali misure devono essere adeguatamente documentate, includendo una giustificazione delle scelte fatte e una descrizione delle alternative adottate per mitigare i rischi.

Cosa si Intende per “Incidente Significativo”?

Un incidente è classificato come significativo quando soddisfa uno o più criteri definiti dalla normativa, tra cui:

Danno finanziario diretto

Superiore a 500.000 euro o al 5% del fatturato annuo dell’entità

Esfiltrazione di segreti commerciali

In base alla Direttiva (UE) 2016/943

Conseguenze sulla salute o sulla vita delle persone

Inclusi decessi o danni gravi

Le interruzioni programmate, invece, sono esplicitamente escluse dalla definizione di incidente significativo.

Calcolo dell’Impatto

Per stimare l’impatto di un incidente, le entità devono considerare:

Il numero di clienti direttamente interessati.
Le persone fisiche e giuridiche connesse ai clienti commerciali che utilizzano i servizi o le reti compromesse.

Incidenti Ricorrenti

Un elemento innovativo introdotto dalla Direttiva è il concetto di incidenti ricorrenti. Se una serie di incidenti minori, legati da una causa comune, si verifica entro un periodo di sei mesi e nel complesso soddisfa i criteri per essere classificata come significativa, questi vengono trattati come un unico incidente maggiore. Questo approccio consente di individuare carenze sistemiche e promuovere miglioramenti strutturali nelle pratiche di sicurezza informatica.

Gestione del Rischio e Resilienza Operativa: Fondamenti della Direttiva

Piani di Gestione del Rischio

Le entità coperte dalla Direttiva devono predisporre e mantenere un piano strutturato per la gestione del rischio, che comprenda:

Identificazione dei rischi: mappatura delle minacce rilevanti.
Analisi dei rischi: valutazione delle vulnerabilità e delle potenziali conseguenze.
Mitigazione dei rischi: implementazione di misure preventive e correttive.

Questo piano deve essere aggiornato regolarmente, almeno una volta all’anno, o in occasione di cambiamenti significativi nelle operazioni aziendali o nel panorama delle minacce.

Pratiche di Cyber Hygiene

La Direttiva promuove l’adozione di pratiche di cyber hygiene di base, come:

Segmentazione delle reti: per limitare il propagarsi di eventuali attacchi.
Autenticazione multifattoriale: per garantire un accesso sicuro alle risorse aziendali.
Aggiornamenti regolari del software: per mitigare le vulnerabilità note.
Protezione contro il phishing: formazione e strumenti per prevenire attacchi basati sull’ingegneria sociale.

Sensibilizzazione e Formazione del Personale

Un programma continuo di formazione e sensibilizzazione è essenziale per mantenere alta l’attenzione sulla cybersecurity. Questo programma deve:

Coinvolgere sia i dipendenti che i fornitori.
Essere testato regolarmente per verificarne l’efficacia.
Essere aggiornato per tenere conto dei cambiamenti nel panorama delle minacce e delle migliori pratiche.

Resilienza Operativa: Prepararsi agli Incidenti

Piani di Continuità Operativa e Disaster Recovery

La resilienza operativa è un aspetto centrale della Direttiva. Ogni entità deve sviluppare:

Piani di continuità operativa: per garantire la disponibilità dei servizi essenziali durante le emergenze.
Piani di disaster recovery: per ripristinare rapidamente le operazioni in caso di incidenti.

Questi piani devono includere:

Analisi dell’impatto aziendale: per identificare le priorità operative.
Obiettivi di ripristino: definiti in base alla criticità delle attività.
Ruoli e responsabilità: chiari per gestire le emergenze.

Test e Aggiornamenti

I piani di continuità e di disaster recovery devono essere testati periodicamente e aggiornati per rispondere efficacemente a scenari in evoluzione. Questo garantisce che l’organizzazione sia pronta a gestire anche le emergenze più complesse.

Adattarsi ai Nuovi Requisiti di Sicurezza

La Direttiva NIS 2 introduce requisiti rigorosi ma necessari per migliorare la sicurezza informatica e la resilienza operativa delle entità critiche. La chiave per affrontare con successo queste sfide risiede in un approccio proattivo alla gestione del rischio, nell’adozione di pratiche di cyber hygiene e nella pianificazione strutturata della continuità operativa.

Per le aziende, conformarsi alla normativa non significa solo rispettare un obbligo legale, ma rappresenta un’opportunità per rafforzare la propria sicurezza, aumentare la fiducia dei clienti e posizionarsi in modo competitivo sul mercato.

La Sicurezza della Supply Chain: Un Pilastro della Direttiva NIS 2

L’Estensione della Gestione del Rischio alla Catena di Fornitura

La Direttiva NIS 2 pone una particolare enfasi sulla sicurezza della supply chain, riconoscendo che i rischi informatici non si limitano alle reti e ai sistemi interni di un’organizzazione, ma si estendono anche ai fornitori di servizi e ai partner nella catena di fornitura. Questa prospettiva più ampia richiede alle entità di adottare politiche di sicurezza dedicate alla supply chain, che includano criteri stringenti per la selezione, la valutazione e la contrattualizzazione dei fornitori.

Le politiche di sicurezza della catena di fornitura devono prevedere:

Valutazione delle pratiche di sicurezza dei fornitori

Un’analisi approfondita delle misure di protezione informatica implementate dai partner.

Monitoraggio continuo

La revisione periodica delle performance dei fornitori in relazione ai requisiti di sicurezza richiesti.

Certificazioni di cybersecurity

L’adozione di standard certificati per garantire che i prodotti e i servizi acquisiti siano conformi a standard di sicurezza riconosciuti.

Contratti con i Fornitori: Strumenti di Controllo della Sicurezza

Un elemento centrale della sicurezza della supply chain è rappresentato dalla revisione e dal monitoraggio dei contratti con i fornitori. La Direttiva richiede che questi contratti includano clausole specifiche per:

Definire i requisiti di sicurezza informatica obbligatori.
Stabilire i livelli minimi di protezione richiesti per i servizi o i prodotti forniti.
Prevedere meccanismi per la verifica della conformità alle clausole contrattuali, come audit periodici e report di sicurezza.

Questo approccio mira a ridurre il rischio che vulnerabilità nella catena di approvvigionamento possano essere sfruttate da attori malevoli per attacchi informatici su larga scala.

Il Ruolo delle Certificazioni di Cybersecurity

L’uso di certificazioni internazionali di sicurezza informatica è incoraggiato dal regolamento per semplificare e uniformare la valutazione dei fornitori. Certificazioni come ISO/IEC 27001, ENISA o schemi specifici del Cybersecurity Act europeo garantiscono che i fornitori abbiano adottato misure di sicurezza coerenti con le migliori pratiche di settore.

Il Regolamento Attuativo del 17 Ottobre 2024: Un Quadro Normativo Chiaro

Il regolamento attuativo del 17 ottobre 2024 fornisce le linee guida necessarie per concretizzare i principi generali della Direttiva NIS 2. Esso rappresenta un importante passo avanti nella standardizzazione della sicurezza informatica in Europa, offrendo una base normativa armonizzata che tiene conto delle specificità delle diverse entità coperte.

Principi del Regolamento

Approccio proporzionato e flessibile:

Le misure di sicurezza devono essere proporzionate al livello di rischio a cui le entità sono esposte.
Le piccole e medie imprese possono adottare misure compensative, purché documentino in modo adeguato le loro scelte.

Accountability come fondamento:

Le entità devono dimostrare di aver implementato le misure di sicurezza richieste e di averne verificato l’efficacia.
Questo approccio non solo assicura la conformità normativa, ma rafforza la credibilità e la trasparenza delle organizzazioni.

Accountability e Miglioramento della Postura Cyber

Il principio di accountability, che permea l’intero regolamento, è fondamentale per il miglioramento della postura di sicurezza informatica delle entità. Questo principio richiede alle organizzazioni di:

Implementare misure di sicurezza efficaci: Sviluppare e mantenere soluzioni tecniche e organizzative adeguate.
Documentare i processi: Creare report dettagliati che evidenzino le scelte fatte, i rischi mitigati e le soluzioni adottate.
Dimostrare la conformità: Fornire evidenze concrete dell’applicazione delle misure richieste e dei risultati ottenuti.

Un’Approccio Continuo

L’implementazione delle misure di sicurezza non è un evento unico, ma un processo continuo che richiede:

Aggiornamento periodico delle policy: Per tenere conto di nuovi rischi o cambiamenti operativi.
Verifiche regolari: Audit interni ed esterni per assicurare la conformità alle normative.
Coinvolgimento dei fornitori: Promuovere un dialogo costante con i partner della supply chain per migliorare la collaborazione in materia di sicurezza.

Una Supply Chain Sicura come Obiettivo Strategico

La sicurezza della supply chain è un elemento chiave per garantire la resilienza informatica delle organizzazioni coperte dalla Direttiva NIS 2. Adottare un approccio strutturato, basato su politiche chiare e certificazioni riconosciute, non solo assicura la conformità normativa, ma contribuisce a rafforzare la fiducia dei clienti e dei partner.

Il regolamento del 17 ottobre 2024 offre un quadro chiaro e armonizzato che aiuta le entità a implementare le misure necessarie per proteggere le proprie operazioni e la catena di fornitura da minacce sempre più sofisticate. In un contesto in cui le minacce informatiche sono in costante evoluzione, adottare un approccio proattivo e responsabile è essenziale per garantire continuità operativa, competitività e reputazione aziendale.

Tipo di documento	Riferimento norma
Rapporto di misurazione	NIS 2 Articolo 20, paragrafo 1 e articolo 21, paragrafo 2, lettera f) ISO 27001 clausola 9.1
Rapporto di audit interno	NIS 2 Articolo 20, paragrafo 1 e articolo 21, paragrafo 2, lettera f) ISO 27001 clausola 9.2
Procedura per riesame della Direzione	NIS 2 Articolo 20, paragrafo 1 e articolo 21, paragrafo 2, lettera f) ISO 27001 clausola 9.3

Tipo di documento	Riferimento norma
Tabella di trattamento del rischio	NIS 2 Articolo 21, paragrafo 1 ISO 27001 clausola 6.1
Piano di trattamento del rischio	NIS 2 Articolo 20, paragrafo 1 e articolo 21, paragrafo 1 ISO 27001 clausole 6.1 e 6.2
Varie politiche e procedure menzionate di seguito

Tipo di documento	Riferimento norma
Politica di sicurezza dei fornitori	NIS 2 Articolo 21, paragrafo 2, lettera d) e paragrafo 3 Controlli ISO 27001 A.5.7, A.5.11, A.5.19, A.5.20, A.5.21, A.5.22, A.5.23, A.6.1, A.6.2, A.6.3 e A.8.30
Clausole di sicurezza per fornitori e partner	NIS 2 Articolo 21, paragrafo 2, lettera d) e paragrafo 3 Controlli ISO 27001 A.5.11, A.5.20, A.5.22, A.5.23, A.6.2, A.6.3 e A.8.30
Dichiarazione di riservatezza	NIS 2 Articolo 21, paragrafo 2, lettera d) Controlli ISO 27001 A.5.20 e A.6.2

Tipo di documento	Riferimento norma
Metodologia di misurazione	NIS 2 Articolo 21, paragrafo 2, lettera f) ISO 27001 clausola 9.1
Rapporto di misurazione	NIS 2 Articolo 20, paragrafo 1 e articolo 21, paragrafo 2, lettera f) ISO 27001 clausola 9.1
Lista di controllo per l'audit interno	NIS 2 Articolo 20, paragrafo 1 e articolo 21, paragrafo 2, lettera f) ISO 27001 clausola 9.2
Procedura di audit interno	NIS 2 Articolo 20, paragrafo 1 e articolo 21, paragrafo 2, lettera f) ISO 27001, clausola 9.2 e controlli A.5.35 e A.8.34
Rapporto di audit interno	NIS 2 Articolo 20, paragrafo 1 e articolo 21, paragrafo 2, lettera f) ISO 27001 clausola 9.2
Procedura per revisione della gestione	NIS 2 Articolo 20, paragrafo 1 e articolo 21, paragrafo 2, lettera f) ISO 27001 clausola 9.3