Incidenti, business continuity e resilienza

Backup e disaster recovery secondo NIS2: come dimostrare che il ripristino funziona davvero

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

La NIS2 non chiede semplicemente di “avere backup”. Chiede una capacità documentabile di gestire il rischio e ripristinare servizi rilevanti. Un backup non testato, non isolato o non collegato a RTO/RPO può essere insufficiente. La domanda corretta è: in caso di ransomware, errore umano, guasto cloud o incidente presso un fornitore, l'azienda sa quanto tempo impiega a ripartire e quali dati perde?

Questo articolo si collega alla guida Business continuity NIS2, all'incident response plan e al modulo GAPOFF NIS2.

Verifica se la tua azienda rientra nella NIS2

Scoping guidato, controlli ACN, gap analysis e report audit-ready.

Verifica gratis →

Backup: da attività tecnica a evidenza di resilienza

Molte aziende fanno backup da anni, ma non sempre sanno rispondere a domande semplici:

quali sistemi sono inclusi?
ogni quanto vengono salvati?
chi controlla l'esito?
dove sono conservati?
sono protetti da ransomware?
quando è stato fatto l'ultimo test restore?
il tempo di recupero è compatibile con l'impatto operativo?

La NIS2 trasforma queste domande in un tema di governance. Il backup deve essere parte di un processo di continuità, non una configurazione dimenticata.

Regola 3-2-1 e limiti pratici

La regola 3-2-1 resta utile: tre copie, due supporti diversi, una copia offsite. Ma oggi va integrata con requisiti più moderni:

immutabilità o protezione da cancellazione;
segregazione credenziali amministrative;
monitoraggio esiti;
protezione degli ambienti di backup;
restore periodici;
classificazione per criticità;
integrazione con DR e business continuity.

Una copia offsite non basta se è accessibile con le stesse credenziali compromesse durante l'attacco.

Disaster recovery: non è solo backup

Il disaster recovery riguarda il ripristino dei servizi, non solo dei file. Richiede ambiente alternativo, procedure, persone, connettività, licenze, configurazioni, DNS, identità, dipendenze e priorità.

Un piano DR dovrebbe indicare:

sistemi inclusi;
ordine di ripristino;
RTO/RPO;
responsabili;
prerequisiti;
contatti fornitori;
test eseguiti;
evidenze prodotte;
problemi noti;
azioni correttive.

Test restore: la prova che conta

Un backup senza test è una speranza. Il test restore deve essere pianificato e documentato, non fatto solo quando succede un incidente.

Le evidenze utili includono:

| Evidenza | Perché serve | |---|---| | report esito backup | dimostra continuità del processo | | verbale test restore | dimostra recuperabilità reale | | tempi misurati | confronta risultato con RTO | | dati ripristinati | confronta risultato con RPO | | problemi rilevati | alimenta remediation | | approvazione owner | collega IT e business |

Ransomware e backup isolati

Il ransomware ha cambiato il modo di pensare al backup. Non basta salvare dati: occorre impedire che l'attaccante cancelli o cifri anche le copie. Per questo sono rilevanti immutabilità, air gap logico, account separati, retention adeguata e monitoraggio anomalie.

Checklist operativa

Mappare sistemi e dati critici.
Associare RTO/RPO a ogni servizio.
Verificare backup isolati o immutabili.
Testare restore con frequenza definita.
Documentare esiti, tempi e problemi.
Collegare test falliti al remediation plan.
Verificare fornitori cloud e backup provider.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo NIS2 →

Come GAPOFF trasforma questo tema in un processo operativo

GAPOFF deve essere presentato in questo articolo non come semplice archivio documentale, ma come piattaforma di lavoro. Il valore operativo è collegare il tema trattato al modulo GAPOFF NIS2, agli altri moduli pertinenti e a un processo misurabile: owner, stato, evidenze, scadenze, remediation, report e audit trail.

In pratica, l'articolo deve accompagnare il lettore verso una decisione semplice: non limitarsi a leggere la normativa, ma iniziare a verificare il perimetro e organizzare il lavoro. Per questo i link interni devono portare alla guida completa NIS2, all'hub Risorse NIS2 e ai moduli GAPOFF più coerenti.

La NIS2 non si gestisce con Excel.

Perimetro, controlli ACN, incidenti 24/72h, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica NIS2, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo NIS2 →

FAQ

Avere backup automatici è sufficiente per NIS2?

No. Serve dimostrare che i backup sono monitorati, protetti, testati e coerenti con RTO/RPO.

Quanto spesso va testato il restore?

Dipende dalla criticità dei servizi. I sistemi essenziali dovrebbero avere test documentati con frequenza adeguata al rischio.

Il cloud sostituisce il disaster recovery?

No. Il cloud è un componente possibile, ma serve comunque progettare ripristino, dipendenze, identità, rete e procedure.

GAPOFF può conservare evidenze di test backup?

Sì. Può aiutare a collegare controlli, evidenze, attività di remediation e report di continuità.

Link interni consigliati

Modulo GAPOFF NIS2

Scoping soggetti essenziali/importanti, 47 controlli ACN, gap analysis, remediation con owner e scadenze, portale fornitori, incidenti 24/72h, report audit-ready. Cross-mapping automatico con GDPR, ISO 27001 e DORA.

Vai al modulo NIS2 →

Fonti ufficiali e riferimenti utili

Disclaimer legale

Questo contenuto ha finalità informative e operative generali. Non costituisce consulenza legale, tecnica, organizzativa o valutazione definitiva di conformità. La corretta applicazione della NIS2, del D.Lgs. 138/2024, del GDPR, di DORA o di standard come ISO 27001 richiede una valutazione specifica del caso concreto, delle attività svolte, dei sistemi utilizzati, del settore e dei fornitori coinvolti.

FAQ