← Blog

Sistemi e asset: la distinzione che rende NIS2 verificabile

nis2, inventory, systems, assets, compliance
Sistemi e asset: la distinzione che rende NIS2 verificabile

Una delle sfide più grandi nell'implementazione di NIS2 non è tecnica. È concettuale.

Molte organizzazioni faticano a rispondere a domande apparentemente semplici:

  • cosa rientra realmente nel perimetro NIS2
  • quali elementi sono critici
  • dove risiedono effettivamente le evidenze
  • come la governance si collega alle operations

Alla base di questa confusione c'è spesso un errore: non distinguere tra sistemi e asset.

Cosa intende NIS2 per “sistema”

NIS2 si concentra su servizi e funzioni che supportano le operations organizzative. Un sistema non è un server o uno strumento, ma un servizio logico.

Esempi di sistemi:

  • Portale Clienti
  • Servizio di Autenticazione
  • Sistema di Gestione degli Incidenti
  • Sistema di Elaborazione dei Pagamenti

Un sistema:

  • supporta un servizio essenziale o importante
  • ha un impatto diretto su continuità e sicurezza
  • definisce ciò che le autorità si aspettano di vedere nel perimetro

NIS2 chiede:

“Quali sistemi sono critici per l'erogazione dei vostri servizi?”

Cosa sono gli asset

Gli asset sono i componenti concreti che fanno funzionare un sistema:

  • applicazioni
  • database
  • infrastruttura cloud
  • identity provider
  • strumenti di monitoraggio
  • backup

Gli asset:

  • cambiano più frequentemente
  • sono gestiti da team diversi
  • sono il luogo in cui vengono applicati i controlli
  • sono la sede naturale delle evidenze

Log, configurazioni, report di test, backup: le evidenze risiedono negli asset, non nei sistemi.

Perché questa distinzione è importante per NIS2

NIS2 richiede un controllo dimostrabile. Quel controllo esiste su due livelli collegati ma distinti:

  • Sistemi → definiscono cosa è critico
  • Asset → dimostrano come è controllato

Senza questa separazione:

  • il perimetro diventa poco chiaro
  • le evidenze sono frammentate
  • la responsabilità si confonde
  • gli audit diventano difficili da spiegare e difendere

Con una distinzione chiara:

  • il perimetro è leggibile
  • la responsabilità è assegnabile
  • le evidenze sono tracciabili
  • gli audit diventano narrazioni coerenti

Un esempio pratico

Consideriamo un Portale Clienti.

Il sistema è il servizio nel suo complesso. Gli asset possono includere:

  • Applicazione web
  • Backend API
  • Database clienti
  • Identity provider
  • Account cloud di produzione

NIS2 considera il Portale Clienti un sistema critico. La capacità di dimostrare la conformità dipende da:

  • quali controlli si applicano agli asset
  • quali evidenze esistono
  • chi ne è responsabile
  • cosa accade durante un incidente

Senza questa mappatura, la conformità resta astratta.

L'inventario come strumento di governance, non come CMDB

Un errore comune è trattare l'inventario come un esercizio tecnico. NIS2 non richiede una CMDB completa. Richiede comprensione e controllo.

Un inventario di conformità efficace:

  • è essenziale, non esaustivo
  • è orientato al rischio
  • collega sistemi, asset e fornitori
  • supporta audit, incidenti e reporting

È uno strumento di governance, non un catalogo.

Il modello AuditReady

AuditReady è costruito attorno a questa distinzione:

  • i sistemi definiscono il perimetro NIS2
  • gli asset ospitano controlli ed evidenze
  • audit, incidenti e simulazioni collegano i due livelli

Questo modello consente alle organizzazioni di:

  • spiegare chiaramente la conformità
  • dimostrarla con evidenze reali
  • sostenerla nel tempo senza attriti

Senza una distinzione tra sistema e asset, NIS2 resta teorica. Con una distinzione chiara, diventa verificabile.