SaaSFort Valutazione tecnica di sicurezza NIS2 Articolo 21: cosa verificare
NIS2 Articolo 21(2) elenca 10 categorie di misure tecniche. Questa guida spiega cosa richiede ciascuna, come verificarla e quali prove si aspetta il revisore. Lo scan esterno copre 60 controlli in meno di 60 secondi.
Cosa richiede NIS2 Articolo 21(2)
L'Articolo 21(2) elenca 10 misure tecniche e organizzative minime. Le piu direttamente verificabili con scan esterno automatizzato sono:
| Sottoclausola | Verificabile esternamente? |
|---|---|
| Art. 21(2)(b) | Parziale - DMARC, indicatori di logging |
| Art. 21(2)(d) | Parziale - header di terze parti, DNS |
| Art. 21(2)(e) | Si - CVE esposte, librerie obsolete, sorgenti JS |
| Art. 21(2)(g) | Si - versione TLS, cipher suite, validita certificato |
| Art. 21(2)(h) | Si - HSTS, CSP, X-Frame-Options, DNSSEC |
| Art. 21(2)(i) | Parziale - pannelli di amministrazione esposti |
Processo di valutazione in 5 passi
- 1
Eseguire un scan della postura esterna
Iniziate da cio che auditor e attaccanti vedono dall'esterno: configurazione TLS, HTTP security header (HSTS, CSP, X-Frame-Options), DMARC, DNSSEC e pannelli admin esposti. SaaSFort esegue 60 controlli sul vostro dominio in meno di 60 secondi, mappati su Art. 21(2)(h) e (g). Senza account.
- 2
Verificare il controllo degli accessi e l'autenticazione
Controllate la copertura MFA per gli account privilegiati, verificate che le interfacce amministrative non siano esposte pubblicamente, confermate le policy di timeout di sessione. Mappa su NIS2 Art. 21(2)(i).
- 3
Verificare la crittografia in transito e a riposo
Confermate TLS 1.2+ su tutti gli endpoint pubblici (no TLS 1.0/1.1), verificate la validita del certificato e la completezza della catena, assicuratevi che i dati a riposo siano cifrati. Copre NIS2 Art. 21(2)(g).
- 4
Esaminare la gestione delle vulnerabilita
Confermate un processo documentato per il tracciamento e la correzione delle vulnerabilita. NIS2 Art. 21(2)(e) richiede di affrontare le vulnerabilita con prontezza. Scan esterni mensili sono il minimo pratico.
- 5
Documentare i risultati per il revisore
Producete un report datato che mappa ogni risultato al controllo NIS2 Articolo 21 corrispondente. L'audit pack SaaSFort genera questo PDF: 60 controlli, voto A-F, mapping NIS2 e ISO 27001 Annex A. Acquisto unico, senza account.
Iniziate il passo 1 ora, gratuitamente in 60 secondi
Lo scan di postura esterna copre 60 controlli di NIS2 Art. 21(2)(g), (h) e (i). Senza account. L'audit pack a 39 EUR aggiunge il PDF datato che il vostro revisore o acquirente enterprise accetta.
Domande frequenti
Quali misure tecniche richiede NIS2 Articolo 21?
NIS2 Articolo 21(2) elenca 10 categorie. Le piu facilmente verificabili esternamente sono: (h) sicurezza di rete e sistemi (HSTS, CSP, DMARC, DNSSEC); (g) crittografia (TLS 1.2+, cipher suite, validita certificato); (e) gestione vulnerabilita (CVE esposte, librerie obsolete); (i) controllo accessi. Uno scan esterno e il punto di partenza piu rapido e il primo che verifica un revisore.
Quanto tempo richiede una valutazione tecnica di sicurezza NIS2?
La parte di postura esterna richiede meno di 60 secondi con uno scanner automatizzato. Una valutazione interna completa (revisione controllo accessi, audit gestione patch, revisione logging) richiede 1-3 giorni per un team SaaS di 50-200 persone. Iniziate con lo scan esterno per identificare le correzioni rapide.
Cosa contiene un report di valutazione tecnica NIS2?
Ogni controllo verificato, il risultato pass/fail, la sottoclausola NIS2 Articolo 21 a cui mappa, e i passi di remediation per i fallimenti. L'audit pack SaaSFort copre il sottoinsieme di postura esterna (60 controlli) e genera un PDF datato per 39 EUR. Per la portata completa dei controlli interni serve un revisore qualificato o la metodologia BSI IT-Grundschutz.
Con quale frequenza eseguire una valutazione tecnica NIS2?
NIS2 non specifica una frequenza, ma la maggior parte delle interpretazioni richiede valutazioni annuali con monitoraggio continuo. Le raccomandazioni BSI per le entita tedesche prevedono scan di postura esterna trimestrali e revisioni interne annuali. Lo scan automatizzato mensile e il minimo pratico per SaaS B2B nel perimetro.
Guide correlate: casi d'uso dello scan · classifica sicurezza SaaS