TL;DR

Un template di policy di continuità operativa di 4 pagine, sufficiente a passare audit ISO 27001:2022 e a soddisfare NIS2 articolo 21. Markdown, modificabile, pronto da firmare.

Struttura della policy

La policy ha 7 sezioni:

1. Scopo e ambito
2. Riferimenti normativi
3. Definizioni (RTO, RPO, MTPD)
4. Ruoli e responsabilità
5. Procedure di attivazione
6. Test e mantenimento
7. Approvazione e revisione

Il template

`markdown

Politica di continuità operativa

Versione: 1.0 Data approvazione: [data] Approvata da: [nome] [ruolo] Prossima revisione: [data + 12 mesi]

1. Scopo e ambito

La presente politica definisce gli obiettivi, i ruoli e le procedure per garantire la continuità operativa dei processi e dei sistemi ICT critici dell'azienda [Nome] in caso di interruzione, disastro o incidente di sicurezza.

Si applica a tutti i sistemi ICT che supportano i processi business critici elencati nella Business Impact Analysis allegata.

2. Riferimenti normativi

• ISO/IEC 27001:2022, controlli A.5.30, A.8.13, A.8.14
• ISO 22301:2019
• D.Lgs. 138/2024 (NIS2)
• Regolamento UE 2016/679 (GDPR), articolo 32

3. Definizioni

• RTO (Recovery Time Objective): tempo massimo accettabile fra

l'interruzione e il ripristino di un servizio.

• RPO (Recovery Point Objective): quantità massima accettabile di

dati perduti, espressa in tempo.

• MTPD (Maximum Tolerable Period of Disruption): durata massima

oltre la quale l'impatto è inaccettabile.

4. Ruoli e responsabilità

• CISO: gestisce il piano DR e i test.
• CIO/Responsabile IT: garantisce l'esecuzione tecnica.
• Crisis Manager (nominato in scrittura): coordina la risposta in caso

di incidente.

• Tutti i dipendenti: rispettano le procedure operative.

5. Procedure di attivazione

Il piano DR è attivato dal Crisis Manager su segnalazione di:

• guasto critico hardware o software;
• attacco cyber confermato;
• disastro fisico (incendio, alluvione);
• indisponibilità prolungata di un fornitore critico.

Le procedure tecniche sono documentate nei runbook DR per ciascun servizio critico (allegato 1).

6. Test e mantenimento

• Tabletop drill: annuale.
• Walkthrough tecnico: semestrale.
• Failover parziale: trimestrale.
• Full failover: annuale.

Ogni test è documentato con verbale che include tempi misurati, problemi rilevati e azioni correttive.

Il piano DR è rivisto almeno annualmente, e dopo ogni cambiamento significativo dell'infrastruttura.

7. Approvazione e revisione

Approvata dal management aziendale. Revisionata almeno una volta l'anno. Eventuali deviazioni sono riportate al CISO entro 5 giorni lavorativi.

Firma: ____________________ Data: ____________________ `

Come adattarla

• compilare i [Nome] e [data];
• inserire dettagli specifici nei runbook in allegato;
• far firmare al CEO o equivalente.

Pronto per l'audit in 30 minuti.

FAQ

Va integrata con la policy di sicurezza generale?

Può essere autonoma o un capitolo della policy ISMS. Entrambi accettati.

Servono allegati?

Sì: la BIA, i runbook DR per servizio, i contratti SLA dei fornitori.

Per la BIA, Business Impact Analysis. Per A.5.30, Annex A.5.30.