Il dominio Recovery (RC) definisce come i soggetti NIS ripristinano il normale funzionamento dopo un incidente e mantengono resilienza in condizioni avverse. In pratica, la prontezza RC dipende da procedure di ripristino coordinate, pianificazione di continuità, affidabilità dei backup e reporting tracciabile dei progressi.
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Punti chiave
- Il ripristino non è una fase accessoria: è parte strutturata del ciclo incidente.
- Le azioni di recovery devono essere predefinite nei piani di continuità e disaster recovery.
- Esecuzione, protezione e test di ripristino dei backup sono controlli centrali di resilienza.
- Progressi ed esiti di ripristino devono essere documentati per governance e supervisione.
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Modello operativo di ripristino
1. Attivazione ripristino (RC.RP)
Una volta avviate dal processo di risposta, le attività di ripristino devono riportare al normale funzionamento sistemi e servizi di rete coinvolti.
2. Allineamento continuità e disaster recovery
L’esecuzione del ripristino dovrebbe seguire piani approvati di continuità/disaster, inclusi ordine di ripristino, risorse necessarie e obiettivi.
3. Controlli di affidabilità dei backup
Il soggetto dovrebbe mantenere backup periodici, proteggere integrità/riservatezza e svolgere test di restore per verificarne l’utilizzabilità.
4. Comunicazione e coordinamento del ripristino
Stato e avanzamento del ripristino dovrebbero essere comunicati alle funzioni interne rilevanti e alla governance.
5. Chiusura e feedback di resilienza
Gli esiti del ripristino dovrebbero alimentare azioni di miglioramento su piani, controlli e postura di resilienza operativa.
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Set minimo di evidenze per prontezza RC
| Area RC | Obiettivo pratico | Evidenze tipiche |
|---|---|---|
| Esecuzione ripristino | Ripresa strutturata dei servizi colpiti | Procedura recovery, registri attivazione, log ripristino |
| Allineamento continuità | Ripristino coerente ai piani approvati | Piano continuità, piano disaster recovery, ordine ripristino |
| Affidabilità backup | Recuperabilità validata in pratica | Piano backup, evidenze copie offline, report test restore |
| Comunicazione progressi | Decision-maker informati sull’evoluzione recovery | Report stato ripristino, comunicazioni stakeholder |
| Apprendimento post-recovery | Miglioramento postura di resilienza | Registro lesson learned, aggiornamenti piani, remediation |
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Checklist operativa per 90 giorni
- Validare i runbook di ripristino per sistemi critici e dipendenze di servizio.
- Riallineare piani continuità/disaster all’architettura operativa attuale.
- Verificare copertura backup e imporre test periodici di restore con evidenze.
- Definire cadenza di reporting recovery per operation, leadership e governance.
- Registrare lesson learned post-incidente e convertirle in miglioramenti tracciati.
FAQ
La sola esecuzione dei backup basta per la conformità RC?
No. Il ripristino richiede capacità di restore testata, procedure documentate ed esecuzione coordinata, non solo creazione backup. Fonte: Guida ACN gestione incidenti
Quando inizia RC nel ciclo incidente?
RC inizia quando il processo di risposta attiva le attività di ripristino secondo incidente e piani approvati. Fonte: Determinazione ACN obblighi di base
Cosa va documentato durante il ripristino?
Al minimo: obiettivi, attività selezionate, progressi, verifiche di efficacia ed eventuali aggiornamenti conseguenti. Fonte: Guida ACN gestione incidenti
Il servizio Virtual CISO di Aegister aiuta le organizzazioni a progettare e testare strategie di resilienza allineate alle aspettative NIS2.