Una volta completato il censimento degli asset IT e la documentazione delle relative configurazioni, diventa fondamentale garantire una gestione rigorosa e continuativa delle modifiche e dei parametri di configurazione, a supporto della cybersecurity e della conformità alla direttiva NIS2.
La sicurezza informatica, infatti, è un processo dinamico che richiede aggiornamenti costanti, applicazione di patch e ottimizzazione continua delle configurazioni, riducendo al minimo il rischio che cambiamenti improvvisi o non controllati introducano nuove vulnerabilità.
Per i responsabili IT e Security questo significa istituzionalizzare un Change e Configuration Management maturo capace di coniugare velocità operativa con i requisiti di controllo e audit richiesti dalla normativa.
Configuration Management
Il Configuration Management consiste nel definire e mantenere nel tempo le configurazioni approvate per infrastrutture, sistemi, software e reti. Le specifiche tecniche ENISA/ACN indicano che le organizzazioni devono avere configurazioni documentate per tutti i componenti chiave (hardware, software, servizi di rete) e procedure per applicare e verificare tali configurazioni in modo coerente. In pratica, questo si traduce in:
- Baseline di configurazione
Per ciascuna tipologia di sistema critico (es. server Windows, firewall, database, applicazioni cloud) va definita una configurazione di sicurezza di riferimento (secure baseline), che includa impostazioni raccomandate (es. servizi abilitati/disabilitati, parametri di sicurezza, account e permessi minimi, cifrature, log attivati, ecc.). Tali baseline devono essere documentate e approvate dai responsabili.
Nel contesto NIS2, per i soggetti essenziali queste “configurazioni di riferimento” devono essere formalizzate in appositi elenchi. Qui risultano utili un security configuration manager e un network configuration manager per governare le variazioni su sistemi e apparati di rete in modo coerente.
- Applicazione e verifica automatizzata
Occorre dotarsi di soluzioni automatizzate per distribuire le configurazioni standard sui sistemi e verificarle periodicamente. Ad esempio, l’utilizzo di tecnologie come HDA ITSM permette di confrontare lo stato attuale di un dispositivo con la baseline attesa e segnalare difformità in tempo reale.
- Gestione delle modifiche di configurazione
Se un sistema necessita di una modifica, questa deve seguire un workflow approvativo e aggiornamento della documentazione. Ogni modifica autorizzata alla configurazione va registrata per garantire il controllo di versione delle configurazioni. In questo modo, in caso di problemi, è sempre possibile ripristinare la versione precedente.
Il beneficio di un configuration management consolidato è duplice: da un lato riduce la superficie di attacco, dall’altro garantisce un audit trail completo. A livello di management system, questo si integra con processi di risk assessment e impact analysis continui, essenziali nella trasformazione digitale.
Change Management: controllo delle modifiche, patch e manutenzioni
Il Change Management è il processo che governa qualsiasi variazione apportata all’ambiente IT, che sia l’installazione di un aggiornamento software, una patch di sicurezza, una nuova release applicativa o una modifica infrastrutturale.
La direttiva NIS2 richiede esplicitamente l’adozione di procedure di controllo per le modifiche ai sistemi, includendo test e valutazioni d’impatto prima della messa in produzione. In particolare, le linee guida tecniche evidenziano:
- Ogni change deve essere approvato da persone autorizzate dopo aver considerato risk assessment e impact analysis. Modifiche di emergenza possono seguire una procedura accelerata ma comunque vanno documentate a posteriori con spiegazione del motivo. Un IT Change Management Software facilita la classificazione dei change, la loro priorità e la tracciabilità end-to-end.
- Prima di implementare un cambiamento in produzione, è richiesto di effettuare adeguati test in ambiente di staging per valutarne l’impatto e assicurare che non causi disservizi o problemi di sicurezza.
- Dopo l’implementazione, bisogna documentare l’esito del change (successo, eventuali problemi riscontrati) e aggiornare la documentazione tecnica coinvolta. Questo include aggiornare le configurazioni in CMDB se sono variate.
È buona prassi, e implicitamente richiesto da NIS2, mantenere un registro delle manutenzioni effettuate: un log di tutti gli interventi significativi, con date, persone responsabili e scopo dell’intervento. Questo registro rientra tra le evidenze documentali che un soggetto NIS2 deve conservare.
Gestione delle patch
Un caso particolare di change management cruciale per la sicurezza è la patch management, ovvero l’applicazione di patch di sicurezza a sistemi e software. NIS2 impone tempi rapidi per la gestione delle vulnerabilità, con procedure per applicare tempestivamente patch critiche e, se non disponibili, adottare misure di mitigazione alternative.
Anche qui HDA ITSM può aiutare: la piattaforma permette di gestire workflow di change dedicati alle patch, integrati con feed di vulnerabilità che aprono automaticamente un change quando esce una nuova patch critica. In questo modo, il team IT viene guidato passo passo dall’analisi all’approvazione fino all’installazione e verifica della patch, assicurando che che tutto venga valutato, testato, misurato e rendicontato in real time.
Oltre agli aspetti tecnici, va gestita la resistenza al cambiamento. La cultura aziendale e la comunicazione interna devono sostenere i processi di change; formare gli stakeholder e misurare l’adozione è tanto importante quanto scegliere gli strumenti giusti.
Verso la compliance: documentazione e scadenze
Implementare Change e Configuration Management secondo NIS2 fa parte degli adempimenti formali richiesti entro scadenze precise. Come già accennato, entro aprile 2026 le organizzazioni dovranno aver approvato una serie di documenti e misure di sicurezza di base, tra cui:
- La Politica di gestione del cambiamento e le procedure correlate, che descrivano il processo di change management adottato e il relativo management system di controllo.
- Un Piano di gestione delle vulnerabilità che includa il processo di patch management e aggiornamento continuo dei sistemi, integrato con risk assessment periodici.
- L’elenco delle configurazioni di riferimento per i sistemi essenziali, mantenuto con configuration management software o open source configuration management tools quando appropriato.
- I registri delle manutenzioni effettuate e il registro dei risultati dei riesami delle politiche, a dimostrazione che i processi di change/configuration vengono controllati e migliorati nel tempo.
Va sottolineato che NIS2 adotta un principio di proporzionalità: ai soggetti essenziali (quelli che operano in settori critici come energia, trasporti, sanità...) è richiesto qualcosa in più rispetto ai soggetti importanti. Ad esempio, le configurazioni di riferimento e la valutazione di efficacia delle misure di gestione rischio sono obbligatorie solo per i primi. Tuttavia, l’approccio generale di change e configuration management deve esistere per entrambi i gruppi, anche perché la sicurezza di base è un requisito comune.
Un’altra data da tenere presente è 1° ottobre 2026: entro allora tutte le misure di sicurezza “avanzate” dovranno essere operative. Significa che, al di là dei documenti, i processi di gestione dovranno funzionare a regime. Le aziende che si muovono per tempo con una strategia di adeguamento NIS2 eviteranno le corse dell’ultimo minuto e otterranno benefici organizzativi duraturi. Governare bene i cambiamenti, infatti, riduce i blackout di servizio e gli incidenti causati da errori o configurazioni errate, aumentando la qualità dei servizi IT e accelerando la trasformazione digitale.
Il supporto degli strumenti ITSM nel Change e Configuration Management
Gestire manualmente tutti questi processi e produrre la relativa documentazione sarebbe improbabile senza l’ausilio di strumenti adeguati. Ecco perché l’adozione di piattaforme di IT Service Management risulta indispensabile per la compliance NIS2 su larga scala.
HDA ITSM, la nostra piattaforma di ITSM, è una soluzione integrata che supporta nativamente i processi di Change e Configuration Management. In particolare, tramite HDA ITSM è possibile:
- Automatizzare il flusso di approvazione dei change
Il sistema consente di impostare workflow approvativi (anche multi-livello) per diverse categorie di modifiche. Ad esempio, un cambio su un sistema di produzione critico può essere configurato per richiedere l’approvazione sia del responsabile IT sia del CISO. Tutte le richieste, approvazioni e implementazioni vengono tracciate nel ticket, creando uno storico consultabile con viste in real time.
- Mantenere il CMDB allineato
HDA ITSM integra il CMDB con il modulo change: quando un change è completato, può attivare la modifica automatica dei campi di configurazione nel database. Inoltre, attraverso integrazioni con strumenti di discovery, il CMDB di HDA ITSM può validare se la configurazione effettiva post-change corrisponde a quella attesa. L’integrazione con security configuration manager e network configuration manager consente un controllo end-to-end.
- Gestire le patch e gli aggiornamenti di sicurezza
Si possono creare tipi di change specifici per le patch, con flussi semplificati data l’urgenza. L’uso di dashboard permette di monitorare in real time quante patch sono in coda, in corso o completate, dando al CISO visibilità sullo stato di aggiornamento dei sistemi.
- Generare report per audit
Grazie ai dati centralizzati, HDA ITSM può produrre con pochi clic report quali:
- elenco di tutte le modifiche implementate in un certo periodo
- tempo medio di approvazione
- percentuale di successo dei change
- elenco configurazioni attuali di un sistema rispetto alla baseline
- registro delle manutenzioni svolte su ogni asset.
Questi report sono molto utili durante verifiche ispettive o audit interni, perché dimostrano in modo oggettivo la gestione controllata dell’infrastruttura e il governo del management system.
In definitiva, Change Management e Configuration Management rappresentano la spina dorsale operativa della sicurezza IT. Attraverso processi ben strutturati in queste aree, le organizzazioni rispondono ai requisiti NIS2 e costruiscono un ambiente IT più stabile, resiliente e preparato ad affrontare le sfide future. Investire oggi nel miglioramento di questi processi, supportandoli con piattaforme come HDA ITSM, con management tools integrati e possibilità open source dove opportuno, significa ridurre drasticamente il rischio di incidenti domani e garantire continuità al proprio business, favorendo una trasformazione digitale sostenibile.
La tua organizzazione è pronta a gestire cambiamenti e configurazioni in modo sicuro ed efficiente? Per scoprire di più su come un ITSM di nuova generazione può aiutarti, scarica l’ebook "HDA ITSM per facilitare la conformità NIS2". Troverai approfondimenti su best practice, checklist di adeguamento e su come HDA ITSM semplifica la gestione operativa della sicurezza nel rispetto delle normative vigenti.
FAQ - Domande Frequenti
1) Cosa richiede NIS2 sul Configuration Management, in concreto?
Baseline di sicurezza documentate per i sistemi critici, applicate e verificate con automazione; ogni variazione va registrata e versionata, con CMDB sempre allineato per garantire tracciabilità e audit.
2) Come vanno gestite modifiche e patch secondo NIS2?
Ogni change deve essere autorizzato su risk/impact assessment, testato in staging, rilasciato con piano di rollback e poi documentato aggiornando CMDB e registri. Le patch critiche richiedono tempi rapidi; gli emergency change possono seguire un percorso accelerato, ma vanno comunque formalizzati a posteriori.
3) Quali documenti servono e quali sono le scadenze in Italia?
- Dal 1° gennaio 2026 i soggetti essenziali e importanti devono notificare gli incidenti significativi ad ACN/CSIRT Italia;
- Entro aprile 2026 devono essere approvate e disponibili policy e procedure di Change Management, piano di vulnerability/patch management, elenchi delle configurazioni di riferimento (per i soggetti essenziali) e registri di manutenzioni e riesami;
- Dal 1° ottobre 2026 tutte le misure avanzate devono essere operative e dimostrabili.