Esercitazioni tabletop — NIS 2 / DLgs 138/2024

5 scenari di tabletop, pronti per l'Italia

Scenari IT-IT allineati alla Direttiva NIS 2, al DLgs 138/2024 e alle Misure ACN. Ogni scenario include contesto, sequenza di iniezioni T+0 → T+72h, domande per la discussione e chiave di correzione con riferimento all'art. 24 c. 2 e all'art. 25 del DLgs. Briefing in PDF disponibile per la stampa.

A cosa serve? L'art. 24 c. 2 del DLgs 138/2024 e l'art. 21(2)(f) della NIS 2 obbligano alla valutazione periodica dell'efficacia delle misure. Un'esercitazione tabletop annuale è il percorso più economico per generare evidenza auditabile di tale valutazione.

SignificativoSanità90 min
Ransomware nel Sistema di Cartella Clinica Elettronica (CCE)
Ransomware nella Cartella Clinica Elettronica — articola pre-notifica CSIRT Italia in 24h, notifica Garante Privacy in 72h e continuità clinica in modalità cartacea.
Apri scenario Scarica PDF
SignificativoAcqua75 min
Compromissione fornitore OT — catena di fornitura idrica
Compromissione dell'integratore OT dello SCADA — forza la squadra a valutare se il tentativo di alterazione configura un incidente significativo ai sensi del DLgs 138/2024.
Apri scenario Scarica PDF
SignificativoPiattaforma SCADA / ICT75 min
Esfiltrazione credenziali — doppia notifica CSIRT Italia + Garante Privacy
Esfiltrazione credenziali da Elasticsearch esposto — esercizio di doppia notifica CSIRT Italia (24h) e Garante Privacy (72h) con sovrapposizione NIS 2 + GDPR.
Apri scenario Scarica PDF
SignificativoGenerico (trasversale)75 min
Accesso prolungato post-uscita — lacuna nell'offboarding
Accesso prolungato di ex dipendente — lacuna nell'offboarding presso un soggetto importante, con denuncia alla Polizia Postale ai sensi dell'art. 615-ter c.p.
Apri scenario Scarica PDF
MitePiattaforma SCADA / ICT60 min
DDoS contro portale comunale — amministrazione pubblica
DDoS contro portale comunale — amministrazione pubblica (art. 3 c. 2 lett. j) DLgs), coordinamento con CSIRT Italia e piano B cartaceo.
Apri scenario Scarica PDF

Come utilizzare questi scenari

Scelga lo scenario più vicino al profilo della sua organizzazione. Gli scenari di gravità significativa sono il punto di partenza naturale per i soggetti essenziali; gli scenari miti sono adatti al primo esercizio annuale di un team piccolo.
Scarichi il PDF e lo distribuisca ai partecipanti con 24 ore di anticipo (la maggior parte degli scenari richiede 60-90 minuti di esecuzione).
Conduca l'esercizio attorno a un tavolo (o in videoconferenza). Il facilitatore legge ogni iniezione al momento indicato e guida la discussione con le domande del briefing.
Confronti le decisioni della squadra con la chiave di correzione (azioni attese) durante il debriefing. Le lacune identificate alimentano il piano di rientro dell'art. 24 c. 2 DLgs 138/2024.
Documenti l'esercizio — verbale, lista dei partecipanti, lacune identificate e piano di rientro. Questa è l'evidenza auditabile dell'art. 24 c. 2 DLgs 138/2024 + art. 21(2)(f) NIS 2.

Vuole farlo all'interno della piattaforma? Reglyze dispone di un modulo tabletop assistito da IA che conduce l'esercizio, registra le decisioni e genera automaticamente il rapporto after-action. Disponibile con l'abbonamento Pro.

Inizi la sua conformità con 2 minuti di diagnosi

Scopra la sua classificazione ( Soggetto Essenziale, Soggetto Importante o fuori ambito), poi utilizzi questi scenari per l'esercitazione annuale. Tutto gratuito fino al limite del piano Free.

5 scenari di tabletop, pronti per l'Italia

Catalogo scenari

Ransomware nel Sistema di Cartella Clinica Elettronica (CCE)

Compromissione fornitore OT — catena di fornitura idrica

Esfiltrazione credenziali — doppia notifica CSIRT Italia + Garante Privacy

Accesso prolungato post-uscita — lacuna nell'offboarding

DDoS contro portale comunale — amministrazione pubblica

Come utilizzare questi scenari

Inizi la sua conformità con 2 minuti di diagnosi