Restituzione Risorse NIS2: cosa fare quando un dipendente se ne va

Al momento stai visualizzando Restituzione Risorse NIS2: cosa fare quando un dipendente se ne va

Benvenuti al sedicesimo appuntamento della guida tecnica ENISA.

Il momento più rischioso per la sicurezza aziendale non è un attacco hacker esterno, ma il giorno in cui un dipendente o un collaboratore lascia l’azienda.

Le Linee Guida ENISA sono chiarissime: la Restituzione Risorse NIS2 non è una semplice formalità HR (“lascia il badge alla reception”), ma una procedura di sicurezza informatica critica. Se non gestita correttamente, lascia aperte “porte fantasma” che possono essere sfruttate per sottrarre dati o accedere alla rete mesi dopo il licenziamento.

Possiamo aiutarti a trasformare l’addio di un dipendente in un processo sicuro e blindato. Ecco cosa devi fare per essere conforme.

Per approfondire > Gestione risorse NIS2: le regole ENISA per mappare i tuoi dati e superare i controlli

1. La Procedura di Restituzione: Non solo PC 

La norma impone di stabilire e documentare procedure che garantiscano il deposito o la restituzione dei beni al momento della cessazione.

Molte PMI si limitano a farsi ridare il computer portatile. È un errore grave. Secondo le linee guida che applichiamo in NIS2Lab, la procedura di Restituzione Risorse NIS2 deve incrociare l’Inventario (visto nello scorso articolo) e recuperare:

  • dispositivi endpoint: computer, tablet, smartphone aziendali;
  • hardware di autenticazione: questo viene spesso dimenticato. Token fisici per la banca, smart card, chiavi di sicurezza e badge di accesso fisico;
  • dati sui veicoli: la norma cita esplicitamente i veicoli aziendali moderni che memorizzano dati (rubriche, percorsi, log) tramite telematica. Anche l’auto va “bonificata”;
  • copie fisiche: documenti cartacei riservati, manuali tecnici o chiavi meccaniche di armadi server.

La soluzione NIS2Lab: Non devi inventare la procedura da zero. I nostri consulenti ti affiancano nella definizione di un processo di offboarding chiaro e rigoroso, assicurandosi che tu abbia tutte le evidenze documentali (firme e verbali) necessarie per soddisfare le richieste dell’auditor.

2. Il nodo del BYOD: quando il dispositivo è personale

Cosa succede se il dipendente usava il suo smartphone personale per leggere la posta aziendale o accedere al CRM? Non puoi “sequestrare” il telefono, ma devi proteggere i tuoi dati.

Le linee guida ENISA sul BYOD (Bring Your Own Device) in fase di uscita sono severe:

  • devi garantire che tutte le informazioni pertinenti siano rintracciate e trasferite all’ente;
  • devi cancellare in modo sicuro i dati aziendali dal dispositivo personale.

Come si fa tecnicamente? Non puoi affidarti alla promessa “Lo cancellerò stasera”. 

Noi ti aiutiamo a scrivere la Policy BYOD vincolante che il dipendente deve firmare. Definiamo insieme le regole chiare che il tuo reparto IT dovrà applicare, garantendo che l’azienda abbia il diritto legale e procedurale di richiedere la rimozione dei dati aziendali senza violare la privacy del collaboratore.

3. “Piano B”: cosa fare se la risorsa non viene restituita?

Capita spesso: un licenziamento conflittuale, un dispositivo “perso” o un collaboratore che sparisce con il tablet. Se il recupero fisico è impossibile, la Direttiva NIS2 impone di agire tempestivamente per impedire l’accesso remoto ai dati.

Se l’hardware non torna, non puoi improvvisare. NIS2Lab ti aiuta a strutturare una Procedura di Emergenza chiara e pre-autorizzata che il tuo reparto IT dovrà eseguire senza esitazione:

  1. revoca totale delle credenziali: la procedura deve imporre la disabilitazione immediata (non cancellazione, per mantenere i log) di tutti gli account utente associati all’ex dipendente;
  2. isolamento di rete: istruiamo i tuoi tecnici su come creare una “lista nera” per l’indirizzo MAC o l’identificativo del dispositivo mancante, affinché venga bloccato istantaneamente se tenta di connettersi alla VPN o al Wi-Fi;
  3. kill switch remoto: se i dispositivi sono dotati di gestione centralizzata, il protocollo definirà chi ha l’autorità per lanciare il comando di formattazione remota appena il dispositivo si connette a internet.

4. Le prove per l’Audit

L’auditor non si fiderà della tua parola. Per dimostrare la conformità alla Restituzione Risorse NIS2, devi produrre:

  • policy documentata: la procedura scritta e comunicata ai dipendenti (meglio se nel contratto di assunzione);
  • registri di restituzione: l’elenco storico di chi ha lasciato l’azienda, cosa ha restituito e quando;
  • log di cancellazione: la prova tecnica che i dati sui dispositivi restituiti sono stati cancellati in modo irreversibile prima di essere riassegnati a un nuovo collega.

Chiudi le porte quando qualcuno esce

Gestire l’offboarding non è solo burocrazia HR, è pura difesa informatica. Un ex dipendente arrabbiato con le credenziali ancora attive è più pericoloso di un hacker russo.

NIS2Lab ti supporta nel creare procedure di uscita blindate, proteggendo il tuo business da furti e ritorsioni. Contattaci subito per verificare se la tua procedura di “fine rapporto” è a prova di NIS2.

CONTATTACI!
Tag: , , ,