NIS2 e DORA quando il cuore dell'azienda è un IBM i (o "AS400")
Le normative non citano mai la piattaforma, ma i requisiti valgono anche — soprattutto — per il sistema che regge gestionale, produzione e fatturazione. La buona notizia: IBM i ha già a bordo quasi tutto quello che serve. La cattiva: va configurato, documentato e testato. Ecco la checklist.
Perché il gestionale è nel perimetro
NIS2 riguarda i soggetti essenziali e importanti (manifattura, logistica, alimentare, chimica sono dentro), DORA il settore finanziario. Entrambe chiedono la stessa sostanza: gestione del rischio, autenticazione forte, continuità operativa dimostrabile, gestione delle vulnerabilità e degli incidenti.
Il sistema IBM i è quasi sempre il punto più critico dell'azienda — e paradossalmente il meno presidiato dalle iniziative di security, che si concentrano su Windows e cloud. Un audit serio parte proprio da lì.
La checklist operativa
- MFA sugli accessi privilegiati — con IBM i 7.6 è nativa nel sistema operativo, anche per QSECOFR. Su release precedenti servono soluzioni esterne: altro buon motivo per aggiornare.
- Backup immutabile e isolato — la 3-2-1-1-0: una copia che nessuna credenziale compromessa può cifrare o cancellare (Safeguarded Copy su IBM Storage, o vault esterno).
- Test di ripristino documentati — NIS2 e DORA non chiedono di avere il backup: chiedono di dimostrare che il ripristino funziona, con tempi misurati. Almeno 2-4 test l'anno, con report.
- PTF e vulnerabilità sotto controllo — allineamento pianificato delle PTF di sicurezza (noi lo facciamo trimestrale) e inventario CVE del parco, HMC e firmware compresi.
- Segregazione e audit journal — profili con privilegio minimo, exit point presidiati, audit journal attivo e conservato: le evidenze che l'ispettore chiede.
- Piano di continuità con RTO/RPO scritti — alta affidabilità locale (PowerHA o Db2 Mirror), DR geografico e la prova che i numeri promessi sono reali.
- Monitoraggio e allarmi — chi si accorge di un problema alle 3 di notte? Serve un presidio (interno o NOC esterno) con soglie e escalation definite.
L'errore più comune
Trattare la compliance come un progetto documentale. I faldoni non fermano il ransomware: la sequenza giusta è sistemare la sostanza tecnica (MFA, copie immutabili, test) e generare le evidenze come sottoprodotto dell'operatività. È l'approccio che usiamo con Yocto Vision: report mensili che sono già documentazione di conformità.
Da dove iniziare
Dal quadro onesto: il nostro Free Assessment fotografa versioni, PTF, esposizione, backup e continuità del tuo ambiente IBM i/Power e lo confronta con i requisiti NIS2/DORA. Mezza giornata, zero impegno, e sai esattamente dove sei.