Strumento pratico

Checklist Disaster Recovery Plan per PMI

62 controlli da eseguire per verificare che il tuo piano di disaster recovery funzioni davvero — non solo sulla carta. Scaricabile e stampabile.

📅 Febbraio 2026

📋 Come usarla: spunta ogni elemento mentre lo verifichi. Il progresso viene salvato nel browser per la sessione corrente. Stampa la checklist completata per documentare la verifica nel registro aziendale.

0 / 62 controlli completati
Completa almeno il 90% prima di considerare il DRP operativo
🏗️

A — Documentazione e governance

10 controlli
Il DRP è un documento formale approvato dalla direzione, con data di approvazione e versione Non basta un file in una cartella condivisa: deve essere firmato e protocollato
Critico
È definito il responsabile del DRP con nome, recapito e sostituto designato Chi chiami alle 3 di notte se il server non risponde?
Critico
Sono elencati tutti i sistemi critici con il relativo RTO (Recovery Time Objective) e RPO (Recovery Point Objective)
Critico
Il documento è accessibile offline (stampa o file locale) — non solo nel cloud che potrebbe essere irraggiungibile durante un disastro
Critico
Esiste un Business Impact Analysis (BIA) che stima il costo orario del downtime per reparto
Alto
Sono documentate le dipendenze tra sistemi (es. il CRM dipende dal DB server che dipende dall’AD)
Alto
Il DRP viene revisionato almeno una volta all’anno e dopo ogni cambiamento infrastrutturale significativo
Alto
Il personale chiave conosce la propria funzione nel DRP e ha ricevuto formazione specifica
Alto
Sono documentate le procedure di escalation e i contatti di emergenza (fornitore IT, hosting, provider telefonico)
Medio
Esiste una procedura di comunicazione verso clienti e fornitori in caso di interruzione prolungata
Medio
💾

B — Strategia di backup

12 controlli
Applichi la regola 3-2-1: 3 copie, 2 supporti diversi, 1 offsite Minimo assoluto. La variante 3-2-1-1-0 (1 copia immutabile, 0 errori verificati) è preferibile
Critico
Almeno una copia è immutabile (non modificabile né cancellabile per un periodo definito)
Critico
Il backup offsite si trova in una posizione geografica diversa dalla sede principale
Critico
I backup sono cifrati con AES-256 sia in transito che a riposo
Critico
Le chiavi di cifratura sono conservate separatamente dai backup (non sullo stesso sistema)
Critico
La frequenza di backup è coerente con l’RPO definito (se l’RPO è 4 ore, il backup deve girare ogni 4 ore)
Critico
Sono in backup tutti i dati critici: database, email, file share, configurazioni di rete, AD/LDAP
Alto
I backup includono anche i dati su Microsoft 365, Google Workspace o altri SaaS aziendali Microsoft non garantisce il recupero dei dati cancellati dopo 30-90 giorni
Alto
I laptop e PC dei dipendenti in smart working sono inclusi nel piano di backup
Alto
Esiste un piano di retention (quanto tempo conservi ogni tipo di backup)
Medio
Il sistema invia notifiche automatiche in caso di backup fallito
Alto
Qualcuno controlla effettivamente queste notifiche — esiste una procedura di risposta ai backup falliti
Alto
🔄

C — Test e verifica dei backup

10 controlli
I backup vengono testati con ripristino reale almeno ogni 6 mesi Un backup non testato è un backup di cui non conosci il funzionamento
Critico
Hai eseguito almeno un bare metal restore (ripristino completo su hardware vuoto) nell’ultimo anno
Critico
Il ripristino di test ha rispettato l’RTO dichiarato nel DRP
Critico
I risultati dei test di ripristino sono documentati e archiviati
Alto
Hai verificato che il backup di Active Directory permette il ripristino completo del dominio
Alto
Hai testato il ripristino da backup dopo aver simulato un attacco ransomware (cifratura dei file)
Alto
Hai verificato che il backup offsite sia effettivamente raggiungibile e leggibile
Alto
Esiste una procedura di test automatizzato della recuperabilità dei backup (backup verification)
Medio
Il test include anche il ripristino di singoli file e cartelle, non solo del server completo
Medio
Il personale operativo sa come avviare un ripristino senza l’intervento del responsabile IT principale
Medio
🛡️

D — Sicurezza e protezione ransomware

10 controlli
Il sistema di backup è isolato dalla rete aziendale (air gap fisico o logico)
Critico
Le credenziali di accesso al sistema di backup sono diverse da quelle del dominio aziendale
Critico
L’accesso al pannello di gestione backup richiede autenticazione MFA
Critico
Nessun account di servizio del backup ha privilegi di dominio administrator non necessari
Alto
I backup cloud utilizzano storage con Object Lock o Immutable Backup attivato
Alto
Esiste un sistema di rilevamento anomalie che avvisa se i file aziendali vengono cifrati in massa
Alto
Hai un piano di risposta agli incidenti (IRP) separato dal DRP che copre le prime 4 ore dopo un attacco
Alto
I log del sistema di backup sono conservati separatamente e non sono modificabili dagli stessi account che gestiscono i backup
Medio
Conosci il tempo necessario per ripristinare completamente l’infrastruttura in uno scenario “worst case” (tutto cifrato)
Medio
Hai valutato e documentato se e quando è appropriato pagare un eventuale riscatto ransomware (decisione che va presa a freddo, non durante l’attacco)
Medio
☁️

E — Cloud e SaaS

8 controlli
Hai una copia dei dati Microsoft 365 (Exchange, SharePoint, Teams, OneDrive) indipendente da Microsoft Microsoft applica una politica di retention di 30-93 giorni, non è un backup
Critico
Sai dove sono fisicamente conservati i tuoi dati SaaS e in quale paese (rilevante per GDPR)
Alto
Hai letto e compreso le clausole di responsabilità del contratto con il tuo provider cloud
Alto
Conosci la procedura per richiedere al provider cloud il ripristino di dati cancellati per errore
Alto
Hai verificato i SLA del provider cloud e conosci le procedure di rimborso in caso di downtime
Medio
Hai un piano per continuare a lavorare se il provider cloud principale fosse irraggiungibile per 8+ ore
Medio
Le credenziali degli account cloud critici sono in un password manager aziendale accessibile da più persone
Medio
Hai attivato il MFA su tutti gli account cloud aziendali critici
Alto
⚖️

F — Conformità normativa

8 controlli
Il DRP è citato nel Registro dei Trattamenti GDPR come misura tecnica e organizzativa (art. 32)
Critico
I dati personali nei backup sono trattati con le stesse garanzie dei dati in produzione (accesso, cifratura, retention)
Critico
In caso di data breach che coinvolga i backup, la procedura di notifica al Garante entro 72 ore è documentata
Alto
I provider cloud che conservano i backup hanno firmato un DPA (Data Processing Agreement) conforme al GDPR
Alto
Se sei soggetto a NIS2: il DRP è allineato ai requisiti dell’art. 21 sulla gestione degli incidenti
Alto
I tempi di retention dei backup rispettano gli obblighi di conservazione fiscale e legale (10 anni per documenti contabili)
Medio
Esiste una procedura per gestire le richieste di cancellazione (diritto all’oblio) anche nelle copie di backup
Medio
Il DRP è stato revisionato da un consulente legale o DPO dopo l’entrata in vigore della NIS2 (ottobre 2024)
Medio
📊

G — Monitoraggio continuo

4 controlli
Esiste un report settimanale o mensile sullo stato di tutti i backup aziendali, revisionato da una persona responsabile
Alto
Hai impostato alert per: backup non eseguito, backup fallito, spazio in esaurimento, anomalie di dimensione
Alto
I KPI del DRP (RTO effettivo, RPO effettivo, % backup riusciti) vengono misurati e riportati alla direzione
Medio
Hai un processo di miglioramento continuo: ogni incidente o quasi-incidente genera un’azione correttiva documentata
Medio

Trova il backup giusto per la tua azienda

Ora che sai cosa ti serve, confronta i programmi che rispettano questi requisiti.

Usa il comparatore →
© 2026 MigliorBackupAziendale.it  ·  Confronto indipendente di programmi di backup per aziende italiane
Alcuni link sono di affiliazione: riceviamo una commissione se acquisti tramite i nostri link, senza costi aggiuntivi per te. Le valutazioni sono indipendenti. Politica di trasparenza →