Il 60% delle PMI che subisce un disastro IT grave senza un piano di continuità chiude entro 6 mesi (fonte: FEMA). Non è catastrofismo — è statistica. Un server che muore, un ransomware che cripta tutto, un incendio nella sala server, un provider cloud che va offline: senza un piano, il panico prende il sopravvento e il danno si moltiplica. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB) con oltre 200 clienti B2B, ha creato più di 50 piani BCP. Ecco come farne uno che funziona davvero.
Cos'è un Business Continuity Plan IT
Un Business Continuity Plan (BCP) IT è un documento operativo che descrive come l'azienda mantiene le operazioni durante e dopo un'interruzione IT. Non è un documento da cassetto: è una guida pratica con procedure, contatti, priorità e tempi. Risponde alla domanda: "Se domani mattina il server principale non si accende, cosa facciamo?"
Un BCP fatto bene copre: quali sistemi sono critici (e quali no), quanto tempo possiamo stare fermi (RTO), quanti dati possiamo perdere (RPO), chi fa cosa durante l'emergenza, come comunichiamo con dipendenti, clienti e fornitori, come ripristiniamo i servizi in ordine di priorità.
BCP vs Disaster Recovery Plan
Spesso vengono confusi, ma sono due cose diverse. Ecco le differenze.
| Aspetto | BCP | DRP |
|---|---|---|
| Scope | Intera azienda (processi, persone, IT) | Solo IT (server, dati, rete, app) |
| Obiettivo | Continuare a operare durante la crisi | Ripristinare i sistemi IT dopo la crisi |
| Focus | Prevenzione + risposta + recovery | Recovery tecnico |
| Include | Comunicazione, logistica, HR, IT | Backup, failover, ripristino dati |
| Standard | ISO 22301 | ISO 27031 |
| Costo PMI | 3.000-10.000 € | 2.000-5.000 € |
Il DRP è un componente del BCP. Se fai un backup aziendale con la regola 3-2-1, hai un pezzo del DRP. Ma senza il BCP, non sai in che ordine ripristinare, chi avvisare e come gestire il periodo di down.
Business Impact Analysis (BIA): il punto di partenza
Non puoi fare un BCP senza sapere cosa è critico e cosa no. La BIA risponde a due domande: 1) Quale impatto ha il fermo di ogni sistema/processo? 2) Quanto tempo puoi stare senza quel sistema prima che il danno diventi inaccettabile?
Come fare la BIA in pratica: elenca tutti i sistemi IT (server, applicazioni, servizi cloud, rete). Per ognuno, chiedi ai responsabili di reparto: "Se questo sistema è fermo per 1 ora, 4 ore, 1 giorno, 1 settimana, qual è l'impatto economico e operativo?". Classifica i sistemi in 4 livelli: Critici (fermo massimo 1-4 ore), Importanti (fermo massimo 8-24 ore), Necessari (fermo massimo 3-5 giorni), Non essenziali (fermo tollerabile 1+ settimana).
RPO e RTO: i numeri che contano
RPO (Recovery Point Objective): quanti dati puoi permetterti di perdere. Se il tuo gestionale ha RPO = 1 ora, devi fare backup almeno ogni ora. Se va tutto a fuoco, perdi massimo 1 ora di fatture e ordini.
RTO (Recovery Time Objective): quanto tempo puoi stare fermo. Se il gestionale ha RTO = 4 ore, entro 4 ore dalla rottura devi essere di nuovo operativo — anche su un'infrastruttura provvisoria.
Esempio concreto per una PMI manifatturiera con 30 dipendenti: il gestionale (ERP) ha RPO 1 ora e RTO 4 ore — senza gestionale non si evadono ordini. L'email ha RPO 0 (nessuna perdita tollerabile) e RTO 2 ore. Il file server ha RPO 4 ore e RTO 8 ore. Il sito web informativo ha RPO 24 ore e RTO 24-48 ore.
7 step per creare un BCP IT aziendale
Step 1: Sponsor e team BCP
Il BCP deve avere uno sponsor nella direzione (titolare, direttore generale). Senza commitment dall'alto, il piano resta un documento ignorato. Il team BCP include: responsabile IT, un referente per ogni reparto critico, il responsabile comunicazione, un referente del fornitore MSP.
Step 2: Business Impact Analysis
Mappa tutti i processi e sistemi IT, classifica per criticità, definisci RPO e RTO per ogni sistema. Tempo: 1-2 settimane di interviste e analisi.
Step 3: Risk Assessment
Identifica le minacce: guasto hardware, ransomware, errore umano, incendio/allagamento, guasto provider cloud, interruzione corrente elettrica. Per ogni minaccia: probabilità (alta/media/bassa) e impatto (alto/medio/basso). Concentra le risorse sulle minacce ad alta probabilità e alto impatto.
Step 4: Strategia di recovery
Per ogni sistema critico, definisci come lo ripristini: backup locale + cloud (regola 3-2-1), replica su sito secondario, failover automatico su cloud (Azure Site Recovery, Veeam Cloud Connect), servizi SaaS con SLA garantiti. Per la configurazione pratica di Veeam, consulta la nostra guida completa a Veeam Backup per aziende. La strategia dipende dal budget e dai requisiti RPO/RTO.
Step 5: Procedure operative
Scrivi procedure passo-passo per ogni scenario. Esempio: "Scenario: server principale guasto. 1) L'IT manager chiama BullTech al 039 6099 023. 2) BullTech avvia il failover sul server secondario entro 30 minuti. 3) Il responsabile comunicazione avvisa i reparti via email. 4) Gli utenti accedono al gestionale dal server secondario." Le procedure devono essere comprensibili da chiunque, non solo dal tecnico IT.
Step 6: Piano di comunicazione
Chi avvisa chi, con quale mezzo, entro quanto tempo. Lista contatti aggiornata: direzione, IT, reparti, fornitori critici, clienti principali, MSP, assicurazione. Mezzo di comunicazione di backup: se l'email aziendale è giù, usi WhatsApp, telefono o un canale Teams/Slack separato.
Step 7: Test e manutenzione
Un BCP non testato non funziona. Pianifica: tabletop exercise trimestrale (simulazione su carta, 2-3 ore), test tecnico semestrale (failover effettivo), revisione annuale del documento. Dopo ogni test, documenta cosa ha funzionato e cosa no, e aggiorna il piano.
Normative: NIS2, GDPR e ISO 22301
La NIS2 (Direttiva UE 2022/2555, recepita in Italia con D.Lgs. 138/2024) impone alle aziende in settori critici di avere piani di continuità operativa e gestione degli incidenti. Le sanzioni arrivano fino a 10 milioni di EUR o il 2% del fatturato globale.
Il GDPR (art. 32) richiede "la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico". Senza BCP, non sei compliant.
La ISO 22301 è lo standard internazionale per i sistemi di gestione della continuità operativa. Non è obbligatoria, ma è il framework di riferimento. La certificazione ISO 22301 è richiesta da molte gare d'appalto e grandi clienti. BullTech supporta i clienti nel percorso verso la conformità ISO 22301.
Come BullTech supporta i clienti nel BCP
Offriamo un servizio BCP end-to-end: facilitiamo la BIA con interviste strutturate ai reparti, definiamo RPO/RTO realistici in base al budget, progettiamo l'infrastruttura di recovery (backup, replica, failover cloud), scriviamo le procedure operative in linguaggio chiaro, conduciamo i test semestrali, aggiorniamo il piano dopo ogni cambiamento infrastrutturale. Se cerchi una consulenza informatica Milano che ti segua dalla A alla Z sul BCP, siamo qui. Come partner IT aziendale Milano, garantiamo continuità operativa e piani di recovery testati.
Per i clienti con contratto di assistenza MSP, il BCP è parte del servizio: revisione semestrale, test inclusi, aggiornamento continuo. Il nostro cybersecurity assessment include sempre una valutazione della postura di business continuity. Un piano di backup aziendale con regola 3-2-1 è il primo mattone di ogni BCP efficace: senza dati recuperabili, nessuna procedura di recovery ha senso.
La tua azienda ha un Business Continuity Plan?
BullTech offre un assessment gratuito della tua postura di business continuity. Analizziamo infrastruttura, backup, RPO/RTO e normative. Chiamaci al 039 6099 023 o scrivici.