Il 75% delle PMI italiane non dispone di un Disaster Recovery Plan documentato e testato. Eppure, un singolo incidente — un attacco ransomware, un guasto hardware critico, un incendio nella sala server — può paralizzare l'operatività per giorni o settimane, con costi che superano rapidamente le decine di migliaia di euro. In questa guida ti spiego come creare un DRP efficace per la tua PMI, passo dopo passo, con obiettivi RTO/RPO realistici, un calendario di test e le indicazioni per la compliance NIS2.
Cos'è un Disaster Recovery Plan e Perché la Tua PMI Ne Ha Bisogno
Un Disaster Recovery Plan (DRP) è un documento operativo che definisce le procedure, le risorse e le tempistiche per ripristinare l'infrastruttura IT aziendale dopo un evento disastroso. Non è un documento teorico da archiviare in un cassetto: è un manuale d'emergenza che il tuo team IT deve poter seguire sotto pressione, quando ogni minuto conta.
Per le PMI, il DRP è ancora più critico che per le grandi aziende. Le grandi imprese hanno team IT numerosi, budget dedicati e infrastrutture ridondanti. Una PMI con 20-100 dipendenti spesso dipende da pochi server, da un singolo gestionale ERP e da un team IT ridotto (o completamente esternalizzato). Senza un piano chiaro, il ripristino diventa caotico, lento e costoso. Come spieghiamo nella nostra guida sulla regola 3-2-1 per il backup aziendale, avere copie dei dati è il prerequisito fondamentale, ma senza un DRP che definisca come usare quei backup, il ripristino può comunque fallire.
Il Costo del Non Avere un DRP
Secondo Gartner, il costo medio del downtime IT per una PMI è di circa 5.600 euro al minuto. Un'interruzione non pianificata di 8 ore costa in media 45.000 euro, senza contare i danni reputazionali e le potenziali sanzioni normative. Il 93% delle aziende che subisce una perdita di dati significativa senza un DRP chiude entro un anno.
I 7 Step per Creare un Disaster Recovery Plan Efficace
Creare un DRP può sembrare un compito arduo, ma suddividendolo in fasi gestibili diventa un processo strutturato e realizzabile anche con risorse limitate. Ecco i sette passaggi che seguiamo con i nostri clienti PMI.
Step 1: Inventario Completo dell'Infrastruttura IT
Il primo passo è sapere esattamente cosa hai. Sembra banale, ma in molte PMI l'infrastruttura IT è cresciuta organicamente nel tempo e nessuno ha una mappa completa e aggiornata. L'inventario deve includere:
- Server fisici e virtuali: hostname, ruolo, sistema operativo, risorse allocate (CPU, RAM, storage)
- Applicazioni critiche: ERP/gestionale, CRM, posta elettronica, software di contabilità, applicativi verticali di settore
- Dati: posizione, volume, tasso di crescita, classificazione (critici, importanti, archivio)
- Servizi cloud: Microsoft 365, applicativi SaaS, storage cloud, servizi PaaS
- Infrastruttura di rete: firewall, switch, access point, VPN, connettività internet
- Dipendenze: quali sistemi dipendono da quali altri (es. l'ERP dipende dal database SQL Server che gira su un server specifico)
Strumenti come NinjaOne (che utilizziamo per il monitoraggio proattivo dei nostri clienti) possono automatizzare gran parte dell'inventario, rilevando automaticamente tutti i dispositivi sulla rete.
Step 2: Business Impact Analysis (BIA)
La BIA è l'analisi che trasforma il tuo inventario tecnico in priorità di business. Per ogni sistema identificato, devi rispondere a queste domande:
- Quanto costa all'azienda ogni ora di indisponibilità di questo sistema?
- Quanti dipendenti vengono bloccati se questo sistema non funziona?
- Ci sono obblighi contrattuali o normativi legati alla disponibilità di questo sistema?
- Quali processi aziendali dipendono da questo sistema?
- Esiste un workaround manuale temporaneo?
Sulla base delle risposte, classifica ogni sistema in tre livelli:
Mission-Critical (Tier 1)
Sistemi il cui fermo blocca completamente l'operatività aziendale. Esempi: ERP/gestionale, server di posta, database clienti, sistema di fatturazione. Ripristino prioritario, RTO massimo di 1-4 ore.
Business-Critical (Tier 2)
Sistemi importanti ma con workaround temporanei disponibili. Esempi: file server secondari, CRM, applicativi di project management. Ripristino entro 8-24 ore.
Standard (Tier 3)
Sistemi la cui indisponibilità ha impatto limitato. Esempi: ambienti di test/sviluppo, archivi storici, stampanti di rete. Ripristino entro 48-72 ore.
Step 3: Definizione degli RTO e RPO per Tipo di Sistema
Come approfondito nella nostra guida alla regola 3-2-1 del backup, l'RPO (Recovery Point Objective) e l'RTO (Recovery Time Objective) sono le due metriche fondamentali del DRP. Ecco i valori tipici che raccomandiamo per le PMI italiane, suddivisi per tipo di sistema:
| Sistema | RTO | RPO | Tier |
|---|---|---|---|
| Email (Exchange/M365) | 1-2 ore | 15 min | Tier 1 |
| ERP / Gestionale | 1-4 ore | 15-30 min | Tier 1 |
| Database SQL | 1-2 ore | 15 min | Tier 1 |
| File Server principale | 2-4 ore | 1 ora | Tier 1 |
| CRM | 4-8 ore | 1-4 ore | Tier 2 |
| Server web/intranet | 4-8 ore | 4 ore | Tier 2 |
| Sistemi di stampa | 24 ore | 24 ore | Tier 3 |
| Ambienti di test | 48-72 ore | 24 ore | Tier 3 |
Questi valori sono indicativi e vanno calibrati sulla realtà specifica della tua azienda. Un'azienda manifatturiera che dipende totalmente dal gestionale per la produzione avrà un RTO più aggressivo rispetto a uno studio professionale che può temporaneamente lavorare con email e documenti cartacei. Per approfondire le soluzioni IT per il manifatturiero, consulta la nostra pagina dedicata.
Step 4: Progettazione della Strategia di Backup e Replica
Il DRP deve definire in dettaglio come vengono protetti i dati. La strategia di backup è il cuore tecnico del piano. Raccomandiamo di seguire la regola 3-2-1-1-0: 3 copie dei dati, su 2 supporti diversi, 1 copia off-site, 1 copia immutabile e 0 errori verificati tramite test.
Per le PMI, la configurazione tipica che implementiamo come Managed Service Provider prevede:
- Backup locale: Veeam Backup & Replication su NAS dedicato con backup incrementali ogni 4-8 ore per i sistemi Tier 2-3, ogni 15-60 minuti per Tier 1
- Replica off-site: Backup Copy Job automatici verso storage cloud (Wasabi, Azure Blob, Amazon S3) con crittografia AES-256
- Copia immutabile: Linux Hardened Repository locale e/o Object Lock su cloud storage per protezione anti-ransomware
- Backup Microsoft 365: Veeam Backup for Microsoft 365 per Exchange Online, SharePoint, OneDrive e Teams — aspetto spesso trascurato che approfondiamo nel nostro articolo sul backup di Microsoft 365
Step 5: Documentazione delle Procedure di Ripristino
Questa è la fase che distingue un DRP reale da un documento di facciata. Le procedure devono essere sufficientemente dettagliate da poter essere seguite da un tecnico competente che non ha mai lavorato sulla tua infrastruttura specifica. Per ogni sistema critico, documenta:
Prerequisiti: cosa serve prima di iniziare (hardware sostitutivo, credenziali, media di installazione, licenze)
Ordine di ripristino: quali sistemi vanno ripristinati prima (es. Active Directory prima dell'ERP che ne dipende)
Procedura step-by-step: istruzioni dettagliate per il ripristino da backup, con screenshot se possibile
Verifiche post-ripristino: come verificare che il sistema funzioni correttamente dopo il recovery
Contatti di emergenza: numeri diretti del team IT, del MSP (BullTech: +39 039 5787 212), dei vendor critici
Comunicazione: template per comunicare ai dipendenti, clienti e fornitori lo stato dell'emergenza
Escalation: cosa fare se la procedura standard non funziona, chi contattare, tempi massimi per ogni escalation
Step 6: Implementazione Tecnica
Con la strategia definita su carta, è il momento di implementarla. Questa fase comprende l'installazione e la configurazione di tutti i componenti tecnici del DRP:
- Installazione e configurazione di Veeam Backup & Replication
- Configurazione dei job di backup con le policy RPO definite
- Setup del backup repository locale e del Linux Hardened Repository per l'immutabilità
- Configurazione dei Backup Copy Job verso il cloud
- Setup del monitoraggio con alerting in tempo reale tramite NinjaOne
- Configurazione di Veeam SureBackup per i test automatici di ripristino
- Predisposizione dell'hardware di spare o dei contratti di sostituzione rapida
Per le aziende che non dispongono di un team IT interno dedicato, l'intera implementazione può essere gestita da un partner di consulenza IT come BullTech, che si occupa anche della manutenzione continuativa.
Step 7: Test, Validazione e Manutenzione Continua
Un DRP non testato è un DRP che non funziona. Lo diciamo sempre ai nostri clienti: il test di disaster recovery è la parte più importante dell'intero processo. Ecco il calendario di test che raccomandiamo:
Test mensile: verifica backup
Controllo automatico con Veeam SureBackup che tutti i backup siano integri e ripristinabili. Report automatizzato via email.
Test trimestrale: ripristino singolo sistema
Ripristino completo di un sistema Tier 1 in un ambiente di test isolato. Verifica che applicazioni e dati funzionino correttamente. Misurazione effettiva dell'RTO.
Test semestrale: ripristino multi-sistema
Ripristino di più sistemi interconnessi (es. Active Directory + SQL Server + ERP) per verificare le dipendenze e l'ordine di ripristino.
Test annuale: disaster recovery completo
Simulazione di un disastro totale con ripristino dell'intera infrastruttura dal backup off-site/cloud. Coinvolgimento di tutto il personale chiave. Misurazione RTO e RPO effettivi.
Dopo ogni test, documenta i risultati: cosa ha funzionato, cosa no, tempi effettivi vs tempi previsti, azioni correttive. Questo registro è fondamentale sia per il miglioramento continuo del DRP sia per dimostrare la compliance alla Direttiva NIS2.
I 5 Errori Più Comuni nei DRP delle PMI
Nella nostra esperienza con centinaia di PMI lombarde, abbiamo identificato errori ricorrenti che rendono inefficace anche un DRP apparentemente ben fatto.
1. Il DRP Esiste Solo su Carta
Il piano è stato scritto una volta, magari per ottenere una certificazione o soddisfare un requisito contrattuale, e poi dimenticato in un cassetto. Non è mai stato testato, non è aggiornato, e nessuno sa dove trovarlo in caso di emergenza. Un DRP che non viene testato e aggiornato almeno annualmente non ha alcun valore pratico.
2. RTO/RPO Irrealistici
Molte PMI dichiarano un RTO di 1 ora per tutti i sistemi, ma la loro infrastruttura di backup non è dimensionata per raggiungerlo. Se il backup del file server da 5 TB richiede 6 ore per il ripristino da cloud, dichiarare un RTO di 1 ora è pura fantasia. Gli RTO e RPO devono essere realistici, verificati con test effettivi e coerenti con l'infrastruttura disponibile.
3. Ignorare le Dipendenze tra Sistemi
Ripristinare il gestionale ERP senza prima aver ripristinato il server Active Directory e il database SQL Server è inutile. Molti DRP elencano i sistemi come entità isolate senza mappare le dipendenze. Il risultato è un ripristino caotico dove i tecnici scoprono le dipendenze in tempo reale, con enormi perdite di tempo.
4. Non Considerare il Backup dei Dati Cloud
Il DRP copre solo l'infrastruttura on-premise, ignorando completamente Microsoft 365, Google Workspace e gli altri servizi SaaS. Eppure, per molte PMI la posta elettronica e i documenti su SharePoint/OneDrive sono il cuore dell'operatività quotidiana. Il modello di responsabilità condivisa rende il backup di questi dati una responsabilità dell'azienda, non del provider cloud.
5. Assenza di un Piano di Comunicazione
Durante un disastro IT, la comunicazione è critica. Dipendenti, clienti, fornitori e partner devono essere informati rapidamente. Se l'email aziendale è fuori uso, come comunichi? Il DRP deve prevedere canali di comunicazione alternativi (cellulari personali, gruppi WhatsApp predefiniti, indirizzo email di backup su un provider diverso) e template di comunicazione già pronti.
Compliance NIS2: Cosa Richiede il DRP
La Direttiva NIS2, recepita in Italia tra il 2025 e il 2026, introduce obblighi specifici per la gestione del rischio informatico che impattano direttamente sul Disaster Recovery Plan. Le aziende classificate come “essenziali” o “importanti” (e molte PMI nella supply chain lo sono) devono:
- Implementare politiche di analisi dei rischi e di sicurezza dei sistemi informatici
- Garantire la continuità operativa, inclusa la gestione dei backup, il disaster recovery e la gestione delle crisi
- Documentare e testare periodicamente le procedure di ripristino
- Notificare gli incidenti significativi entro 24 ore dalla scoperta
- Dimostrare l'adozione di misure tecniche e organizzative adeguate in caso di audit
Un DRP ben strutturato e regolarmente testato è la prova documentale che la tua azienda rispetta questi requisiti. I test periodici con relativi report diventano l'evidenza concreta da presentare in caso di audit NIS2. Per un approfondimento completo sul tema, leggi la nostra guida NIS2 per le aziende italiane.
Budget per il Disaster Recovery: Quanto Investire
Il budget per il disaster recovery è spesso la barriera principale per le PMI. Tuttavia, i costi sono molto più contenuti di quanto si pensi, soprattutto se confrontati con i costi del downtime. Ecco una stima realistica per una PMI con 5-15 server e 30-80 utenti:
| Voce di Costo | Investimento Iniziale | Costo Mensile |
|---|---|---|
| Licenze Veeam Backup & Replication | 2.000 - 5.000 € | Incluso (3 anni) |
| NAS / Repository backup locale | 1.500 - 4.000 € | - |
| Linux Hardened Repository (immutabilità) | 1.000 - 2.500 € | - |
| Storage cloud (Wasabi/Azure) | - | 50 - 200 € |
| Veeam Backup for Microsoft 365 | 500 - 1.500 € | Incluso |
| Progettazione e implementazione DRP | 3.000 - 8.000 € | - |
| Monitoraggio e gestione MSP | - | 200 - 500 € |
| Test trimestrali di DR | - | 100 - 250 € |
In totale, l'investimento iniziale per una PMI si aggira tra gli 8.000 e i 20.000 euro, con costi ricorrenti tra i 350 e i 950 euro al mese. Con un contratto di assistenza gestita BullTech, molti di questi costi possono essere inclusi in un canone mensile fisso e prevedibile, eliminando la necessità di investimenti iniziali elevati.
Template DRP: la Struttura del Documento
Un Disaster Recovery Plan efficace si compone delle seguenti sezioni. Questo template è quello che utilizziamo per i nostri clienti PMI:
Informazioni generali: scopo del documento, ambito, data ultimo aggiornamento, responsabile del DRP
Contatti di emergenza: team IT interno, MSP (BullTech), vendor critici, management, referente NIS2
Inventario infrastrutturale: elenco completo di server, applicazioni, dati, servizi cloud con classificazione di criticità
Analisi di impatto (BIA): impatto economico e operativo per ogni sistema, RPO e RTO definiti
Strategia di backup: architettura 3-2-1-1-0, tecnologie utilizzate, policy di retention, crittografia
Procedure di ripristino: istruzioni step-by-step per ogni sistema critico, ordine di ripristino, verifiche
Piano di comunicazione: canali alternativi, template messaggi, escalation matrix
Piano dei test: calendario test (mensili, trimestrali, annuali), criteri di successo, responsabili
Registro test e incidenti: storico dei test effettuati con risultati e azioni correttive
Revisione e aggiornamento: cadenza di aggiornamento, trigger per aggiornamento straordinario, approvazioni
Come BullTech Informatica Può Aiutarti
Creare un DRP efficace richiede competenze tecniche trasversali e esperienza pratica. In qualità di Veeam Certified Engineer e Managed Service Provider con sede a Vimercate, BullTech Informatica supporta le PMI lombarde nell'intero ciclo di vita del Disaster Recovery Plan:
Assessment e BIA
Analizziamo la tua infrastruttura, mappiamo le dipendenze e definiamo RTO/RPO realistici con il tuo management.
Progettazione e Implementazione
Progettiamo l'architettura di backup 3-2-1-1-0 e implementiamo Veeam con backup locali, cloud e immutabili.
Documentazione Completa
Redigiamo il DRP con procedure dettagliate, piano di comunicazione e template pronti all'uso.
Test e Manutenzione Continua
Eseguiamo test periodici, aggiorniamo il DRP e garantiamo la compliance NIS2 con report documentati.
Non aspettare il prossimo incidente per scoprire di non avere un piano. Il momento migliore per creare un DRP era ieri. Il secondo momento migliore è oggi. Contattaci per un assessment gratuito della tua infrastruttura e scopri come possiamo aiutarti a proteggere la continuità operativa della tua azienda.
Domande Frequenti sul Disaster Recovery Plan
Quanto tempo serve per creare un Disaster Recovery Plan?
Per una PMI con 5-20 server, la creazione di un DRP completo richiede mediamente 4-8 settimane. La prima fase (assessment e inventario) richiede 1-2 settimane. La definizione degli RTO/RPO e la progettazione dell'architettura richiedono altre 1-2 settimane. L'implementazione tecnica e la documentazione delle procedure occupano 2-3 settimane. Il primo test di validazione richiede una settimana aggiuntiva. Con il supporto di un MSP come BullTech, i tempi si riducono significativamente perché il team porta esperienza da decine di implementazioni precedenti.
Qual è la differenza tra Disaster Recovery Plan e Business Continuity Plan?
Il Disaster Recovery Plan (DRP) si concentra sul ripristino dell'infrastruttura IT dopo un disastro: server, dati, applicazioni, reti. Il Business Continuity Plan (BCP) è più ampio e copre la continuità operativa dell'intera azienda: include il DRP ma anche procedure per il personale, la logistica, la comunicazione, le sedi alternative e i processi manuali di emergenza. In pratica, il DRP è la componente tecnologica del BCP. Per le PMI, spesso i due documenti vengono integrati in un unico piano.
Ogni quanto devo testare il Disaster Recovery Plan?
Le best practice prevedono test trimestrali per i sistemi critici (ERP, email, database) e semestrali per i sistemi secondari. Almeno una volta all'anno si deve eseguire un test completo di disaster recovery, simulando un disastro reale e ripristinando l'intera infrastruttura. Oltre ai test pianificati, il DRP deve essere aggiornato e ritestato dopo ogni cambiamento significativo dell'infrastruttura (nuovo server, migrazione cloud, cambio di provider). La NIS2 richiede esplicitamente test periodici documentati.
Il Disaster Recovery Plan è obbligatorio per legge?
Dipende dal settore e dalle dimensioni dell'azienda. La Direttiva NIS2, in vigore dal 2024 con recepimento italiano nel 2025-2026, rende obbligatorio il DRP per le aziende classificate come essenziali o importanti (incluse molte PMI della supply chain). Il GDPR richiede 'misure tecniche e organizzative adeguate' per garantire la disponibilità dei dati, il che include implicitamente un piano di disaster recovery. Anche senza obblighi diretti, molti contratti con grandi aziende richiedono ai fornitori un DRP documentato e testato.
Quanto costa implementare un Disaster Recovery Plan per una PMI?
Il costo dipende dalla complessità dell'infrastruttura e dal livello di protezione richiesto. Per una PMI con 5-10 server, il costo iniziale di progettazione e implementazione va da 5.000 a 15.000 euro, più costi ricorrenti mensili per backup cloud, monitoraggio e test (300-800 euro/mese). Con un MSP come BullTech, il DRP può essere incluso in un contratto di assistenza gestita, distribuendo i costi su canoni mensili prevedibili. Il confronto va fatto con il costo del downtime: un giorno di fermo per una PMI costa mediamente 15.000-50.000 euro.