avanzati.it/FAQ/NIS2 compliance
Q.16 · Compliance

Cosa è la NIS2 e come ci aiutate ad allinearci?

NIS2 impone misure tecniche verificabili: inventario, backup, audit log, gestione incidenti, autenticazione forte, analisi rischio. Non facciamo consulenza legale — riempiamo i buchi tecnici che rendono l'audit un incubo.

TL;DR

Direttiva UE 2022/2555 (NIS2) recepita in Italia con Dlgs 138/2024. Si applica a soggetti essenziali/importanti in settori critici (energia, trasporti, sanità, PA digitale, ICT managed services, altri). Le misure dell'art.21 richiedono: analisi rischio, gestione incidenti, continuità, sicurezza supply chain, crittografia, MFA, formazione, autenticazione forte, asset inventory. PSA fornisce le componenti tecniche: NetScavenger (inventory), PAM + firma temporale (audit accessi), SIEM Wazuh (incident management), DR geografico, 2FA obbligatoria, backup con retention. Non siamo consulenti legali: non firmiamo la conformità al posto vostro, ma forniamo strumenti e documentazione che fa superare l'audit.

01NIS2 in due righe

La Direttiva UE 2022/2555 — comunemente NIS2 — aggiorna la precedente NIS del 2016 alzando l'asticella sulla cybersecurity delle organizzazioni considerate rilevanti per il funzionamento del Paese. È stata recepita in Italia con il Dlgs 138/2024, in vigore da ottobre 2024, con scadenze di adeguamento progressive nel 2025-2026.

Esiste perché la NIS1 era troppo stretta come perimetro e troppo debole come sanzioni: poche aziende ci cadevano dentro, e le multe erano simboliche. NIS2 allarga enormemente il raggio (da ~500 a ~15.000 soggetti stimati in Italia) e introduce responsabilità diretta degli organi di amministrazione, con sanzioni che fanno male davvero.

02Chi è soggetto

La norma distingue due categorie, con trattamento sanzionatorio differenziato ma obblighi tecnici sostanzialmente identici:

Soglie dimensionali: in linea generale si è soggetti se si supera 50 dipendenti o 10 M€ di fatturato. Con deroghe: alcune categorie (provider DNS, TLD, TLC, fiduciari qualificati, PA) sono dentro indipendentemente dalla dimensione. Il nostro consiglio operativo: se avete dubbi, assumete di essere dentro e fate la verifica formale con un legale. Il costo di sbagliare in difetto è molto alto.

03Le misure tecniche dell'art.21

Il cuore operativo della direttiva sta nell'articolo 21, che elenca le misure minime di gestione del rischio di cybersecurity. In pratica:

Nessun elenco prescrittivo di tecnologie. La direttiva è technology-neutral: conta che il controllo sia presente, documentato e dimostrabile all'auditor.

04Come PSA copre i controlli tecnici

Il nostro ruolo non è decidere cosa dovete fare — lo decide il vostro DPO, il consulente legale, o l'internal audit. Il nostro ruolo è mettervi in condizione di dimostrare che i controlli tecnici esistono, funzionano e sono tracciabili. Il mapping tra le misure dell'art.21 e le capabilities della nostra piattaforma:

Misura NIS2 (art.21) Cosa richiede Con cosa copriamo
Asset inventoryCensimento continuo e aggiornato di host, servizi, versioni, ownerNetScavenger (scan di rete + correlazione CMDB) con aggiornamento automatico
Controllo accessi privilegiatiTracciabilità delle sessioni amministrative, approvazione JIT, registrazionePAM proprietario con registrazione sessione e firma temporale qualificata
Autenticazione forteMFA su accessi amministrativi e servizi critici, evidenza delle policy2FA obbligatoria su tutti i backend PSA — niente eccezioni per comodità
Gestione incidentiRilevazione, classificazione, risposta, notifica autorità entro scadenzeSIEM Wazuh con alerting integrato, runbook di notifica ACN, log immutabili
Backup e continuitàBackup offline/air-gapped, test di ripristino, RPO/RTO definitiProxmox Backup Server + retention tiered + DR geografico tra data center IT
Audit logLog firmati, ritenuti a lungo, non ripudiabili dall'operatoreLogging centralizzato con firma temporale, retention configurabile per norma
Supply chain sicurezzaEvidenza dei controlli applicati dai fornitori ICT (MSP/MSSP)Documentazione operativa PSA + SLA scritti + dashboard self-service con audit log
Vulnerability managementScansione continua, patch management, evidenza delle tempisticheScansioni pianificate + patch window tracciate + SLA di remediation contrattualizzati

Niente di questo è "magia NIS2". Sono strumenti che usiamo da anni per i nostri clienti — la direttiva ha semplicemente reso obbligatorio ciò che per noi era già il modo corretto di lavorare.

05Cosa NON facciamo

Per onestà — e per risparmiarvi spiacevoli sorprese:

Quello che facciamo: forniamo gli strumenti tecnici e la documentazione operativa (runbook, SLA, evidenze di log, report periodici) che l'auditor deve vedere per spuntare la casella. Il 90% dei problemi NIS2 nelle PMI non è il disaccordo filosofico sulle policy — è l'impossibilità pratica di produrre evidenze quando vengono chieste.

06Timeline di adozione tipica

Un percorso realistico per un cliente che si affaccia alla NIS2 senza copertura pregressa:

07Le sanzioni rendono la cosa seria

Sotto NIS1 le sanzioni italiane arrivavano a circa 150.000 €. Con NIS2 i massimali diventano:

La differenza con il passato non è solo l'importo. È il fatto che la non-conformità non passa più inosservata: ACN ha potere di ispezione, richiesta di informazioni, audit. E soprattutto: un incidente grave diventa automaticamente lo scatto che innesca la verifica della vostra postura di sicurezza pregressa. Non aspettate l'incidente per mettervi in regola.

08Come iniziamo una valutazione

Se state facendo il percorso NIS2 — da zero, o con consulenti già coinvolti sul piano legale — una chiamata di un'ora è di norma sufficiente per inquadrare il perimetro tecnico. Portate l'elenco dei sistemi in scope, eventuali policy già scritte, l'ultima analisi dei rischi (se c'è). Rispondiamo con una mappatura onesta dei vuoti tecnici e una stima realistica di tempi e costi per colmarli. Nessuna slide da tre ore sulla direttiva — la leggete meglio da soli.

Un audit NIS2 non è un evento. È un modo di lavorare.

Gap analysis tecnico →