comprova
← Risorse
NIS2compliancePMIauditsupply chain

Guida NIS2 per PMI italiane

Tutto su NIS2 per chi deve rispondere: chi è soggetto, sanzioni, scadenze 2026/2027, articoli 20-21-23, audit ACN, supply chain, checklist controlli.

Claudio Bertani

La Direttiva NIS2 (Direttiva UE 2022/2555) è entrata in vigore nell'Unione Europea il 16 gennaio 2023 e ha sostituito la precedente NIS1 del 2016. In Italia è stata recepita con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 18 ottobre 2024. Molte PMI si trovano ora a dover rispettare obblighi nuovi — tra cui la formazione obbligatoria del personale — senza sapere da dove iniziare. Questa guida raccoglie in un unico documento le risposte alle domande che ricorrono più spesso: chi è obbligato, cosa fare, entro quando, e come dimostrarlo in un'ispezione.

Chi è soggetto a NIS2

La NIS2 si applica alle organizzazioni classificate come soggetti essenziali o soggetti importanti operanti in settori considerati critici per l'UE.

Settori essenziali (allegato I alla direttiva): energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT B2B, pubblica amministrazione, spazio.

Settori importanti (allegato II): servizi postali, gestione rifiuti, produzione e distribuzione di prodotti chimici, produzione di dispositivi medici, produzione di computer ed elettronici, fornitura di servizi digitali, ricerca.

Soglie dimensionali: la direttiva si applica in generale alle medie e grandi imprese — ovvero con almeno 50 dipendenti o fatturato annuo superiore a 10 milioni di euro. Le micro e piccole imprese (sotto queste soglie) sono generalmente escluse, salvo eccezioni per settori specifici.

Attenzione supply chain: anche le PMI che non superano le soglie dimensionali possono trovarsi indirettamente vincolate ai requisiti NIS2 tramite i contratti con clienti soggetti essenziali, che scaricano gli obblighi di sicurezza verso i propri fornitori.

Sanzioni e responsabilità

Le sanzioni sono calcolate sul fatturato annuo globale dell'organizzazione:

Tipo di soggettoSanzione massima
Soggetti essenziali10 milioni € o 2% del fatturato annuo globale (si applica il maggiore)
Soggetti importanti7 milioni € o 1,4% del fatturato annuo globale (si applica il maggiore)

L'autorità competente in Italia è l'ACN — Agenzia per la Cybersicurezza Nazionale, che ha anche poteri di ispezione e di audit. Le sanzioni non si fermano all'organizzazione: come si vedrà nella sezione sull'Art. 20, i singoli dirigenti possono rispondere personalmente, fino al divieto temporaneo di ricoprire funzioni manageriali in caso di violazione grave.

Scadenze 2026 e 2027

Il D.Lgs. 138/2024 ha recepito la NIS2 in Italia ed è in vigore dal 18 ottobre 2024. Mentre le organizzazioni completano la registrazione ACN e avviano i percorsi di adeguamento, è utile guardare a cosa succederà nel 2026 e nel 2027 — per non farsi trovare impreparati.

Stato attuale

Registrazione ACN: le organizzazioni soggette NIS2 stanno completando la registrazione sulla piattaforma ACN. Le scadenze variano per categoria di soggetto e settore — verifica lo stato aggiornato sul sito ufficiale ACN (acn.gov.it).

Prima fase di vigilanza: l'ACN sta avviando le prime attività di vigilanza, inizialmente concentrate sui soggetti essenziali e sulle infrastrutture più critiche. Nel 2026 è atteso un allargamento verso i soggetti importanti, incluse molte PMI nei settori digitali e manifatturieri.

Standard tecnici: l'ENISA sta pubblicando linee guida tecniche su specifici requisiti NIS2. Alcuni standard di settore (in particolare per energia e sanità) si stanno consolidando.

Cosa aspettarsi nel 2026 e 2027

I primi anni di vigore di una nuova normativa sono tipicamente caratterizzati da un'applicazione graduale e orientata alla collaborazione. Nel 2026–2027 è ragionevole attendersi:

  • Ispezioni più strutturate e basate su evidenze documentali
  • Maggiore attenzione ai soggetti che non hanno ancora completato la registrazione
  • Primo ciclo di sanzioni per le non conformità più gravi o reiterate

Questo non significa che le PMI ben avviate debbano preoccuparsi. Significa che chi ha rimandato non può continuare a farlo.

Aggiornamenti normativi possibili

La NIS2 è una direttiva che prevede atti di esecuzione europei su specifici aspetti tecnici. Nel 2027 potrebbero entrare in vigore:

  • Specifiche tecniche sulle misure minime di sicurezza per categoria di soggetto
  • Regolamenti delegati su requisiti di notifica degli incidenti
  • Aggiornamenti alla lista dei settori e dei sottosettori inclusi

Monitora il sito ACN e il Registro ufficiale UE per gli aggiornamenti normativi che possono impattare la tua organizzazione.

Integrazione con GDPR e altre normative

NIS2 e GDPR si sovrappongono su diversi aspetti (in particolare sulla gestione degli incidenti e sulla sicurezza del trattamento dei dati). Nel 2027 si consoliderà la prassi su come le organizzazioni gestiscono questa sovrapposizione — in particolare riguardo alle notifiche (24 ore per NIS2 all'ACN, 72 ore per GDPR al Garante Privacy).

Priorità per il 2026

Se entri nel nuovo anno con qualche gap aperto, queste sono le priorità:

Priorità immediata (Q1 2026):

  1. Completare la registrazione ACN se non ancora fatto
  2. Assicurarsi che tutta la documentazione di policy sia formalmente approvata
  3. Avere il registro dei completamenti della formazione aggiornato e gli attestati rilasciati

Priorità nel corso dell'anno: 4. Condurre (o aggiornare) il risk assessment 5. Verificare lo stato dei backup con un test di ripristino reale 6. Estendere la MFA agli accessi che ancora ne sono privi 7. Formalizzare il registro dei fornitori critici con evidenza delle valutazioni

La compliance non si ferma

Gli obblighi NIS2 sono ricorrenti, non si esauriscono con un percorso completato. I dipendenti del 2026 vanno formati nel 2026. Il management va aggiornato ogni anno. Il risk assessment e la valutazione dei fornitori critici hanno una scadenza implicita: l'anno successivo. Ogni evidenza ha una data, ogni revisione genera una nuova versione tracciata. Quello che vale come prova oggi va tenuto vivo nel tempo, altrimenti tra dodici mesi non vale più.

Una nota sulla proporzionalità

La NIS2 prevede un principio di proporzionalità: le misure adottate devono essere adeguate al rischio, tenendo conto delle dimensioni e della capacità dell'organizzazione. Una PMI di 60 dipendenti non è tenuta agli stessi controlli tecnici di un operatore di infrastrutture critiche.

Questo significa che non tutte le organizzazioni devono fare tutto. Ma significa anche che ogni organizzazione deve essere in grado di dimostrare di aver valutato il proprio rischio e adottato misure proporzionate — non che non ha fatto nulla perché "siamo piccoli".

Art. 20 — Organo direttivo

Quando si parla di NIS2, la maggior parte delle organizzazioni si concentra sull'IT: firewall, patch, backup. Ma la direttiva contiene un articolo spesso sottovalutato che riguarda direttamente il vertice aziendale: l'Art. 20 della Direttiva UE 2022/2555, recepito in Italia nell'Art. 23 del D.Lgs. 138/2024.

L'Art. 20 non parla di tecnologia. Parla di chi governa l'organizzazione.

Cosa dice esattamente l'Art. 20

Il testo della direttiva è preciso. Gli organi di gestione delle organizzazioni soggette devono:

  1. Approvare le misure di gestione del rischio di sicurezza informatica adottate dall'organizzazione
  2. Supervisionare attivamente la loro attuazione
  3. Ricevere regolarmente formazione in materia di sicurezza informatica, in misura sufficiente per identificare i rischi e valutarne l'impatto sulle attività

E poi il punto più delicato:

"Gli Stati membri provvedono affinché i membri degli organi di gestione delle entità essenziali e delle entità importanti possano essere ritenuti responsabili della violazione del presente articolo da parte di tali entità."

La responsabilità non è solo dell'organizzazione: è personale.

Chi sono gli "organi di gestione"

La direttiva usa un termine ampio: rientrano nella definizione tutte le figure con funzioni di governo e supervisione dell'organizzazione:

  • Amministratori delegati e direttori generali
  • Membri del Consiglio di Amministrazione
  • Soci con poteri di gestione
  • Responsabili della sicurezza informatica designati (CISO/RSSI)
  • Altre figure dirigenziali con responsabilità formale sulla sicurezza

La dimensione dell'azienda non cambia l'obbligo. Anche in una PMI con un CDA di due persone, entrambi i membri ricadono nell'ambito dell'Art. 20.

Perché l'obbligo non è delegabile

Un errore comune è pensare di poter "delegare" la compliance NIS2 all'IT manager o a un consulente esterno. Tecnicamente, alcune attività operative possono essere affidate a terzi. Ma la responsabilità di approvare le misure e supervisionarne l'attuazione non può essere trasferita.

Se l'ACN conduce un'ispezione e riscontra che il CDA non era a conoscenza delle politiche di sicurezza adottate, o che non le aveva formalmente approvate, la violazione ricade sugli organi di gestione — non sull'IT.

L'obbligo di formazione del management

L'Art. 20 prevede esplicitamente che i dirigenti ricevano formazione. Non un corso tecnico sulle vulnerabilità — ma formazione che consenta loro di:

  • Comprendere il quadro normativo NIS2 e le responsabilità personali
  • Approvare le politiche di sicurezza con cognizione di causa
  • Identificare i rischi rilevanti per il business
  • Gestire le comunicazioni in caso di incidente
  • Valutare la supply chain dal punto di vista della sicurezza

Questa formazione deve essere documentata e attestata. In caso di audit o ispezione ACN, il dirigente deve poter esibire prova che ha ricevuto formazione specifica.

Come adeguarsi: tre passi concreti

1. Formalizzare l'approvazione delle politiche di sicurezza. Il CDA deve formalmente approvare le misure di gestione del rischio (Art. 21). Questo va messo a verbale. Non basta che l'IT abbia implementato delle misure: occorre che l'organo di gestione le abbia deliberate.

2. Istituire una supervisione periodica. Almeno una volta all'anno (meglio trimestralmente), il management dovrebbe ricevere un report sullo stato della sicurezza informatica: incidenti registrati, completamento della formazione, stato delle vulnerabilità note, aggiornamenti normativi.

3. Tenere traccia in modo verificabile. Il punto non è "aver fatto formazione" in astratto: è poterlo dimostrare quando serve. Evidenze datate, firmate dal management, archiviate insieme alle delibere di approvazione delle misure di gestione del rischio.

Il messaggio centrale dell'Art. 20 è chiaro: la sicurezza informatica è una responsabilità del governo aziendale, non solo del dipartimento tecnico. I dirigenti che ignorano questo obbligo non si trovano in una zona grigia — si trovano fuori dalla norma, con responsabilità personale.

Art. 21 — Misure minime di gestione del rischio

L'articolo 21 della direttiva (recepito nell'Art. 24 del D.Lgs. 138/2024) richiede alle organizzazioni di adottare misure di gestione del rischio che includono esplicitamente, al punto (g):

"pratiche di igiene informatica di base e formazione in materia di sicurezza informatica"

Non è sufficiente un corso una-tantum: la formazione deve essere periodica, documentata e coprire tutti i livelli dell'organizzazione. L'Art. 20 (Art. 23 nel decreto italiano) aggiunge un obbligo specifico per i dirigenti e gli organi di gestione, che devono ricevere formazione separata e possono essere ritenuti personalmente responsabili.

Le 10 lettere dell'Art. 21

L'Art. 21 elenca dieci aree di misure minime che ogni soggetto deve adottare, calibrandole sul proprio rischio:

  • (a) politiche di analisi dei rischi e di sicurezza dei sistemi informativi;
  • (b) gestione degli incidenti;
  • (c) continuità operativa, gestione dei backup, ripristino in caso di disastro e gestione delle crisi;
  • (d) sicurezza della catena di approvvigionamento, compresi i rapporti con i fornitori diretti;
  • (e) sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi;
  • (f) politiche e procedure per valutare l'efficacia delle misure di gestione del rischio;
  • (g) pratiche di igiene informatica di base e formazione in materia di sicurezza informatica;
  • (h) politiche e procedure relative all'uso della crittografia;
  • (i) sicurezza delle risorse umane, controllo degli accessi e gestione degli asset;
  • (j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti all'interno del soggetto, se del caso.

Le 10 lettere sono il vero perimetro funzionale della compliance NIS2: ogni documento, ogni controllo tecnico, ogni evidenza in audit si riconduce a una di queste lettere. L'ispettore ACN organizza tipicamente le proprie domande seguendo questo schema.

Art. 23 — Notifica incidenti 24/72h

La Direttiva NIS2 (Art. 23), recepita nell'Art. 25 del D.Lgs. 138/2024, stabilisce obblighi precisi di notifica in caso di incidenti significativi, con scadenze rigide calcolate dal momento in cui l'organizzazione è venuta a conoscenza dell'incidente:

ScadenzaObbligo
24 orePreallarme all'ACN
72 oreNotifica completa all'ACN con valutazione iniziale dell'incidente
1 meseRelazione finale con analisi delle cause, impatto e misure adottate

Cos'è un "incidente significativo"? La direttiva lo definisce come un incidente che causa o può causare una grave perturbazione operativa o perdite finanziarie per il soggetto, oppure che ha interessato o può interessare altre persone causando danni considerevoli.

Non ogni anomalia è un incidente significativo da notificare. Ma in caso di dubbio, è meglio notificare: omettere una notifica obbligatoria è più rischioso di inviarne una non necessaria.

L'Art. 23 non richiede solo di notificare: richiede di documentare. La sequenza preallarme → notifica completa → relazione finale deve essere ricostruibile in qualsiasi momento, con date, decisioni prese e responsabili. La parte operativa — come si reagisce nelle prime ore, come si costruisce il fascicolo dell'incidente — è trattata nella risorsa dedicata all'incident response.

Come prepararsi all'audit ACN

La NIS2 non è solo un obbligo di fare cose: è un obbligo di dimostrare di aver fatto quelle cose. L'ACN ha poteri di ispezione e audit nei confronti dei soggetti NIS2. Può avviare controlli su base programmatica o in seguito a un incidente.

La domanda da porsi ora — prima dell'ispezione — è: se l'ACN bussasse domani, cosa potresti mostrare?

Cosa può fare l'ACN in un'ispezione

Il D.Lgs. 138/2024 attribuisce all'ACN poteri ispettivi che includono:

  • Richiesta di documentazione e informazioni
  • Ispezioni in loco
  • Audit di sicurezza (anche tramite soggetti terzi)
  • Scansioni di sicurezza e vulnerability assessment
  • Richiesta di azioni correttive con scadenze precise

In caso di non conformità grave o ripetuta, l'ACN può irrogare sanzioni amministrative, disporre la sospensione temporanea di servizi o — per i dirigenti — vietare l'esercizio di funzioni manageriali.

La documentazione: le 6 aree

La compliance NIS2 si dimostra con documenti, non con intenzioni. Organizza la documentazione seguendo le 6 aree dell'Art. 21.

1. Governance e politiche di sicurezza

  • Politica di sicurezza informatica approvata (con data di approvazione e firma del management)
  • Verbale di approvazione del CDA o dell'organo di gestione
  • Organigramma della sicurezza (chi è responsabile di cosa)
  • Designazione della figura NIS2 (se prevista)
  • Registro dell'avvenuta registrazione sulla piattaforma ACN

2. Gestione del rischio

  • Registro dei rischi informatici aggiornato
  • Risultati del risk assessment periodico
  • Piano di trattamento dei rischi con priorità e scadenze
  • Registro degli asset (sistemi, applicazioni, dati sensibili)

3. Sicurezza operativa

  • Policy di gestione degli accessi e delle identità
  • Procedura di patch management
  • Log di configurazione dei sistemi critici
  • Risultati di vulnerability assessment o penetration test recenti (se effettuati)
  • Documentazione del monitoraggio della sicurezza

4. Gestione degli incidenti

  • Procedura di gestione degli incidenti documentata
  • Registro degli incidenti (anche quelli minori)
  • Eventuali notifiche all'ACN e relative risposte
  • Prova dei test delle procedure di risposta (esercitazioni, tabletop exercise)

5. Continuità operativa

  • Business Continuity Plan (BCP) approvato
  • Documentazione dei backup (policy, frequenza, verifica)
  • Risultati degli ultimi test di ripristino
  • Piano di disaster recovery
  • RTO e RPO definiti per i sistemi critici

6. Formazione del personale

Questa è l'area più facilmente verificabile in un'ispezione. L'ispettore chiederà:

  • Chi ha fatto formazione, quando e su quali argomenti
  • Le evidenze individuali di completamento
  • Il registro dei completamenti (chi, quando, esito)
  • La prova che la formazione del management è avvenuta (Art. 20)

Se queste evidenze esistono ma sono sparse tra fogli Excel, mailbox e cartelle condivise, in fase di ispezione si trasformano in un problema. Un Evidence Vault che le tiene insieme, datate e con un audit trail tracciabile, è la differenza tra "ecco la documentazione" e "la stiamo ricostruendo".

Come organizzare la documentazione: il fascicolo NIS2

La pratica più efficiente è mantenere un fascicolo NIS2 — una cartella (fisica o digitale) che contiene tutta la documentazione di compliance, organizzata per area, con un indice e le date di aggiornamento.

Il fascicolo dovrebbe essere:

  • Aggiornato almeno annualmente (o dopo ogni modifica significativa)
  • Accessibile al responsabile della sicurezza e al management
  • Coerente — i diversi documenti non devono contraddirsi

Il self-assessment come strumento di preparazione

Prima di un'ispezione formale, condurre un self-assessment strutturato aiuta a identificare i gap. Il Check NIS2 gratuito di Comprova copre le 6 aree con domande specifiche e fornisce un report con il punteggio per area e le priorità di intervento.

Cosa fare se trovi dei gap

La scoperta di un gap non è una catastrofe — è informazione utile. L'importante è:

  1. Documentare il gap (sai dov'è il problema)
  2. Avere un piano di remediation con scadenze realistiche
  3. Aggiornare il piano di trattamento dei rischi

Un'organizzazione che ha identificato i propri gap e sta lavorando attivamente per chiuderli è in una posizione molto migliore, dal punto di vista regolatorio, rispetto a una che non ha mai fatto una valutazione.

Sicurezza della catena di fornitura

Uno degli aspetti meno discussi della NIS2 è quello che riguarda la catena di fornitura. L'Art. 21, punto (d) della direttiva richiede alle organizzazioni soggette di adottare misure per la sicurezza della supply chain, incluse le relazioni con fornitori e prestatori di servizi.

In pratica: non basta mettere in sicurezza la propria organizzazione. Bisogna anche valutare i rischi che provengono da chi lavora con te.

Perché la supply chain è un vettore di attacco

Negli ultimi anni, alcune delle violazioni più significative non hanno colpito l'obiettivo finale direttamente, ma attraverso un fornitore o un subappaltatore con misure di sicurezza più deboli.

Il meccanismo è semplice: un criminale identifica un fornitore di software, servizi IT o altri servizi che ha accesso ai sistemi del bersaglio. Compromette il fornitore — che spesso è una PMI con meno risorse per la sicurezza — e da lì accede all'obiettivo principale. Questo tipo di attacco è noto come supply chain attack o attacco alla catena di fornitura.

Cosa prevede la NIS2 sulla supply chain

L'Art. 21, punto (d) richiede che le organizzazioni soggette implementino misure di sicurezza relative a:

sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o prestatori di servizi

Questo significa che un'organizzazione NIS2 deve:

  1. Identificare i fornitori critici — quelli con accesso a sistemi, dati o infrastrutture sensibili
  2. Valutare il loro livello di sicurezza — attraverso questionari, audit o richiesta di certificazioni
  3. Inserire requisiti di sicurezza nei contratti — con clausole che impongano standard minimi e obblighi di notifica in caso di incidente
  4. Monitorare nel tempo — la valutazione non è un'attività una-tantum

Chi è "fornitore critico"?

Non tutti i fornitori richiedono lo stesso livello di attenzione. Una priorità ragionevole per una PMI:

Priorità alta (accesso diretto a sistemi o dati):

  • Fornitori di software gestionale, ERP, CRM
  • Provider di cloud e infrastruttura
  • Fornitori di servizi IT gestiti (MSP)
  • Consulenti con accesso remoto ai sistemi
  • Fornitori di servizi di sicurezza (antivirus, SOC)

Priorità media (accesso indiretto o limitato):

  • Fornitori con accesso alla rete aziendale
  • Servizi SaaS con integrazione dati
  • Società di manutenzione di impianti connessi

Priorità bassa (nessun accesso ai sistemi):

  • Fornitori di beni fisici senza componente digitale
  • Servizi generali (pulizie, catering)

Come valutare la sicurezza di un fornitore

Per una PMI, un approccio pragmatico è basato su tre livelli.

Livello 1: Questionario di autovalutazione. Per i fornitori di priorità media, un questionario di 10-15 domande è sufficiente come baseline:

  • Hanno una politica di sicurezza informatica documentata?
  • Formano i loro dipendenti in materia di sicurezza?
  • Hanno un processo per la gestione degli incidenti?
  • Usano l'autenticazione a più fattori per gli accessi ai sistemi?
  • Notificano i clienti in caso di violazione dei dati?

Livello 2: Verifica documentale. Per i fornitori critici, richiedere documentazione:

  • Certificazioni (ISO 27001, SOC 2) — se disponibili
  • Policy di sicurezza
  • Risultati di penetration test recenti
  • Procedure di incident response

Livello 3: Clausole contrattuali. Indipendentemente dal livello, i contratti con fornitori critici dovrebbero includere:

  • Obbligo di rispettare standard minimi di sicurezza
  • Obbligo di notifica entro un termine definito in caso di incidente che coinvolga i tuoi dati
  • Diritto di audit (anche solo documentale)
  • Responsabilità in caso di violazione causata dal fornitore

La posizione delle PMI: obbligato o obbligante?

Una situazione comune per le PMI italiane: non essere direttamente soggette alla NIS2 (per dimensione o settore), ma lavorare con clienti che lo sono.

In questo caso, il cliente — in quanto soggetto NIS2 — ha l'obbligo di valutare la sicurezza della propria supply chain. Il che significa che la tua azienda sarà valutata dai tuoi clienti NIS2. Se non passi la valutazione, rischi di essere escluso come fornitore.

Investire in sicurezza informatica e formazione non è solo un obbligo normativo: è un vantaggio competitivo nelle trattative commerciali con clienti soggetti NIS2.

Il registro dei fornitori critici

Un buon punto di partenza è creare e mantenere un registro dei fornitori critici, con:

  • Nome del fornitore e servizio fornito
  • Tipo di accesso ai sistemi/dati
  • Data dell'ultima valutazione
  • Esito della valutazione
  • Clausole contrattuali di sicurezza presenti (sì/no)

Questo registro diventa parte della documentazione di compliance NIS2 dell'organizzazione e va tenuto vivo: la valutazione di un fornitore fatta due anni fa, senza aggiornamenti, in audit non vale come prova.

Checklist dei 20 controlli da verificare

Una checklist operativa per verificare cosa hai già e cosa manca prima di fine anno. Per ogni voce non soddisfatta, la priorità si stabilisce in base all'impatto e alla verificabilità in un'ispezione ACN: governance e formazione sono le aree generalmente più controllate, e sono anche quelle dove l'assenza di documentazione è più visibile.

Governance e organizzazione

  • Registrazione ACN completata — l'organizzazione è registrata sulla piattaforma ACN come soggetto NIS2.
  • Politica di sicurezza informatica approvata — esiste un documento di policy approvato formalmente dal management, non solo redatto dall'IT.
  • Verbale di approvazione CDA — c'è traccia che gli organi di gestione hanno approvato le misure di sicurezza NIS2.
  • Figura NIS2 designata — è chiaro chi è responsabile della compliance e chi è il punto di contatto con l'ACN.

Formazione del personale (Art. 20 e 21.g)

  • Programma di formazione attivo — la formazione avviene regolarmente, non solo come corso una-tantum.
  • Registro dei completamenti — esiste traccia di chi ha completato cosa e quando, con timestamp.
  • Evidenze individuali di completamento — ogni dipendente che ha completato il percorso ha un'evidenza datata e archiviata.
  • Formazione management (Art. 20) — CDA e dirigenti hanno completato un percorso formativo separato, con evidenza che fa riferimento all'Art. 20 NIS2.

Sicurezza operativa

  • MFA attiva sugli accessi critici — autenticazione a più fattori abilitata su email aziendale, VPN, accessi remoti e applicativi gestionali.
  • Policy di gestione delle password — esiste e viene applicata una policy che vieta password deboli o riutilizzate, preferibilmente con un password manager aziendale.
  • Patch management — i sistemi operativi e le applicazioni critiche ricevono aggiornamenti di sicurezza entro tempi definiti.
  • Accessi privilegiati limitati — il principio del minimo privilegio è applicato: ognuno accede solo a quello che serve per il proprio ruolo.

Gestione del rischio

  • Risk assessment documentato — è stato condotto un assessment formale dei rischi informatici nell'ultimo anno, con registro dei rischi e piano di trattamento.
  • Registro degli asset — esiste un inventario dei sistemi, applicazioni e dati sensibili dell'organizzazione.
  • Valutazione dei fornitori critici — i fornitori con accesso ai sistemi sono stati identificati e valutati sotto il profilo della sicurezza.

Gestione degli incidenti

  • Procedura di incident response — esiste una procedura scritta che definisce chi fa cosa in caso di incidente, inclusa la notifica all'ACN.
  • Contatti ACN salvati — i riferimenti per la notifica all'ACN sono noti e accessibili senza doverli cercare durante un'emergenza.
  • Registro degli incidenti — vengono documentati gli incidenti, anche quelli minori, con data, tipo, impatto e misure adottate.

Continuità operativa

  • Backup funzionanti e testati — i backup esistono, sono isolati dalla rete principale e sono stati ripristinati con successo in un test recente.
  • BCP approvato — esiste un Business Continuity Plan formale, approvato dal management, con RTO e RPO definiti per i sistemi critici.

La compliance NIS2 non è un progetto con una data di fine: l'obiettivo di fine anno non è la perfezione, ma una visione chiara di dove si è arrivati e di cosa va chiuso entro Q1.