Con l'entrata in vigore della direttiva NIS2 e il rafforzamento delle normative sulla cybersecurity, gli audit di sicurezza informatica non sono più un lusso riservato alle grandi aziende: sono una necessità per qualsiasi impresa che voglia proteggere il proprio business e dimostrare la conformità normativa. Ma come ci si prepara concretamente a un audit? Cosa controllano gli auditor? Quali errori fanno bocciare la verifica? In questa guida rispondiamo a tutte queste domande con una checklist operativa e un piano d'azione in 6 step.
I Tipi di Audit di Sicurezza Informatica
Non tutti gli audit sono uguali. Comprendere le differenze è fondamentale per prepararsi in modo adeguato e allocare il budget correttamente. Ecco le principali tipologie:
Audit Interno
Condotto dal team IT interno o da un consulente incaricato dall’azienda. Serve come autovalutazione preparatoria. Non ha valore certificativo ma è essenziale per identificare i gap prima di un audit formale. Frequenza consigliata: semestrale.
Costo: 3.000-8.000 €
Audit Esterno Indipendente
Condotto da un ente terzo qualificato. Richiesto per certificazioni ISO 27001, conformità NIS2 (su richiesta ACN) e da molti clienti enterprise come prerequisito contrattuale. Ha valore legale e probatorio.
Costo: 10.000-30.000 €
Vulnerability Assessment
Scansione automatizzata e semi-automatizzata dei sistemi per identificare vulnerabilità note. Include rete interna, esterna, applicazioni web e endpoint. Rapido e relativamente economico. Frequenza: trimestrale.
Costo: 3.000-8.000 € per sessione
Penetration Test
Un ethical hacker tenta attivamente di violare i sistemi aziendali per verificare la resistenza reale. Include social engineering, exploitation e lateral movement. Il test più approfondito e realistico. Frequenza: annuale.
Costo: 5.000-15.000 €
Per la conformità NIS2, i soggetti essenziali sono sottoposti ad audit proattivi e sistematici da parte dell'ACN, mentre i soggetti importanti sono soggetti ad audit reattivi (su segnalazione o dopo un incidente). In entrambi i casi, essere preparati fa la differenza tra una verifica superata senza problemi e sanzioni potenzialmente devastanti.
Cosa Controllano gli Auditor: Checklist 15 Punti
Indipendentemente dalla tipologia di audit, gli auditor verificano un insieme di controlli fondamentali. Ecco i 15 punti chiave che ogni azienda deve avere in ordine:
Policy di sicurezza informatica documentata e approvata dal CDA
Inventario completo e aggiornato di tutti gli asset IT (hardware, software, dati)
Gestione delle identità e degli accessi: MFA, principio del minimo privilegio, revisione periodica
Patch management: evidenza di aggiornamenti tempestivi (< 72h per critiche)
Protezione endpoint: EDR/antivirus enterprise su tutti i dispositivi gestiti
Segmentazione della rete: VLAN, firewall interni, separazione IT/OT
Cifratura dei dati at rest e in transit con algoritmi aggiornati
Backup: regola 3-2-1-1-0, test di ripristino documentati, immutabilità
Piano di Incident Response documentato e testato (tabletop exercise)
Logging centralizzato: SIEM o log management con retention ≥ 12 mesi
Formazione cybersecurity: registro partecipazione, simulazioni phishing, training CDA
Gestione fornitori: valutazione sicurezza, clausole contrattuali, monitoraggio
Business Continuity Plan e Disaster Recovery Plan testati
Vulnerability assessment periodici con report e remediation tracking
Conformità normativa: registrazione ACN (NIS2), registro trattamenti (GDPR), certificazioni
Se la tua azienda non soddisfa almeno 10 di questi 15 punti, è improbabile che superi un audit di conformità NIS2. La buona notizia è che la maggior parte di questi controlli sono implementabili in 3-6 mesi con il giusto supporto. Per i dettagli tecnici su come implementare ciascun punto, consulta la nostra checklist dei requisiti tecnici NIS2.
Come Prepararsi in 6 Step: Il Piano d'Azione
Prepararsi a un audit richiede metodo. Ecco il percorso in 6 fasi che consigliamo ai nostri clienti:
Definire l’ambito dell’audit
Prima di tutto, chiarisci cosa verrà auditato: quali sistemi, quali sedi, quali processi. Per un audit NIS2, l’ambito include tutta l’infrastruttura IT, le procedure organizzative e la supply chain. Per ISO 27001, puoi delimitare lo scope a specifici processi o sedi. Concordare l’ambito con l’auditor in anticipo evita sorprese.
Timeline: 1-2 settimane
Condurre una gap analysis interna
Usa la checklist dei 15 punti come punto di partenza. Per ciascun controllo, valuta: è implementato? È documentato? È aggiornato? Assegna un punteggio (conforme / parzialmente conforme / non conforme). Questo ti dà una mappa precisa delle aree di intervento. BullTech offre questo servizio come assessment gratuito.
Timeline: 2-4 settimane
Creare il piano di remediation
Per ogni gap identificato, definisci: azione correttiva, responsabile, deadline, budget necessario. Prioritizza le non conformità critiche (quelle che da sole possono far fallire l’audit). Coinvolgi il CDA per l’approvazione del budget: la NIS2 richiede esplicitamente il loro coinvolgimento.
Timeline: 1-2 settimane
Implementare le misure correttive
Questa è la fase più lunga e impegnativa. Implementa i controlli tecnici (MFA, backup, segmentazione rete, patching), scrivi le policy mancanti, avvia la formazione del personale. Per un MSP come BullTech, molte di queste attività possono essere eseguite in parallelo con tempi significativamente ridotti.
Timeline: 2-4 mesi
Preparare la documentazione
Gli auditor vogliono evidenze. Prepara: policy di sicurezza firmate, registro asset aggiornato, log degli incidenti, report di VA/pentest, registri di formazione con firme, contratti con i fornitori con clausole di sicurezza, procedure di backup con log di test, piano di incident response con verbali delle esercitazioni.
Timeline: 2-3 settimane
Eseguire un pre-audit interno
Prima dell’audit formale, fai una simulazione interna. Percorri la checklist come farebbe l’auditor. Verifica che la documentazione sia completa e accessibile. Prepara il team per le interviste: gli auditor parlano con IT, management, HR e utenti finali. Correggi le ultime lacune.
Timeline: 1-2 settimane
I 7 Errori che Fanno Bocciare l'Audit
Dall'esperienza con decine di audit nelle aziende clienti, ecco gli errori più comuni che portano a non conformità:
Documentazione inesistente o non aggiornata
L’errore più frequente. Avere i controlli tecnici ma non documentarli equivale a non averli. Gli auditor lavorano sulle evidenze scritte.
Policy di sicurezza generiche copiate da internet
Gli auditor riconoscono immediatamente le policy template non personalizzate. Ogni policy deve riflettere la realtà specifica dell’azienda.
Backup non testati
Avere il backup non basta: servono log mensili di test di ripristino riusciti. Un backup mai testato è come non averlo.
MFA non implementato sugli accessi amministrativi
Nel 2026 è un requisito non negoziabile. Account admin senza MFA è una non conformità critica automatica.
Nessun registro degli incidenti
Anche se non ci sono stati incidenti gravi, serve un registro che lo documenti. L’assenza del registro suggerisce che l’azienda non monitora.
Formazione non documentata
Il training è avvenuto ma non ci sono registri di partecipazione, test di verifica o certificati. Per la NIS2, la formazione del CDA deve essere esplicitamente documentata.
Supply chain non valutata
Nessuna valutazione dei fornitori IT, nessuna clausola contrattuale di sicurezza. Con la NIS2, la supply chain security è un requisito esplicito.
Tempistiche e Costi: Quanto Serve per Prepararsi
La preparazione a un audit non è un'attività dell'ultimo minuto. Ecco le tempistiche realistiche per una PMI da 50-250 dipendenti:
| Fase | Durata | Costo indicativo |
|---|---|---|
| Gap analysis iniziale | 2-4 settimane | 3.000-8.000 € |
| Piano di remediation | 1-2 settimane | Incluso nella gap analysis |
| Implementazione tecnica | 2-4 mesi | 15.000-50.000 € |
| Documentazione e policy | 2-3 settimane | 3.000-8.000 € |
| Pre-audit interno | 1-2 settimane | 2.000-5.000 € |
| Audit formale esterno | 1-2 settimane | 10.000-30.000 € |
| TOTALE | 3-6 mesi | 33.000-101.000 \u20ac |
Non aspettare l'ultimo momento
Con le scadenze NIS2 già attive e l'ACN che inizierà le verifiche nel 2027, le aziende che iniziano a prepararsi ora avranno un vantaggio significativo. Quelle che aspettano rischiano di dover affrontare un audit senza preparazione, con conseguenze sanzionatorie serie.
Quando Serve un Partner Esterno
Alcune aziende hanno le competenze interne per gestire la preparazione all'audit autonomamente. Per la maggior parte delle PMI italiane, però, un partner esterno specializzato fa la differenza. Ecco quando è particolarmente consigliabile:
- Team IT ridotto (meno di 3 persone): non hanno il tempo né le competenze per gestire compliance, implementazione e operatività quotidiana simultaneamente
- Prima esperienza con audit formali: un partner esperto sa esattamente cosa cercano gli auditor e come presentare le evidenze
- Infrastruttura legacy: sistemi datati richiedono competenze specialistiche per l'hardening e la messa in sicurezza
- Obbligo NIS2: la direttiva NIS2 richiede competenze specifiche in incident response, supply chain security e governance cyber
- Clienti enterprise: se i tuoi clienti richiedono certificazioni o evidenze di audit come prerequisito contrattuale
Come BullTech Ti Prepara all'Audit
BullTech Informatica offre un servizio completo di preparazione all'audit di sicurezza informatica. Il nostro approccio si basa su anni di esperienza con PMI lombarde:
Assessment Gratuito
Valutiamo gratuitamente la tua postura di sicurezza con la checklist 15 punti e identifichiamo i gap prioritari.
Gap Analysis e Remediation
Piano d’azione dettagliato con priorità, costi e timeline. Implementazione di tutte le misure tecniche e organizzative.
Documentazione Completa
Scriviamo e manteniamo aggiornate tutte le policy, procedure e registri richiesti dagli auditor. Pronte per l’ispezione.
Supporto Durante l’Audit
Affianchiamo il tuo team durante l’audit, rispondendo alle domande tecniche e fornendo le evidenze necessarie.
Dalle reti aziendali alla consulenza GDPR, dal SOC/MDR alla formazione cybersecurity, BullTech copre tutti gli aspetti che un audit di sicurezza verifica. Con un unico partner, elimini la complessità di coordinare più fornitori e hai un interlocutore unico responsabile della tua compliance.
Domande Frequenti sull'Audit di Sicurezza
Quanto costa un audit di sicurezza informatica?
I costi variano significativamente in base all’ambito e alla tipologia. Un vulnerability assessment base per una PMI costa tra 3.000 e 8.000 euro. Un penetration test completo tra 5.000 e 15.000 euro. Un audit di conformità NIS2 o ISO 27001 completo può costare tra 10.000 e 30.000 euro, a seconda della complessità dell’organizzazione. BullTech offre un assessment iniziale gratuito per stimare i costi specifici.
Ogni quanto bisogna fare un audit di sicurezza?
La frequenza dipende dal framework normativo e dal livello di rischio. Come minimo: vulnerability assessment trimestrali, penetration test annuali, audit di conformità completi ogni 2-3 anni (o annuali se richiesto dalla certificazione). La NIS2 prevede che l’ACN possa richiedere audit in qualsiasi momento per i soggetti essenziali. Dopo un incidente significativo, è sempre consigliabile un audit straordinario.
Qual è la differenza tra vulnerability assessment e penetration test?
Il vulnerability assessment è una scansione automatizzata che identifica vulnerabilità note nei sistemi (porte aperte, software non aggiornato, configurazioni errate). Il penetration test va oltre: un ethical hacker tenta attivamente di sfruttare le vulnerabilità per verificare l’impatto reale. Il VA è più economico e frequente (trimestrale), il pentest è più approfondito e meno frequente (annuale).
Posso fare un audit di sicurezza internamente?
Un audit interno è utile come preparazione, ma per la conformità NIS2 e ISO 27001 servono audit indipendenti condotti da soggetti terzi qualificati. L’ACN può imporre audit esterni a spese dell’azienda. L’approccio migliore è combinare audit interni periodici (semestrali) con audit esterni formali (annuali o biennali). BullTech può supportare entrambe le modalità.
Cosa succede se l’audit evidenzia non conformità gravi?
Se l’audit è volontario, le non conformità vengono documentate e l’azienda ha tempo per correggerle (tipicamente 30-90 giorni per le critiche). Se l’audit è imposto dall’ACN nell’ambito NIS2, le non conformità gravi possono generare sanzioni immediate, ordini vincolanti di remediation con scadenze perentorie, e nei casi più gravi, la sospensione di certificazioni o funzioni dirigenziali.