Ti hanno detto che devi fare un audit di sicurezza informatica e non sai da dove partire? Sei in buona compagnia. Con la direttiva NIS2 ormai in vigore, queste verifiche non sono più una cosa da grandi aziende: riguardano anche le PMI. Ma cosa controllano esattamente gli auditor? Cosa ti fa passare la verifica e cosa ti fa bocciare? In questa guida trovi una checklist operativa da 15 punti e un piano d'azione in 6 step per arrivare preparato.
I Tipi di Audit di Sicurezza Informatica
Non tutti gli audit sono uguali. Capire le differenze ti aiuta a prepararti nel modo giusto e spendere il budget dove serve. Ecco le principali tipologie:
Audit Interno
Lo fa il tuo team IT o un consulente che tu scegli. Serve come autovalutazione per capire dove sei. Non ha valore di certificazione, ma è essenziale per scoprire i buchi prima che li trovi qualcun altro. Frequenza consigliata: ogni 6 mesi.
Costo: 3.000-8.000 €
Audit Esterno Indipendente
Lo fa un ente terzo qualificato. Serve per ottenere certificazioni come ISO 27001, per la conformità NIS2 (se l'ACN lo richiede) e spesso è un requisito che ti chiedono i clienti grandi. Ha valore legale.
Costo: 10.000-30.000 €
Vulnerability Assessment
Una scansione automatizzata dei tuoi sistemi per trovare vulnerabilità note: porte aperte, software non aggiornato, configurazioni sbagliate. Copre rete interna, esterna, siti web e PC. Rapido e relativamente economico. Frequenza: trimestrale.
Costo: 3.000-8.000 € per sessione
Penetration Test
Un hacker etico prova davvero a bucare i tuoi sistemi per vedere se ci riesce. Include tentativi di inganno ai dipendenti, sfruttamento di falle e movimento dentro la rete. È il test più approfondito e realistico. Frequenza: annuale.
Costo: 5.000-15.000 €
Per la conformità NIS2, i soggetti essenziali sono sottoposti ad audit proattivi e sistematici da parte dell'ACN, mentre i soggetti importanti sono soggetti ad audit reattivi (su segnalazione o dopo un incidente). In entrambi i casi, essere preparati fa la differenza tra una verifica superata senza problemi e sanzioni potenzialmente devastanti.
Cosa Controllano gli Auditor: Checklist 15 Punti
Indipendentemente dalla tipologia di audit, gli auditor verificano un insieme di controlli fondamentali. Ecco i 15 punti chiave che ogni azienda deve avere in ordine:
Policy di sicurezza informatica documentata e approvata dal CDA
Inventario completo e aggiornato di tutti gli asset IT (hardware, software, dati)
Gestione delle identità e degli accessi: MFA, principio del minimo privilegio, revisione periodica
Patch management: evidenza di aggiornamenti tempestivi (< 72h per critiche)
Protezione endpoint: EDR/antivirus enterprise su tutti i dispositivi gestiti
Segmentazione della rete: VLAN, firewall interni, separazione IT/OT
Cifratura dei dati at rest e in transit con algoritmi aggiornati
Backup: regola 3-2-1-1-0, test di ripristino documentati, immutabilità
Piano di Incident Response documentato e testato (tabletop exercise)
Logging centralizzato: SIEM o log management con retention ≥ 12 mesi
Formazione cybersecurity: registro partecipazione, simulazioni phishing, training CDA
Gestione fornitori: valutazione sicurezza, clausole contrattuali, monitoraggio
Business Continuity Plan e Disaster Recovery Plan testati
Vulnerability assessment periodici con report e remediation tracking
Conformità normativa: registrazione ACN (NIS2), registro trattamenti (GDPR), certificazioni
Se la tua azienda non soddisfa almeno 10 di questi 15 punti, è molto difficile che passi un audit NIS2. La buona notizia? La maggior parte di questi controlli si può mettere in piedi in 3-6 mesi con il supporto giusto. Per i dettagli tecnici su come attivare ciascun punto, guarda la nostra checklist dei requisiti tecnici NIS2.
Come Prepararsi in 6 Step: Il Piano d'Azione
Prepararsi a un audit richiede metodo. Ecco il percorso in 6 fasi che seguiamo con i nostri clienti:
Definire l'ambito dell'audit
Prima di tutto, chiarisci cosa verrà controllato: quali sistemi, quali sedi, quali processi. Per un audit NIS2, l'ambito include tutti i tuoi server, PC e rete, le procedure organizzative e i fornitori. Per ISO 27001, puoi limitare il perimetro a specifici processi o sedi. Concordare l'ambito con l'auditor in anticipo evita brutte sorprese.
Timeline: 1-2 settimane
Condurre una gap analysis interna
Usa la checklist dei 15 punti come punto di partenza. Per ciascun controllo, chiediti: è attivo? È documentato? È aggiornato? Segna un punteggio (conforme / parzialmente conforme / non conforme). Così hai una mappa chiara di dove intervenire. BullTech fa questo checkup gratuitamente.
Timeline: 2-4 settimane
Creare il piano di remediation
Per ogni gap identificato, definisci: azione correttiva, responsabile, deadline, budget necessario. Prioritizza le non conformità critiche (quelle che da sole possono far fallire l'audit). Coinvolgi il CDA per l'approvazione del budget: la NIS2 richiede esplicitamente il loro coinvolgimento.
Timeline: 1-2 settimane
Attivare le misure correttive
Questa è la fase più lunga e impegnativa. Attiva i controlli tecnici (MFA, backup, segmentazione rete, aggiornamenti), scrivi le policy mancanti, avvia la formazione del personale. Con un MSP come BullTech, molte di queste attività si fanno in parallelo, accorciando parecchio i tempi.
Timeline: 2-4 mesi
Preparare la documentazione
Gli auditor vogliono evidenze. Prepara: policy di sicurezza firmate, registro asset aggiornato, log degli incidenti, report di VA/pentest, registri di formazione con firme, contratti con i fornitori con clausole di sicurezza, procedure di backup con log di test, piano di incident response con verbali delle esercitazioni.
Timeline: 2-3 settimane
Eseguire un pre-audit interno
Prima dell'audit formale, fai una simulazione interna. Percorri la checklist come farebbe l'auditor. Verifica che la documentazione sia completa e accessibile. Prepara il team per le interviste: gli auditor parlano con IT, management, HR e utenti finali. Correggi le ultime lacune.
Timeline: 1-2 settimane
I 7 Errori che Fanno Bocciare l'Audit
In anni di audit con i nostri clienti, abbiamo visto ripetersi sempre gli stessi errori. Ecco quelli che fanno bocciare più spesso:
Documentazione inesistente o non aggiornata
L'errore più frequente. Avere i controlli tecnici ma non documentarli equivale a non averli. Gli auditor lavorano sulle evidenze scritte.
Policy di sicurezza generiche copiate da internet
Gli auditor riconoscono immediatamente le policy template non personalizzate. Ogni policy deve riflettere la realtà specifica dell'azienda.
Backup non testati
Avere il backup non basta: servono log mensili di test di ripristino riusciti. Un backup mai testato è come non averlo.
MFA non attivato sugli accessi amministrativi
Nel 2026 è un requisito non negoziabile. Un account admin senza MFA (autenticazione a due fattori) è bocciatura automatica.
Nessun registro degli incidenti
Anche se non ci sono stati incidenti gravi, serve un registro che lo documenti. L'assenza del registro suggerisce che l'azienda non monitora.
Formazione non documentata
Il training è avvenuto ma non ci sono registri di partecipazione, test di verifica o certificati. Per la NIS2, la formazione del CDA deve essere esplicitamente documentata.
Supply chain non valutata
Nessuna valutazione dei fornitori IT, nessuna clausola contrattuale di sicurezza. Con la NIS2, la supply chain security è un requisito esplicito.
Tempistiche e Costi: Quanto Serve per Prepararsi
Prepararsi a un audit non è roba dell'ultimo minuto. Ecco le tempistiche realistiche per una PMI da 50-250 dipendenti:
| Fase | Durata | Costo indicativo |
|---|---|---|
| Gap analysis iniziale | 2-4 settimane | 3.000-8.000 € |
| Piano di remediation | 1-2 settimane | Incluso nella gap analysis |
| Implementazione tecnica | 2-4 mesi | 15.000-50.000 € |
| Documentazione e policy | 2-3 settimane | 3.000-8.000 € |
| Pre-audit interno | 1-2 settimane | 2.000-5.000 € |
| Audit formale esterno | 1-2 settimane | 10.000-30.000 € |
| TOTALE | 3-6 mesi | 33.000-101.000 € |
Non aspettare l'ultimo momento
Con le scadenze NIS2 già attive e l'ACN che inizierà le verifiche nel 2027, le aziende che iniziano a prepararsi ora avranno un vantaggio significativo. Quelle che aspettano rischiano di dover affrontare un audit senza preparazione, con conseguenze sanzionatorie serie.
Quando Serve un Partner Esterno
Alcune aziende ce la fanno da sole. Per la maggior parte delle PMI italiane, però, avere qualcuno di specializzato al fianco fa una differenza enorme. Ecco quando conviene davvero:
- Team IT ridotto (meno di 3 persone): non hanno il tempo né le competenze per gestire compliance, configurazioni e lavoro quotidiano tutto insieme
- Prima esperienza con audit formali: qualcuno che li ha già fatti sa esattamente cosa cercano gli auditor e come presentare le evidenze
- Sistemi datati: server e software vecchi richiedono competenze specifiche per la messa in sicurezza
- Obbligo NIS2: la direttiva NIS2 richiede competenze specifiche in incident response, supply chain security e governance cyber
- Clienti enterprise: se i tuoi clienti richiedono certificazioni o evidenze di audit come prerequisito contrattuale
Come BullTech Ti Prepara all'Audit
BullTech Informatica ti accompagna nella preparazione all'audit di sicurezza informatica, dall'inizio alla fine. Lo facciamo da anni con PMI in Lombardia, e sappiamo cosa funziona:
Checkup Gratuito
Controlliamo gratuitamente il tuo livello di sicurezza con la checklist 15 punti e ti diciamo dove intervenire per primo.
Analisi dei Gap e Correzione
Piano d'azione dettagliato con priorità, costi e tempi. Ci occupiamo noi di attivare tutte le misure tecniche e organizzative.
Documentazione Completa
Scriviamo e manteniamo aggiornate tutte le policy, procedure e registri richiesti dagli auditor. Pronte per l'ispezione.
Supporto Durante l'Audit
Affianchiamo il tuo team durante l'audit, rispondendo alle domande tecniche e fornendo le evidenze necessarie.
Dalle reti aziendali alla consulenza GDPR, dal SOC/MDR alla formazione cybersecurity, BullTech copre tutti gli aspetti che un audit di sicurezza verifica. Con un unico referente, eviti il caos di coordinare più fornitori e hai una sola persona responsabile della tua compliance.
Domande Frequenti sull'Audit di Sicurezza
Quanto costa un audit di sicurezza informatica?
Dipende molto da cosa devi fare. Un vulnerability assessment base per una PMI costa tra 3.000 e 8.000 euro. Un penetration test completo tra 5.000 e 15.000 euro. Un audit di conformità NIS2 o ISO 27001 completo può andare dai 10.000 ai 30.000 euro, in base alla complessità della tua azienda. BullTech fa un checkup iniziale gratuito per darti un preventivo preciso.
Ogni quanto bisogna fare un audit di sicurezza?
Dipende dalle normative che ti riguardano e dal livello di rischio. Come minimo: vulnerability assessment ogni 3 mesi, penetration test una volta l'anno, audit di conformità completi ogni 2-3 anni (o ogni anno se lo richiede la certificazione). La NIS2 prevede che l'ACN possa chiederti un audit in qualsiasi momento se sei un soggetto essenziale. Dopo un incidente serio, meglio farne uno extra.
Qual è la differenza tra vulnerability assessment e penetration test?
Il vulnerability assessment è una scansione automatica che trova le falle note nei tuoi sistemi (porte aperte, software non aggiornato, configurazioni sbagliate). Il penetration test va oltre: un hacker etico prova davvero a sfruttare quelle falle per vedere l'impatto reale. Il VA costa meno e si fa ogni 3 mesi; il pentest è più approfondito e si fa una volta l'anno.
Posso fare un audit di sicurezza internamente?
Un audit interno è utile per prepararti, ma per la conformità NIS2 e ISO 27001 servono audit fatti da soggetti terzi qualificati. L'ACN può imporre audit esterni a tue spese. L'ideale è combinare audit interni ogni 6 mesi con audit esterni formali ogni 1-2 anni. BullTech ti supporta in entrambi i casi.
Cosa succede se l'audit evidenzia non conformità gravi?
Se l'audit è volontario, le non conformità vengono documentate e hai tempo per correggerle (di solito 30-90 giorni per quelle critiche). Se l'audit è imposto dall'ACN nell'ambito NIS2, le non conformità gravi possono portare sanzioni immediate, ordini di correzione con scadenze tassative, e nei casi più gravi, la sospensione di certificazioni o addirittura di funzioni dirigenziali.