La Direttiva NIS2 (EU 2022/2555) si applica dal 18 ottobre 2024 a oltre 160.000 aziende europee, di cui circa 16.000 in Italia (fonte: ACN 2025). BullTech ha guidato 40+ PMI lombarde verso la compliance nel biennio 2025-2026, con un tasso di conformità del 97% al primo audit. Questa checklist in 25 punti è il risultato di quell'esperienza sul campo.
Scadenze NIS2: il tempo stringe
La registrazione sulla piattaforma ACN è scaduta il 28 febbraio 2026. Gli obblighi di governance e notifica incidenti entrano in vigore a gennaio 2027. Chi non ha ancora iniziato il percorso di adeguamento rischia sanzioni fino a 10 milioni di euro o il 2% del fatturato.
Come Usare Questa Checklist NIS2
Abbiamo organizzato i 25 punti in 5 aree tematiche che seguono la logica del NIST Cybersecurity Framework: Governance, Protezione, Rilevamento, Risposta e Compliance. Per ogni punto trovi:
- Cosa fare — in concreto, senza giri di parole
- Costo stimato — range realistico per PMI 20-100 dipendenti
- Link al servizio BullTech — se vuoi farci gestire quel punto
Parti dall'area A (Governance) e procedi in ordine. Se hai già coperto alcuni punti, spuntali e concentrati su quelli mancanti. Per una versione personalizzata basata sulla tua infrastruttura, richiedi un assessment gratuito.
Le 5 Aree della Checklist NIS2
| Area | Punti | Focus | Priorità |
|---|---|---|---|
| A. Governance | 1-5 | Organizzazione, policy, budget, risk assessment | Immediata |
| B. Protezione | 6-10 | Firewall, EDR, backup, cifratura, patching | Entro 1 mese |
| C. Rilevamento | 11-15 | SIEM, SOC/MDR, monitoring, threat intelligence | Entro 3 mesi |
| D. Risposta | 16-20 | Incident response, recovery, comunicazione ACN | Entro 3 mesi |
| E. Compliance | 21-25 | Audit, documentazione, supply chain, formazione | Entro 6 mesi |
Area A: Governance (Punti 1-5)
Nominare un responsabile sicurezza
Serve un referente interno (IT Manager, CISO) oppure un CISO as a Service esterno che coordini l'intero percorso di compliance. La NIS2 (art. 20) richiede che gli organi di gestione approvino e supervisionino le misure di sicurezza. Senza un responsabile designato, nessuno guida il processo e la compliance rimane sulla carta.
Definire le policy di sicurezza
Redigere e approvare le policy fondamentali: sicurezza informatica, uso accettabile dei dispositivi, gestione degli accessi, classificazione dei dati, BYOD, lavoro remoto. Le policy devono essere scritte in modo comprensibile, approvate dal CDA e distribuite a tutti i dipendenti. Senza policy documentate, non esiste governance.
Allocare un budget cybersecurity dedicato
La NIS2 impone misure proporzionate al rischio. Tradotto: servono soldi. Le PMI italiane investono in media l'1,5% del budget IT in sicurezza, contro il 5-10% raccomandato. Creare una voce di bilancio separata per la cybersecurity rende il CDA consapevole e la spesa pianificabile. Per una PMI da 50 dipendenti, il budget minimo realistico e 15.000-30.000 euro/anno.
Formare il CDA sui rischi cyber
L'articolo 20 della NIS2 e chiaro: gli organi di gestione devono seguire una formazione specifica in materia di cybersecurity. Non basta delegare all'IT. Il CDA deve comprendere i rischi, le misure adottate e le proprie responsabilita personali (si, anche civili e penali). Una sessione di 2-4 ore all'anno, aggiornata sulle minacce attuali.
Eseguire un risk assessment completo
Mappare asset critici, minacce, vulnerabilita e impatti con una metodologia strutturata (ISO 27005, NIST CSF). Il risk assessment e la base di tutto: senza sapere dove sei vulnerabile, non puoi proteggere niente. Include: inventario asset, analisi delle minacce per settore, valutazione delle vulnerabilita, calcolo del rischio residuo e piano di trattamento.
Area B: Protezione (Punti 6-10)
Installare firewall NGFW
Un firewall next-generation con IPS/IDS, application control, sandboxing e segmentazione VLAN. La NIS2 richiede protezione adeguata delle reti (art. 21). Noi installiamo WatchGuard Firebox con Total Security Suite: blocca il 99,7% delle minacce di rete, include URL filtering, antimalware gateway e gestione centralizzata.
Attivare EDR su tutti gli endpoint
Endpoint Detection and Response su ogni workstation e server. L'antivirus tradizionale non basta piu: nel 2025 il 68% degli attacchi ha bypassato gli antivirus basati su firme (fonte: Clusit 2026). L'EDR analizza il comportamento, rileva anomalie e risponde automaticamente. Noi gestiamo Bitdefender GravityZone con EDR e incident response integrato.
Configurare backup 3-2-1-1-0
La regola d'oro: 3 copie dei dati, su 2 supporti diversi, 1 copia offsite, 1 copia immutabile (WORM), 0 errori di ripristino verificati. La NIS2 (art. 21, comma 2c) richiede gestione dei backup e continuita operativa. Noi configuriamo Veeam con repository immutabile e test di restore mensili documentati.
Attivare la cifratura dei dati
Cifratura at rest con BitLocker (Windows) o LUKS (Linux) su tutti i dispositivi. Cifratura in transit con TLS 1.3 per tutte le comunicazioni. VPN IPsec o WireGuard per accessi remoti. L'art. 21(2)(h) richiede esplicitamente l'uso della crittografia. Gestione centralizzata delle chiavi con procedure di rotazione documentate.
Implementare patch management strutturato
Processo automatizzato: scan settimanale delle vulnerabilita, classificazione per gravita (CVSS), patch critiche applicate entro 72 ore, importanti entro 14 giorni. L'art. 21(2)(e) richiede la gestione delle vulnerabilita. Noi utilizziamo NinjaOne RMM con patch management automatizzato che copre OS, browser e applicazioni di terze parti.
Vuoi sapere a che punto sei con la NIS2?
Assessment gratuito in 30 minuti. Analizziamo la tua infrastruttura e ti diciamo quali dei 25 punti hai gia coperto e quali mancano.
Area C: Rilevamento (Punti 11-15)
Attivare SIEM o logging centralizzato
Raccolta e correlazione dei log da firewall, server, Active Directory, endpoint e applicazioni cloud. Retention minima: 12 mesi (requisito anche del Garante Privacy). Il SIEM trasforma migliaia di eventi in allarmi significativi. Per le PMI, un servizio SIEM gestito costa meno di un SIEM on-premise e non richiede personale dedicato.
Attivare monitoraggio 24/7
La NIS2 richiede capacita di rilevamento continuo degli incidenti. Nella pratica, serve un servizio SOC (Security Operations Center) o MDR (Managed Detection and Response) che monitori 24 ore su 24, 7 giorni su 7. Un team interno H24 costa 200.000+ euro/anno. Un servizio MDR esterno parte da 500 euro/mese per 50 endpoint.
Configurare alert e soglie di allerta
Definire soglie per: tentativi di accesso falliti (>5 in 10 minuti), accessi da IP sconosciuti, modifiche a gruppi AD privilegiati, malware rilevato, traffico anomalo in orari non lavorativi. Gli alert devono arrivare via email, SMS e dashboard al team di sicurezza. Senza alert configurati, il SIEM raccoglie dati che nessuno legge.
Implementare incident detection avanzato
Regole di correlazione per identificare attacchi multi-fase: movimenti laterali, privilege escalation, data exfiltration. Il tempo medio di rilevamento (MTTD) nelle PMI italiane e 197 giorni (fonte: IBM Cost of a Data Breach 2025). Con un MDR professionale si scende sotto le 4 ore. La differenza tra 197 giorni e 4 ore e la differenza tra perdere tutto e contenere l'incidente.
Integrare feed di threat intelligence
Feed di threat intelligence specifici per il settore (manifatturiero, sanita, finance) che anticipano le minacce prima che colpiscano. Include IoC (Indicators of Compromise), TTPs (Tattiche, Tecniche e Procedure degli attaccanti) e vulnerability advisories. Il servizio MDR di BullTech include threat intelligence integrata nel monitoraggio.
Area D: Risposta (Punti 16-20)
Creare un Incident Response Plan
Piano documentato con: team di risposta (chi fa cosa), procedure di contenimento (isolare il sistema compromesso), eradicazione (rimuovere la minaccia), recupero (ripristinare i sistemi) e comunicazione (chi avvisare, quando, come). Deve includere template di notifica ACN. Testare con tabletop exercise semestrali.
Designare un team di risposta incidenti
Ruoli definiti: Incident Commander (coordina), tecnico IR (contiene e risolve), comunicazione (interna ed esterna), legale (notifiche e compliance). Per le PMI, i ruoli possono essere coperti da poche persone con supporto MSP esterno. L'importante e che tutti sappiano cosa fare PRIMA che succeda qualcosa. Niente improvvisazione durante un attacco.
Predisporre la comunicazione al CSIRT
La NIS2 (art. 23) impone tempistiche precise: preallarme entro 24 ore dalla scoperta dell'incidente, notifica completa entro 72 ore, report finale entro 1 mese. Preparare i template ADESSO, non durante l'emergenza. Includere: descrizione dell'incidente, impatto stimato, misure adottate, contatti del referente. L'ACN ha pubblicato le linee guida per la notifica.
Garantire recovery entro 72 ore
Piano di disaster recovery testato con RTO (Recovery Time Objective) massimo di 72 ore per i sistemi critici. Per sistemi business-critical (ERP, email, CRM) l'RTO dovrebbe essere 4-8 ore. Il piano deve includere: priorita di ripristino, procedure step-by-step, contatti fornitori, test documentati almeno semestrali. Senza test, non hai un piano: hai un documento.
Eseguire post-mortem dopo ogni incidente
Dopo ogni incidente (anche quelli contenuti): analisi strutturata con root cause analysis, timeline completa dell'evento, lezioni apprese, azioni correttive con responsabile e deadline. Il post-mortem non e per trovare colpevoli, e per impedire che succeda di nuovo. Documentare tutto: e un requisito NIS2 e un investimento in miglioramento continuo.
Area E: Compliance (Punti 21-25)
Pianificare audit di sicurezza annuali
Vulnerability assessment trimestrali su rete interna ed esterna. Penetration test annuale. Audit di conformita NIS2 annuale con gap analysis. I risultati devono essere documentati con piani di remediation tracciati. L'art. 21(2)(a) richiede analisi dei rischi e audit periodici. Non aspettare che sia l'ACN a trovare le falle.
Mantenere la documentazione aggiornata
Registro delle misure di sicurezza adottate, configurazioni, procedure operative, modifiche all'infrastruttura, incidenti gestiti, audit effettuati. La documentazione e la prova che stai facendo le cose. In caso di ispezione ACN, e il primo documento che chiedono. Aggiornare dopo ogni cambiamento significativo, minimo ogni 6 mesi.
Verificare la sicurezza della supply chain
Mappare tutti i fornitori IT critici. Valutare le loro pratiche di sicurezza con questionari standardizzati (ISO 27001, SOC 2). Inserire clausole NIS2 nei contratti: SLA di sicurezza, obbligo di notifica incidenti entro 24 ore, diritto di audit. L'art. 21(2)(d) richiede esplicitamente la sicurezza della catena di approvvigionamento. Se il tuo fornitore viene bucato, il problema e tuo.
Formare tutti i dipendenti sulla cybersecurity
Programma annuale obbligatorio: awareness generale (2-4 ore/anno per tutti), simulazioni phishing trimestrali (il 91% degli attacchi parte da un'email), formazione specifica per ruoli IT (certificazioni), sessioni dedicate CDA (responsabilita NIS2). Il fattore umano e coinvolto nel 74% delle violazioni (Verizon DBIR 2025). La formazione e l'investimento con il miglior ROI.
Attivare il registro incidenti
Registro strutturato di tutti gli incidenti di sicurezza: data, descrizione, classificazione (basso/medio/alto/critico), sistemi coinvolti, impatto, azioni intraprese, tempistiche di risoluzione, notifiche effettuate. Anche gli incidenti minori vanno registrati: servono per l'analisi dei trend e per dimostrare la diligenza in caso di ispezione. L'art. 23 richiede la segnalazione degli incidenti significativi.
Budget Complessivo: Quanto Costa la Compliance NIS2
I costi variano enormemente in base alla maturità IT di partenza. Un'azienda che ha già firewall, backup e un IT manager dedicato partirà avvantaggiata. Ecco i range realistici per una PMI da 30-100 dipendenti:
| Area | Setup (una tantum) | Canone annuale |
|---|---|---|
| A. Governance | 5.000-16.000 € | 3.000-8.000 € |
| B. Protezione | 15.000-48.000 € | 8.000-25.000 € |
| C. Rilevamento | 3.000-10.000 € | 6.000-36.000 € |
| D. Risposta | 5.000-15.000 € | 3.000-10.000 € |
| E. Compliance | 8.000-25.000 € | 12.000-40.000 € |
| TOTALE STIMATO | 36.000-114.000 € | 32.000-119.000 €/anno |
Sembra tanto? Confrontalo con le sanzioni NIS2: fino a 10 milioni di euro per i soggetti essenziali. Oppure con il costo medio di un data breach per una PMI italiana: 3,6 milioni di euro (IBM Cost of a Data Breach Report 2025). L'adeguamento costa una frazione della sanzione e una frazione del danno.
BullTech offre pacchetti a canone mensile da 1.200 euro/mese che coprono protezione, rilevamento e risposta in un unico contratto di assistenza gestita. Per molte PMI è il modo più efficiente di raggiungere la compliance senza assumere personale dedicato.
Timeline Realistica: 12 Mesi alla Compliance
MESE 1-2: Fondamenta (Area A + punti 6-8)
- Nominare responsabile, approvare policy, allocare budget
- Risk assessment iniziale
- Installare/aggiornare firewall e EDR
- Configurare backup immutabile
MESE 3-4: Rilevamento e Risposta (Aree C + D)
- Attivare SIEM/MDR e monitoraggio 24/7
- Creare Incident Response Plan
- Preparare template notifica ACN
- Cifratura e patch management
MESE 5-8: Completamento (punti restanti)
- Primo vulnerability assessment
- Audit supply chain e aggiornamento contratti
- Formazione dipendenti e CDA
- Disaster recovery test
MESE 9-12: Consolidamento e Audit
- Penetration test annuale
- Tabletop exercise incident response
- Documentazione completa e registro incidenti
- Audit di conformita finale
NIS2: Dalla Teoria alla Pratica
Questa checklist in 25 punti copre l'intero spettro della compliance NIS2, dalla governance alla documentazione. Se hai bisogno di approfondire singoli aspetti:
- Requisiti tecnici NIS2 — i 10 requisiti tecnici specifici con configurazioni dettagliate
- NIS2 compliance aziendale — la guida completa alla direttiva con tutti i 18 settori coinvolti
- Cybersecurity aziendale 2026 — il pillar hub con EDR, firewall, SOC, backup e tutto il resto
- Servizi sicurezza informatica — cosa facciamo in BullTech per proteggere le PMI
- Adeguamento NIS2 — il nostro servizio dedicato alla compliance NIS2
- Formazione cybersecurity — programmi formativi per dipendenti e CDA
- Vulnerability Assessment — audit e test di sicurezza periodici
Domande Frequenti sulla Checklist NIS2
Quanti punti deve coprire una PMI per essere conforme alla NIS2?
Tutti i 25 punti della checklist sono rilevanti, ma con priorita diverse. I primi 5 (governance) e i punti 6-10 (protezione base) sono i piu urgenti. Una PMI con 50 dipendenti puo raggiungere l'80% della compliance in 3-4 mesi partendo da questi 10 punti. I restanti 15 vanno completati entro 12 mesi. BullTech offre un percorso modulare che permette di distribuire l'investimento nel tempo.
Quanto costa completare tutti i 25 punti della checklist NIS2?
Per una PMI da 20-100 dipendenti, l'investimento totale si colloca tra 15.000 e 80.000 euro distribuiti su 12 mesi, piu un canone annuale di mantenimento tra 8.000 e 25.000 euro. Il costo varia in base alla maturita IT esistente: un'azienda che ha gia firewall e backup parte avvantaggiata. BullTech propone pacchetti a canone mensile da 1.200 euro/mese che includono la maggior parte dei punti.
Posso completare la checklist NIS2 senza un consulente esterno?
I punti di governance (1-5) e alcuni punti di protezione base sono gestibili internamente se hai un IT manager dedicato. Ma il monitoraggio 24/7, l'incident response strutturato, il vulnerability assessment e l'audit supply chain richiedono competenze specialistiche. L'approccio piu efficiente per le PMI e ibrido: il team IT interno gestisce le operazioni quotidiane, un MSP come BullTech fornisce competenze avanzate, strumenti enterprise e monitoraggio continuo.
Quali sono le sanzioni se non completo la checklist NIS2?
Le sanzioni NIS2 arrivano fino a 10 milioni di euro o il 2% del fatturato mondiale per i soggetti essenziali, e fino a 7 milioni di euro o l'1,4% per i soggetti importanti. I dirigenti possono essere ritenuti personalmente responsabili. L'ACN (Agenzia per la Cybersicurezza Nazionale) ha iniziato i controlli nel 2025. Per approfondire, leggi il nostro articolo sulle sanzioni NIS2.
Ogni quanto devo aggiornare la checklist NIS2?
La checklist va rivista almeno ogni 12 mesi o dopo ogni incidente di sicurezza significativo. Alcuni punti richiedono verifiche piu frequenti: il vulnerability assessment va fatto trimestralmente, le simulazioni phishing ogni 3 mesi, il test di restore del backup ogni mese, l'aggiornamento delle policy dopo ogni cambiamento organizzativo. BullTech include tutte queste verifiche nel servizio di compliance continuativa.
La NIS2 si applica anche alle PMI sotto i 50 dipendenti?
Si, se operano in settori critici (energia, trasporti, sanita, infrastrutture digitali, fornitori di servizi ICT) o se sono fornitori di soggetti essenziali. Inoltre, il decreto legislativo italiano 138/2024 ha esteso l'ambito. Anche le PMI non direttamente obbligate possono essere coinvolte tramite la supply chain: se un cliente grande richiede la conformita NIS2 ai fornitori, la checklist diventa necessaria. Meglio partire prima che aspettare una richiesta formale.