La direttiva NIS2 impone alle aziende italiane requisiti di sicurezza informatica specifici e misurabili. Ma passare dalla lettura della norma all'implementazione pratica è il vero nodo per ogni IT Manager. In questa guida analizziamo i 10 requisiti tecnici essenziali, con indicazioni concrete su cosa richiede la norma, come implementare ciascun requisito, i costi indicativi e le tempistiche realistiche. Una checklist operativa pensata per chi deve trasformare gli obblighi normativi in configurazioni reali.
Urgenza: le scadenze NIS2 sono già attive
La registrazione sulla piattaforma ACN scade il 28 febbraio 2026. Gli obblighi di governance e notifica incidenti entrano in vigore a gennaio 2027. Non aspettare: inizia dall'implementazione dei requisiti più urgenti. Per le sanzioni previste, leggi il nostro approfondimento dedicato.
I 10 Requisiti Tecnici NIS2: Panoramica
L'articolo 21 della direttiva NIS2 elenca le misure di gestione del rischio di cybersecurity che ogni soggetto obbligato deve adottare. Abbiamo tradotto queste disposizioni normative in 10 requisiti tecnici operativi, ordinati per priorità di implementazione. Per ciascuno indichiamo: il riferimento normativo, come implementarlo nella pratica, il costo indicativo per una PMI da 50-250 dipendenti e la timeline realistica.
La Checklist Completa: 10 Requisiti Tecnici
Autenticazione Multi-Fattore (MFA)
Cosa richiede la norma
Art. 21(2)(j) – Uso di soluzioni di autenticazione multi-fattore o di autenticazione continua, comunicazioni sicure.
Come implementarlo
Attivare MFA su tutti gli account aziendali: Microsoft 365, VPN, console di amministrazione, applicazioni cloud, accessi RDP. Preferire app authenticator (Microsoft Authenticator, Google Authenticator) o token hardware FIDO2 rispetto a SMS.
Logging Centralizzato e SIEM
Cosa richiede la norma
Art. 21(2)(b) – Gestione degli incidenti con procedure di rilevamento e monitoraggio. Capacità di tracciare e analizzare eventi di sicurezza.
Come implementarlo
Implementare un sistema SIEM (Security Information and Event Management) o, come minimo, un logging centralizzato. Tutti i log di firewall, server, endpoint, AD, applicazioni devono confluire in un unico punto. Retention minima: 12 mesi.
Patch Management entro 72 Ore
Cosa richiede la norma
Art. 21(2)(e) – Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi. Gestione e divulgazione delle vulnerabilità.
Come implementarlo
Definire una procedura di patch management strutturata: scan settimanale delle vulnerabilità, classificazione per gravità (CVSS), patch critiche applicate entro 72 ore, patch importanti entro 14 giorni. Utilizzare strumenti come NinjaOne o WSUS per l’automazione.
Vulnerability Assessment Periodici
Cosa richiede la norma
Art. 21(2)(a) – Politiche di analisi dei rischi e di sicurezza dei sistemi informativi. Test e audit periodici.
Come implementarlo
Eseguire vulnerability assessment trimestrali su rete interna ed esterna. Penetration test annuale. Utilizzare framework standard (OWASP, NIST). Documentare i risultati e i piani di remediation con tracking delle vulnerabilità.
Piano di Incident Response
Cosa richiede la norma
Art. 21(2)(b) – Gestione degli incidenti. Art. 23 – Obblighi di segnalazione: preallarme 24h, notifica 72h, report finale 1 mese.
Come implementarlo
Creare un Incident Response Plan documentato con: team di risposta, procedure di rilevamento, contenimento, eradicazione e recupero. Includere template di notifica ACN. Eseguire tabletop exercise semestrali. Integrare con il servizio SOC/MDR.
Backup Immutabile (regola 3-2-1-1-0)
Cosa richiede la norma
Art. 21(2)(c) – Continuità operativa: gestione dei backup, disaster recovery, gestione delle crisi.
Come implementarlo
Implementare la regola 3-2-1-1-0: 3 copie dei dati, su 2 supporti diversi, 1 copia offsite, 1 copia immutabile (WORM), 0 errori di ripristino verificati. Utilizzare Veeam con repository immutabile. Test di restore mensili documentati.
Cifratura dei Dati
Cosa richiede la norma
Art. 21(2)(h) – Politiche e procedure relative all’uso della crittografia e della cifratura.
Come implementarlo
Cifratura at rest con BitLocker (Windows) o LUKS (Linux) su tutti i dispositivi. Cifratura in transit con TLS 1.3 per tutte le comunicazioni. VPN IPsec o WireGuard per accessi remoti. Gestione centralizzata delle chiavi con procedure di rotazione documentate.
Segmentazione della Rete
Cosa richiede la norma
Art. 21(2)(a) – Misure di gestione del rischio: protezione adeguata delle reti e dei sistemi informativi.
Come implementarlo
Implementare segmentazione con VLAN e firewall interni (WatchGuard). Separare almeno: rete server, rete utenti, rete ospiti, rete IoT/OT, DMZ. Applicare politiche di accesso zero trust tra segmenti. Monitorare il traffico inter-VLAN.
Audit della Supply Chain
Cosa richiede la norma
Art. 21(2)(d) – Sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi fornitori.
Come implementarlo
Mappare tutti i fornitori IT critici. Valutare le loro pratiche di sicurezza con questionari standardizzati. Inserire clausole NIS2 nei contratti (SLA di sicurezza, obbligo notifica incidenti, diritto di audit). Monitoraggio continuo dei rischi supply chain.
Formazione Cybersecurity Continua
Cosa richiede la norma
Art. 20(2) – Gli organi di gestione devono seguire una formazione e offrire una formazione analoga ai propri dipendenti.
Come implementarlo
Programma annuale obbligatorio per tutti i dipendenti: awareness generale (2h/anno), simulazioni phishing trimestrali, formazione specifica per IT (certificazioni), sessione dedicata CDA (governance cyber). Documentare partecipazione e risultati.
Priorità di Implementazione: Da Dove Iniziare
Non tutti i requisiti hanno la stessa urgenza. Ecco come strutturare il piano di implementazione in base alla criticità e alle scadenze normative:
PRIORITÀ 1 — Entro 1 mese (critici)
- MFA su tutti gli accessi critici
- Piano di Incident Response con template notifica ACN
- Backup immutabile configurato e testato
PRIORITÀ 2 — Entro 3 mesi (urgenti)
- Logging centralizzato / SIEM
- Patch management strutturato (< 72h critiche)
- Primo vulnerability assessment
- Cifratura dati at rest e in transit
PRIORITÀ 3 — Entro 6 mesi (importanti)
- Segmentazione della rete
- Audit supply chain e aggiornamento contratti
- Programma di formazione cybersecurity continua
Budget Totale: Quanto Costa la Conformità NIS2
Sommare i costi dei singoli requisiti dà un quadro complessivo dell'investimento necessario. Per una PMI con 50-250 dipendenti:
| Voce | Una tantum | Annuale |
|---|---|---|
| MFA + Identity Management | 500-3.000 € | 500-1.500 € |
| Logging / SIEM | 2.000-5.000 € | 3.000-15.000 € |
| Patch Management | 1.000-3.000 € | 2.000-8.000 € |
| Vulnerability Assessment + Pentest | – | 5.000-15.000 € |
| Incident Response Plan | 3.000-8.000 € | 1.000-3.000 € |
| Backup Immutabile | 5.000-20.000 € | 2.000-5.000 € |
| Cifratura | 2.000-8.000 € | 500-2.000 € |
| Segmentazione Rete | 5.000-25.000 € | 1.000-3.000 € |
| Audit Supply Chain | 3.000-10.000 € | 2.000-5.000 € |
| Formazione | 1.000-3.000 € | 3.000-12.000 € |
| TOTALE STIMATO | 22.500-85.000 \u20ac | 20.000-69.500 \u20ac/anno |
Questi costi sono indicativi e variano in base alla complessità dell'infrastruttura e al livello di maturità IT esistente. BullTech offre soluzioni a canone mensile che permettono di distribuire l'investimento nel tempo e includono molti di questi servizi in un unico contratto di assistenza gestita.
Il confronto che conta
Un investimento iniziale di 20.000-50.000 euro sembra significativo, ma va confrontato con le sanzioni NIS2 fino a 10 milioni di euro. Per una PMI con 30 milioni di fatturato, la sanzione massima come soggetto importante sarebbe di 420.000 euro (1,4%). L'adeguamento costa 10 volte meno della sanzione minima ipotizzabile.
Gli Strumenti che Utilizziamo in BullTech
Per implementare i requisiti tecnici NIS2 nelle aziende clienti, BullTech utilizza un ecosistema di soluzioni enterprise collaudate:
- Firewall e segmentazione: WatchGuard Firebox con VLAN management e IPS/IDS integrato
- Endpoint protection: Bitdefender GravityZone con EDR e incident response automatizzato
- Backup: Veeam Backup & Replication con repository immutabile e verifica automatica
- Monitoraggio e patching: NinjaOne RMM con patch management automatizzato e logging
- SOC/MDR: Servizio SOC gestito con monitoraggio 24/7 e incident response
- Email security: Libraesva con protezione phishing e anti-spam avanzato
- MFA e identity: Microsoft Entra ID con Conditional Access e MFA enforcement
- VPN: WatchGuard VPN con tunnel IPsec e autenticazione forte
Se stai valutando come prepararti a un controllo di conformità, la nostra guida su come prepararsi a un audit di sicurezza informatica può aiutarti a capire cosa aspettarti e come documentare le misure adottate.
Domande Frequenti sui Requisiti Tecnici NIS2
Quali sono i requisiti tecnici minimi per la conformità NIS2?
I requisiti tecnici minimi includono: autenticazione multi-fattore (MFA), logging centralizzato con retention di almeno 12 mesi, patch management strutturato (patch critiche entro 72 ore), vulnerability assessment periodici, piano di incident response documentato, backup immutabile, cifratura dei dati at rest e in transit, segmentazione della rete, audit della supply chain e formazione cybersecurity per tutti i dipendenti incluso il CDA.
Quanto costa implementare tutti i requisiti tecnici NIS2?
Per una PMI da 50-250 dipendenti, l’investimento iniziale si colloca tra 15.000 e 50.000 euro, a seconda del livello di maturità IT esistente. Il canone annuale di mantenimento (monitoraggio, aggiornamenti, formazione) varia tra 5.000 e 15.000 euro. BullTech offre soluzioni modulari che permettono di distribuire l’investimento nel tempo, partendo dai requisiti più urgenti.
In quanto tempo si riesce a implementare tutti i requisiti?
Un percorso completo richiede dai 6 ai 12 mesi. La priorità immediata va data a MFA, backup e incident response (implementabili in 4-8 settimane). Logging centralizzato e segmentazione di rete richiedono 2-3 mesi. La formazione è un processo continuo. Vulnerability assessment e audit supply chain vanno avviati entro i primi 3 mesi e poi ripetuti periodicamente.
È obbligatorio avere un SOC per la conformità NIS2?
La NIS2 non richiede esplicitamente un SOC, ma impone il monitoraggio continuo degli eventi di sicurezza e la capacità di rilevare e rispondere agli incidenti in tempi rapidi. Nella pratica, per soddisfare questi requisiti è necessario un servizio di monitoraggio 24/7, che può essere un SOC interno o un servizio MDR (Managed Detection & Response) esternalizzato a un MSP come BullTech.
Posso implementare i requisiti NIS2 con il mio team IT interno?
Dipende dalle competenze e dalla dimensione del team. Alcuni requisiti (MFA, backup) sono gestibili internamente. Ma logging centralizzato, vulnerability assessment, incident response strutturato e monitoraggio 24/7 richiedono competenze specialistiche e strumenti avanzati. La soluzione più efficiente per le PMI è un approccio ibrido: il team IT interno collabora con un MSP come BullTech che fornisce le competenze e gli strumenti mancanti.