La direttiva NIS2 ti dice cosa devi proteggere, ma non ti spiega come farlo nella pratica. Ed è lì che si blocca ogni IT Manager: hai la norma davanti, ma come la trasformi in configurazioni reali sui tuoi server, PC e rete? In questa guida trovi i 10 requisiti tecnici che devi soddisfare, spiegati uno per uno: cosa chiede la legge, come si installa e configura, quanto costa e quanto tempo ci vuole. Una checklist pratica da stampare e usare.
Urgenza: le scadenze NIS2 sono già attive
La registrazione sulla piattaforma ACN scade il 28 febbraio 2026. Gli obblighi di governance e notifica incidenti entrano in vigore a gennaio 2027. Non aspettare: inizia dall'implementazione dei requisiti più urgenti. Per le sanzioni previste, leggi il nostro approfondimento dedicato.
I 10 Requisiti Tecnici NIS2: Panoramica
L'articolo 21 della NIS2 elenca le misure di sicurezza che devi mettere in pratica. Noi le abbiamo tradotte in 10 requisiti tecnici concreti, messi in ordine di urgenza. Per ognuno ti diciamo: cosa dice la legge, come si fa nella pratica, quanto costa per una PMI da 50-250 dipendenti e quanto tempo serve.
La Checklist Completa: 10 Requisiti Tecnici
Autenticazione Multi-Fattore (MFA)
Cosa richiede la norma
Art. 21(2)(j) – Uso di soluzioni di autenticazione multi-fattore o di autenticazione continua, comunicazioni sicure.
Come implementarlo
Attivare MFA su tutti gli account aziendali: Microsoft 365, VPN, console di amministrazione, applicazioni cloud, accessi RDP. Preferire app authenticator (Microsoft Authenticator, Google Authenticator) o token hardware FIDO2 rispetto a SMS.
Logging Centralizzato e SIEM
Cosa richiede la norma
Art. 21(2)(b) – Gestione degli incidenti con procedure di rilevamento e monitoraggio. Capacità di tracciare e analizzare eventi di sicurezza.
Come implementarlo
Implementare un sistema SIEM (Security Information and Event Management) o, come minimo, un logging centralizzato. Tutti i log di firewall, server, endpoint, AD, applicazioni devono confluire in un unico punto. Retention minima: 12 mesi.
Patch Management entro 72 Ore
Cosa richiede la norma
Art. 21(2)(e) – Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi. Gestione e divulgazione delle vulnerabilità.
Come implementarlo
Definire una procedura di patch management strutturata: scan settimanale delle vulnerabilità, classificazione per gravità (CVSS), patch critiche applicate entro 72 ore, patch importanti entro 14 giorni. Utilizzare strumenti come NinjaOne o WSUS per l'automazione.
Vulnerability Assessment Periodici
Cosa richiede la norma
Art. 21(2)(a) – Politiche di analisi dei rischi e di sicurezza dei sistemi informativi. Test e audit periodici.
Come implementarlo
Eseguire vulnerability assessment trimestrali su rete interna ed esterna. Penetration test annuale. Utilizzare framework standard (OWASP, NIST). Documentare i risultati e i piani di remediation con tracking delle vulnerabilità.
Piano di Incident Response
Cosa richiede la norma
Art. 21(2)(b) – Gestione degli incidenti. Art. 23 – Obblighi di segnalazione: preallarme 24h, notifica 72h, report finale 1 mese.
Come implementarlo
Creare un Incident Response Plan documentato con: team di risposta, procedure di rilevamento, contenimento, eradicazione e recupero. Includere template di notifica ACN. Eseguire tabletop exercise semestrali. Integrare con il servizio SOC/MDR.
Backup Immutabile (regola 3-2-1-1-0)
Cosa richiede la norma
Art. 21(2)(c) – Continuità operativa: gestione dei backup, disaster recovery, gestione delle crisi.
Come implementarlo
Implementare la regola 3-2-1-1-0: 3 copie dei dati, su 2 supporti diversi, 1 copia offsite, 1 copia immutabile (WORM), 0 errori di ripristino verificati. Utilizzare Veeam con repository immutabile. Test di restore mensili documentati.
Cifratura dei Dati
Cosa richiede la norma
Art. 21(2)(h) – Politiche e procedure relative all'uso della crittografia e della cifratura.
Come implementarlo
Cifratura at rest con BitLocker (Windows) o LUKS (Linux) su tutti i dispositivi. Cifratura in transit con TLS 1.3 per tutte le comunicazioni. VPN IPsec o WireGuard per accessi remoti. Gestione centralizzata delle chiavi con procedure di rotazione documentate.
Segmentazione della Rete
Cosa richiede la norma
Art. 21(2)(a) – Misure di gestione del rischio: protezione adeguata delle reti e dei sistemi informativi.
Come implementarlo
Implementare segmentazione con VLAN e firewall interni (WatchGuard). Separare almeno: rete server, rete utenti, rete ospiti, rete IoT/OT, DMZ. Applicare politiche di accesso zero trust tra segmenti. Monitorare il traffico inter-VLAN.
Audit della Supply Chain
Cosa richiede la norma
Art. 21(2)(d) – Sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi fornitori.
Come implementarlo
Mappare tutti i fornitori IT critici. Valutare le loro pratiche di sicurezza con questionari standardizzati. Inserire clausole NIS2 nei contratti (SLA di sicurezza, obbligo notifica incidenti, diritto di audit). Monitoraggio continuo dei rischi supply chain.
Formazione Cybersecurity Continua
Cosa richiede la norma
Art. 20(2) – Gli organi di gestione devono seguire una formazione e offrire una formazione analoga ai propri dipendenti.
Come implementarlo
Programma annuale obbligatorio per tutti i dipendenti: awareness generale (2h/anno), simulazioni phishing trimestrali, formazione specifica per IT (certificazioni), sessione dedicata CDA (governance cyber). Documentare partecipazione e risultati.
Priorità di Implementazione: Da Dove Iniziare
Non devi fare tutto insieme. Ecco come organizzare il lavoro partendo da ciò che è più urgente:
PRIORITÀ 1 — Entro 1 mese (critici)
- MFA su tutti gli accessi critici
- Piano di Incident Response con template notifica ACN
- Backup immutabile configurato e testato
PRIORITÀ 2 — Entro 3 mesi (urgenti)
- Logging centralizzato / SIEM
- Patch management strutturato (< 72h critiche)
- Primo vulnerability assessment
- Cifratura dati at rest e in transit
PRIORITÀ 3 — Entro 6 mesi (importanti)
- Segmentazione della rete
- Audit supply chain e aggiornamento contratti
- Programma di formazione cybersecurity continua
Budget Totale: Quanto Costa la Conformità NIS2
Mettiamo tutto insieme per capire quanto serve davvero. Per una PMI con 50-250 dipendenti:
| Voce | Una tantum | Annuale |
|---|---|---|
| MFA + Identity Management | 500-3.000 € | 500-1.500 € |
| Logging / SIEM | 2.000-5.000 € | 3.000-15.000 € |
| Patch Management | 1.000-3.000 € | 2.000-8.000 € |
| Vulnerability Assessment + Pentest | – | 5.000-15.000 € |
| Incident Response Plan | 3.000-8.000 € | 1.000-3.000 € |
| Backup Immutabile | 5.000-20.000 € | 2.000-5.000 € |
| Cifratura | 2.000-8.000 € | 500-2.000 € |
| Segmentazione Rete | 5.000-25.000 € | 1.000-3.000 € |
| Audit Supply Chain | 3.000-10.000 € | 2.000-5.000 € |
| Formazione | 1.000-3.000 € | 3.000-12.000 € |
| TOTALE STIMATO | 22.500-85.000 € | 20.000-69.500 €/anno |
Queste cifre cambiano in base a quanto sono complessi i tuoi server, PC e rete e a quanto hai già investito in sicurezza. BullTech ti offre un canone mensile fisso che distribuisce la spesa nel tempo e include molti di questi servizi in un unico contratto di assistenza.
Il confronto che conta
Un investimento iniziale di 20.000-50.000 euro sembra significativo, ma va confrontato con le sanzioni NIS2 fino a 10 milioni di euro. Per una PMI con 30 milioni di fatturato, la sanzione massima come soggetto importante sarebbe di 420.000 euro (1,4%). L'adeguamento costa 10 volte meno della sanzione minima ipotizzabile.
Gli Strumenti che Utilizziamo in BullTech
Per mettere in pratica i requisiti NIS2 nelle aziende che seguiamo, usiamo strumenti specifici e testati sul campo:
- Firewall e segmentazione: WatchGuard Firebox con VLAN management e IPS/IDS integrato
- Endpoint protection: Bitdefender GravityZone con EDR e incident response automatizzato
- Backup: Veeam Backup & Replication con repository immutabile e verifica automatica
- Monitoraggio e patching: NinjaOne RMM con patch management automatizzato e logging
- SOC/MDR: Servizio SOC gestito con monitoraggio 24/7 e incident response
- Email security: Libraesva con protezione phishing e anti-spam avanzato
- MFA e identity: Microsoft Entra ID con Conditional Access e MFA enforcement
- VPN: WatchGuard VPN con tunnel IPsec e autenticazione forte
Se ti stai preparando a un'ispezione, la nostra guida su come prepararsi a un audit di sicurezza informatica ti spiega cosa aspettarti e come documentare tutto per bene.
Domande Frequenti sui Requisiti Tecnici NIS2
Quali sono i requisiti tecnici minimi per la conformità NIS2?
Te li elenco: autenticazione a due fattori (MFA) su tutti gli accessi critici, log centralizzati conservati almeno 12 mesi, aggiornamenti di sicurezza applicati entro 72 ore per quelli critici, analisi delle vulnerabilità periodiche, un piano scritto per gestire gli incidenti, backup immutabile, crittografia dei dati (sia salvati che in transito), rete aziendale segmentata, controllo della sicurezza dei fornitori e formazione cybersecurity per tutti, CDA incluso.
Quanto costa implementare tutti i requisiti tecnici NIS2?
Per una PMI da 50-250 dipendenti, il costo iniziale va da 15.000 a 50.000 euro, a seconda di quanto sei già attrezzato. Poi servono 5.000-15.000 euro l'anno per monitoraggio, aggiornamenti e formazione. BullTech ti permette di partire dai requisiti più urgenti e distribuire la spesa nel tempo con un canone mensile.
In quanto tempo si riesce a implementare tutti i requisiti?
Dai 6 ai 12 mesi per fare tutto. Le cose urgenti (MFA, backup, piano incidenti) si fanno in 4-8 settimane. Log centralizzati e segmentazione della rete richiedono 2-3 mesi. La formazione non finisce mai, va fatta ogni anno. Analisi delle vulnerabilità e controllo fornitori: parti nei primi 3 mesi e poi ripeti regolarmente.
È obbligatorio avere un SOC per la conformità NIS2?
La legge non dice 'devi avere un SOC', ma ti chiede di monitorare la sicurezza in continuo e di reagire velocemente agli incidenti. Nella pratica, per farlo serve qualcuno che guardi i tuoi sistemi 24 ore su 24. Può essere un SOC interno (costoso) o un servizio MDR (Managed Detection & Response) gestito da un MSP come BullTech, che costa molto meno.
Posso implementare i requisiti NIS2 con il mio team IT interno?
Alcune cose sì: attivare l'MFA e configurare il backup ce la fai col tuo team. Ma log centralizzati, analisi delle vulnerabilità, gestione incidenti strutturata e monitoraggio 24/7? Servono competenze e strumenti che un team IT interno di una PMI difficilmente ha. La soluzione più pratica: il tuo team IT lavora insieme a un MSP come BullTech, che porta le competenze e gli strumenti che ti mancano.