Caricamento...
Caricamento...
Azienda manifatturiera · 45 dipendenti · Monza Brianza
Settore
Manifatturiero
Dimensione
45 Dipendenti
Location
Monza Brianza
Durata
4 Mesi
Sfida
Compliance NIS2
Quando il principale cliente automotive chiede la conformità NIS2 in 90 giorni e l'azienda non ha una sola policy scritta, il margine di manovra è stretto.
La chiamata è arrivata un lunedì mattina. Il direttore generale di un'azienda manifatturiera in Monza Brianza — 45 dipendenti, lavorazioni meccaniche di precisione per la supply chain automotive — aveva appena ricevuto una comunicazione dal cliente principale: entro 90 giorni, tutti i fornitori dovevano documentare la propria conformità NIS2 o rischiavano l'esclusione dall'albo. Il problema? L'azienda non aveva un IT manager interno, nessun incident response plan, zero documentazione di sicurezza. L'unico “responsabile IT” era un tecnico esterno a chiamata che gestiva le stampanti e il Wi-Fi. Il rischio concreto: perdere il contratto più importante o ricevere sanzioni fino al 2% del fatturato. Serviva un piano serio, veloce e sostenibile — non l'ennesimo consulente che avrebbe scritto 200 pagine di documentazione inutilizzabile.
L'azienda aveva ricevuto una richiesta formale dal cliente principale — un tier-1 automotive — di dimostrare conformità NIS2 entro 90 giorni. Risultato dell'audit preliminare: zero policy scritte, zero registro dei trattamenti aggiornato, zero documentazione delle procedure IT. Il responsabile IT era un tecnico esterno a chiamata, disponibile "quando poteva".
In caso di attacco informatico, nessuno in azienda sapeva cosa fare nei primi 60 minuti. Nessuna procedura di isolamento, nessun contatto di emergenza, nessun registro degli incidenti. La NIS2 richiede obbligatoriamente un piano di gestione degli incidenti e la notifica alle autorità entro 24 ore. L'azienda partiva da zero su tutti e tre i requisiti.
Firewall consumer non aggiornato da 3 anni, antivirus base su metà degli endpoint, nessun EDR, nessun monitoraggio centralizzato. La rete era piatta: nessuna segmentazione tra uffici, produzione e gestionale. Un attaccante con accesso alla rete Wi-Fi ospiti avrebbe avuto accesso diretto al server con i disegni CAD e la contabilità.
La NIS2 prevede sanzioni fino al 2% del fatturato annuo globale per i soggetti non conformi. Per un'azienda con 8 milioni di fatturato, il rischio era di 160.000 euro. A peggiorare le cose, il contratto con il cliente automotive prevedeva penali specifiche in caso di incidenti di sicurezza non gestiti. Il management aveva finalmente capito che il rischio era concreto.
Non un consulente che scrive policy e sparisce. Un CISO operativo che costruisce la compliance dall'interno, con prodotti reali e formazione concreta.
La nostra proposta era diversa da quella del consulente tradizionale che il direttore aveva già sentito: €890 al mese per 6 mesi di CISO-as-a-Service operativo, invece dei €15.000 una tantum proposti dall'altro preventivo — che avrebbe prodotto solo documenti, senza toccare l'infrastruttura. Con noi, ogni mese aveva deliverable concreti e misurabili: nel primo mese un firewall enterprise installato e operativo, nel secondo tutti gli endpoint con EDR attivo, nel terzo il framework documentale completo, nel quarto la formazione completata e l'audit superato. Il modello à tariffa mensile permetteva anche di continuare il servizio dopo la compliance, mantenendo nel tempo ciò che era stato costruito — senza ricominciare da zero ogni volta.
Due giorni in azienda per la mappatura completa: infrastruttura IT, processi, accessi, procedure. Vulnerability Assessment con scanner professionale su tutti i 45 endpoint e i 3 server. Gap analysis puntuale rispetto ai requisiti NIS2: per ogni gap, priorità, stima di effort e impatto sul rischio. Il report consegnato al management mostrava la situazione reale — con colori rosso, giallo e verde — e un piano d'azione in 3 fasi.
Sostituzione del firewall consumer con WatchGuard Firebox M290: IPS, filtro contenuti, DNS filtering, gestione remota via WatchGuard Cloud. Deploy di Bitdefender GravityZone EDR su tutti i 45 endpoint con policy centralizzate, rilevamento comportamentale e risposta automatica alle minacce. In 30 giorni, il perimetro di sicurezza è passato da inesistente a enterprise-grade.
Redazione del framework documentale completo: 14 policy di sicurezza (accesso, password, BYOD, VPN, backup, incident response), registro dei trattamenti aggiornato, nomina del referente interno per la sicurezza, piano di continuità operativa. Tutti i documenti firmati dal management e distribuiti ai dipendenti. La documentazione è stata strutturata per essere mantenibile internamente senza consulenti.
3 sessioni di formazione cybersecurity per tutti i 45 dipendenti (2 turni per non fermare la produzione): riconoscimento phishing, gestione password, segnalazione incidenti, uso sicuro dei dispositivi. 30 giorni dopo la formazione: simulazione di phishing personalizzata su tutti i dipendenti. Risultato: 93,3% ha riconosciuto e segnalato l'email malevola. Solo 3 dipendenti hanno cliccato — tutti ricontattati per una sessione individuale.
4 mesi per costruire una compliance NIS2 solida, con infrastruttura aggiornata e personale formato. €890/mese per avere un CISO senza assumerne uno.
Riduzione rischio cyber
Per raggiungere la compliance
Sanzioni NIS2
CISO-as-a-Service vs €15.000 consulente
“Quando il nostro cliente automotive ci ha chiesto la compliance NIS2, pensavo che avremmo dovuto spendere una cifra enorme e bloccare la produzione per settimane. BullTech ha lavorato come se fossero dipendenti nostri: ogni mese sapevo esattamente cosa era stato fatto e cosa rimaneva da fare. In 4 mesi abbiamo superato l'audit, non abbiamo perso il contratto, e adesso ho finalmente un firewall professionale e i miei operai sanno riconoscere le email di phishing. €890 al mese: meno di quello che avrei speso per un consulente che mi avrebbe solo scritto 200 pagine di documenti inutili.”
Quattro mesi strutturati con milestone chiare e verificabili. Ogni fase con deliverable concreti, non solo documenti.
Assessment completo infrastruttura e processi. Vulnerability Assessment su tutti gli endpoint. Gap analysis NIS2 con priorità. Interventi immediati: installazione WatchGuard Firebox, deploy Bitdefender GravityZone EDR, attivazione backup offsite. Nomina del referente interno per la sicurezza e kick-off del progetto con il management.
Segmentazione rete con VLAN (uffici, produzione, CNC, ospiti). Configurazione MFA su tutti gli account critici. Policy password applicate via Active Directory. Setup monitoring centralizzato con Atera. Aggiornamento patch su tutti i sistemi. Primo test di disaster recovery documentato e superato.
Redazione delle 14 policy di sicurezza. Aggiornamento registro dei trattamenti GDPR. Elaborazione Piano di Incident Response con procedure di notifica NIS2 entro 24 ore. Piano di Business Continuity. Distribuzione e firma dei documenti da parte di tutto il personale.
3 sessioni di formazione cybersecurity per 45 dipendenti. Simulazione phishing: 93,3% detection rate. Audit finale interno con checklist NIS2: 100% requisiti soddisfatti. Presentazione al cliente automotive con documentazione completa. Contratto di gestione continuativa CISO-as-a-Service a €890/mese firmato.
Non aspettare le sanzioni o la comunicazione del cliente. Un assessment NIS2 gratuito in 2 ore: capiamo dove sei e quanto serve per arrivare alla compliance. €890/mese, nessun costo di attivazione.
Ogni azienda ha sfide diverse. Scopri come abbiamo aiutato altre realtà lombarde.