NIS2 oltre il firewall: la checklist di adeguamento per una PMI

NIS2 viene spesso ridotta a un problema di firewall e antivirus. È un fraintendimento che costa caro. La direttiva (UE) 2022/2555, recepita in Italia con il D.Lgs. 138/2024, è prima di tutto una norma di governance: chiede che la sicurezza informatica diventi una responsabilità documentata del vertice aziendale, non una delega tacita all'ufficio IT. Il firewall è il punto di partenza, non il traguardo.

Chi è coinvolto e le scadenze

Il primo passo è capire se la tua azienda rientra. Il D.Lgs. 138/2024 individua i soggetti in base al settore, alla dimensione e, in alcuni casi, al ruolo svolto nella catena dei servizi. Le due categorie operative sono:

• Soggetti essenziali: i settori più critici (energia, trasporti, sanità, infrastrutture digitali, acqua, banche e altri), in genere di grande dimensione.
• Soggetti importanti: settori comunque rilevanti, fra cui fornitori di servizi digitali, produzione, gestione dei rifiuti, servizi postali, alimentare.

Per la maggior parte dei settori la soglia dimensionale segue la media impresa: indicativamente dai 50 dipendenti, oppure oltre 10 milioni di euro di fatturato o di bilancio. Alcuni soggetti rientrano a prescindere dalla dimensione, per il ruolo che ricoprono. La regola pratica: una PMI in un settore coperto, che supera la soglia di media impresa, deve verificare seriamente l'inquadramento.

L'autorità competente è l'ACN, l'Agenzia per la Cybersicurezza Nazionale. Il rapporto con l'autorità passa dalla piattaforma ACN: registrazione, dichiarazioni, aggiornamenti e comunicazioni non sono adempimenti una tantum, ma un ciclo ricorrente.

Le scadenze degli obblighi sono scaglionate. Il punto da fissare è questo: non esiste una sola data universale valida per tutte le aziende. Il D.Lgs. 138/2024 attribuisce ad ACN il compito di stabilire termini, modalità, specifiche e tempi graduali di implementazione degli obblighi. In pratica, devi guardare:

• la comunicazione di inserimento nell'elenco dei soggetti NIS;
• la categoria del soggetto, essenziale o importante;
• la coorte di inserimento, ad esempio 2025 o successiva;
• le determinazioni ACN applicabili alla tua posizione.

Tradotto: l'adeguamento va gestito come programma, non come corsa all'ultimo mese. Prima si mettono in ordine ruoli, perimetro, incident management e procedure di notifica; poi si consolida l'implementazione delle misure tecniche e organizzative.

Le misure organizzative

È la parte che NIS2 aggiunge davvero, ed è quella che le PMI sottovalutano.

Responsabilità degli organi di amministrazione. La direttiva è netta: gli organi di gestione approvano le misure di gestione del rischio, ne sovrintendono l'attuazione e rispondono delle violazioni. Non è più possibile dire "non lo sapevo, era un tema dell'IT". Gli amministratori devono inoltre seguire una formazione specifica sui rischi e sulla gestione della cybersicurezza. È un obbligo personale, e va documentato.

Governance del rischio. Serve un processo di analisi del rischio scritto: quali sono gli asset, quali le minacce, quali le contromisure, chi decide cosa è accettabile. Deve essere vivo, con riesami periodici, non un documento congelato.

Gestione della supply chain. NIS2 estende la responsabilità ai fornitori. Va valutata la sicurezza dei fornitori critici (chi ospita i tuoi sistemi, chi tratta i tuoi dati, chi fornisce software essenziale) e gli aspetti di sicurezza vanno portati nei contratti.

Politiche e formazione. Servono politiche di sicurezza approvate dal vertice, pratiche di igiene informatica di base diffuse, e formazione per tutto il personale, non solo per i tecnici.

Le misure tecniche, oltre il firewall

Il D.Lgs. 138/2024, sulla scia dell'articolo 21 della direttiva, indica un insieme minimo di misure. Il firewall vi rientra, ma è una voce fra molte.

Gestione degli incidenti. Capacità di rilevare, classificare, gestire e registrare gli incidenti. Senza rilevamento non c'è notifica: per rispettare i tempi devi accorgerti dell'incidente.

Continuità operativa. Backup gestiti e verificati, ripristino testato, gestione delle crisi. Un backup che non è mai stato ripristinato non è una misura: è una speranza. Il legame con il disaster recovery è diretto.

Sicurezza di acquisizione, sviluppo e manutenzione, inclusa la gestione delle vulnerabilità: censimento, valutazione e applicazione tempestiva delle correzioni, con un processo riconoscibile.

Crittografia. Una politica sull'uso della cifratura: dati a riposo, dati in transito, gestione delle chiavi.

Controllo degli accessi e gestione degli asset. Sapere quali asset esistono, chi vi accede e con quali privilegi. Il principio del privilegio minimo, applicato per davvero.

Autenticazione a più fattori. NIS2 cita esplicitamente l'MFA e le soluzioni di autenticazione continua. Per una PMI è la singola misura con il miglior rapporto fra costo ed efficacia: va attivata su posta, VPN, accessi amministrativi e servizi cloud.

Comunicazioni sicure, anche di emergenza: un canale che funzioni quando i sistemi principali sono compromessi.

Verifica dell'efficacia. Servono politiche e procedure per misurare se le misure adottate funzionano: test, audit interni, riesami. Non basta avere i controlli: bisogna dimostrare che reggono.

Per il firewall in senso stretto, le configurazioni e le regole che NIS2 si aspetta sono trattate nell'articolo dedicato ai requisiti firewall sotto NIS2.

La notifica degli incidenti

È l'obbligo con le scadenze più rigide, e quello che scatta per primo. Per gli incidenti significativi la tempistica è scandita in tre passaggi:

1. Pre-allarme entro 24 ore dalla conoscenza dell'incidente: una prima segnalazione, anche sintetica.
2. Notifica dell'incidente entro 72 ore: una valutazione più completa, con gravità, impatto e, se disponibili, indicatori di compromissione.
3. Relazione finale entro un mese: descrizione dettagliata, cause, impatto, misure adottate.

Un incidente è "significativo" quando causa un grave disservizio o perdite finanziarie, oppure quando colpisce terzi con danni materiali o immateriali rilevanti.

Il punto pratico: 24 ore sono poche. Non si può improvvisare la procedura il giorno dell'incidente. Vanno definiti prima chi rileva, chi decide se è significativo, chi prepara e invia la notifica, attraverso quale canale ACN. Una simulazione, anche solo da tavolo, vale più di qualunque documento.

Checklist operativa di adeguamento

Da affrontare in due blocchi, partendo dall'organizzazione.

Misure organizzative

• Verifica l'ambito di applicazione: stabilisci se l'azienda è soggetto essenziale o importante, e conferma la registrazione sulla piattaforma ACN.
• Coinvolgi il vertice: gli organi di amministrazione approvano le misure e seguono la formazione obbligatoria. Documenta entrambe le cose.
• Formalizza l'analisi del rischio: asset, minacce, contromisure, criteri di accettazione, riesami periodici.
• Mappa i fornitori critici e introduci clausole di sicurezza nei contratti.
• Approva le politiche di sicurezza e pianifica la formazione per tutto il personale.

Misure tecniche

• Attiva l'MFA su posta, VPN, accessi amministrativi e servizi cloud.
• Verifica i backup: esegui un ripristino reale e documentalo.
• Avvia la gestione delle vulnerabilità: censimento, valutazione, applicazione tempestiva delle patch.
• Definisci la politica di crittografia per dati a riposo, in transito e gestione delle chiavi.
• Rivedi gli accessi: privilegio minimo, rimozione degli account inattivi, inventario degli asset.
• Centralizza i log e configura il rilevamento degli incidenti.
• Predisponi la procedura di notifica con ruoli e tempi (24 / 72 ore / un mese) e provala con una simulazione.

Fonti principali

• D.Lgs. 138/2024, testo in Gazzetta Ufficiale
• D.Lgs. 138/2024, art. 23 - organi di amministrazione e direttivi
• D.Lgs. 138/2024, art. 24 - misure di gestione dei rischi
• D.Lgs. 138/2024, art. 25 - notifica degli incidenti
• ACN - Portale NIS e specifiche di base

L'adeguamento a NIS2 non è un progetto da chiudere e archiviare: è un sistema che va mantenuto. La buona notizia è che non parte da zero. Se la tua azienda lavora già sui controlli della ISO/IEC 27001:2022, una parte importante delle misure tecniche e organizzative può essere riutilizzata: cambiano il linguaggio, l'autorità di riferimento e alcune evidenze richieste, non il principio di fondo. Costruire un controllo solido una volta, e farlo rispondere a più obblighi, è la strategia che fa risparmiare davvero.