NIS2: le 3 cose da sistemare subito, prima di tutto il resto

Se sei l'IT manager o il responsabile sicurezza di un'azienda nel perimetro NIS2, probabilmente hai già sul tavolo una checklist di consulenti lunga due pagine. Policy, registri, valutazioni del rischio, audit. La sensazione è quella di dover fare cinquanta cose insieme, senza sapere quale conta davvero.

Partiamo da un punto che ti fa risparmiare tempo: non devi fare tutto in una volta, e soprattutto non tutto pesa allo stesso modo. Il D.Lgs. 138/2024, che recepisce la direttiva NIS2 in Italia, chiede un approccio multirischio con circa dieci ambiti di misure e decine di requisiti. Ma tre cose, se le sistemi davvero, riducono il rischio reale di subire un danno e coprono la parte che in un controllo viene verificata per prima.

Prima di entrare nel merito, due numeri per inquadrare l'urgenza. Per i soggetti già inseriti nell'elenco ACN dal 2025, l'obbligo di notifica degli incidenti è pienamente operativo dal 15 gennaio 2026, e le misure di sicurezza di base vanno rese operative entro il 31 ottobre 2026. Dopo quella data l'Agenzia per la Cybersicurezza Nazionale passa alla fase ispettiva. Non è un orizzonte lontano.

Ecco le tre cose da sistemare subito.

1. La capacità di accorgerti di un attacco, non solo di prevenirlo

Quasi tutte le aziende hanno firewall e antivirus. Quasi nessuna, nel mid-market, ha la capacità concreta di accorgersi che un attacco è in corso e di rispondere mentre succede. Sono due cose diverse: la prima è prevenzione, la seconda è detection e response. NIS2 le chiede entrambe.

Il punto è che la prevenzione, da sola, non basta più. Gli attaccanti entrano comunque, attraverso una credenziale rubata, una mail di phishing, una vulnerabilità non aggiornata. Quello che fa la differenza tra un fastidio e un disastro è quanto tempo passa prima che qualcuno se ne accorga e intervenga.

E qui c'è un legame diretto con NIS2: l'obbligo di notifica scatta da quando hai evidenza dell'incidente, con pre-notifica entro 24 ore e notifica entro 72 ore. Se nessuno sta guardando i tuoi sistemi, non hai nemmeno l'evidenza da cui far partire l'orologio. Te ne accorgi giorni dopo, quando il danno è già fatto e sei già fuori tempo sulla notifica.

Cosa fare in concreto:

• Centralizzare i log dei sistemi critici in un punto unico, dove qualcuno li possa leggere.

• Avere un monitoraggio attivo che generi allarmi sui comportamenti anomali, non solo sulle firme virali note.

• Avere un processo di detection e response attivo anche fuori dall'orario d'ufficio. Gli attacchi gravi scattano di venerdì sera, nel weekend, ad agosto. Non alle dieci di martedì mattina.

Esempio concreto. Un ransomware viene rilasciato venerdì alle 23. Senza monitoraggio, l'azienda se ne accorge lunedì mattina: i dati sono già cifrati, in molti casi anche copiati fuori, e le 24 ore per la pre-notifica sono già passate. Con un monitoraggio continuo, lo stesso comportamento anomalo (un account che inizia a cifrare file in massa di notte) genera un allarme nei primi minuti e si interviene prima che si propaghi.

L'errore più comune è confondere prevenzione e detection. Avere l'antivirus non significa accorgersi. Per il mid-market un SOC interno attivo 24 ore su 24 è fuori portata in termini di costi e di persone, ma un servizio gestito di detection e response copre esattamente questo buco senza dover assumere un turno notturno.

Una domanda per capire se ce l'hai davvero

Falla in riunione: "se qualcuno entrasse nei nostri sistemi stanotte, tra quanto ce ne accorgeremmo, e chi risponderebbe?" Se la risposta onesta è "lunedì" oppure "non saprei", questa capacità ti manca, ed è la prima da costruire.

2. Autenticazione a più fattori (MFA) ovunque, e gestione degli accessi

NIS2 cita esplicitamente l'autenticazione a più fattori tra le misure attese. Non è un dettaglio tecnico da nerd: le credenziali rubate sono il modo numero uno con cui gli attaccanti entrano. Una password, prima o poi, viene scoperta. L'MFA fa sì che la sola password non basti.

Il problema, nella pratica, è che l'MFA viene quasi sempre attivata a metà. Sulla mail dei dirigenti sì, sugli accessi amministrativi no. Sui dipendenti interni sì, sul fornitore esterno che entra in VPN per la manutenzione no. E proprio quei punti scoperti sono quelli che gli attaccanti cercano.

Cosa fare in concreto:

• Attivare l'MFA su tutto ciò che è esposto: VPN, posta elettronica, accessi amministrativi, accesso remoto, applicazioni in cloud.

• Estenderla anche agli accessi dei fornitori e dei consulenti esterni.

• Fare ordine negli accessi: rimuovere gli account di chi non lavora più in azienda, togliere i privilegi di amministratore a chi non ne ha bisogno, applicare il principio del minimo privilegio (ognuno accede solo a ciò che gli serve).

Esempio concreto. Un dipendente abbocca a una mail di phishing e consegna la sua password. Senza MFA, l'attaccante è dentro. Con l'MFA, si trova davanti alla richiesta del secondo fattore che non ha, e l'attacco si ferma lì.

Quick win

Tra tutte le misure NIS2, l'MFA ha uno dei rapporti migliori tra impatto e sforzo. Nella maggior parte dei casi è già inclusa nelle licenze Microsoft 365 o Google Workspace che la tua azienda paga già. Il costo non è il software, è la decisione di attivarla davvero ovunque e di togliere le eccezioni comode.

3. Backup che funzionano davvero, testati, e un piano per ripartire

NIS2 chiede continuità operativa: backup, disaster recovery, gestione delle crisi. Tradotto: se domani i tuoi sistemi si fermano, devi essere in grado di rimetterli in piedi in tempi definiti. E qui c'è un dettaglio che fa la differenza tra teoria e realtà.

Il ransomware moderno punta proprio ai backup. Prima li cerca, prova a cancellarli o a cifrarli, e solo dopo colpisce i sistemi di produzione. Se i tuoi backup sono raggiungibili dagli stessi account e dalla stessa rete che vengono compromessi, in un attacco serio non li avrai più.

Cosa fare in concreto:

• Applicare la regola 3-2-1: almeno tre copie dei dati, su due supporti diversi, di cui una fuori sede.

• Tenere almeno una copia offline o immutabile, cioè non modificabile e non cancellabile nemmeno da un amministratore compromesso.

• Definire RTO e RPO: in quanto tempo devi tornare operativo, e quanti dati puoi permetterti di perdere. Senza questi due numeri non stai pianificando, stai sperando.

• E soprattutto, testare il ripristino. Un backup mai testato non è un backup, è una speranza.

Esempio concreto. Un'azienda colpita da ransomware scopre nel momento peggiore che i backup erano sullo stesso server di rete, cifrati anche loro. Oppure scopre che il backup c'era, ma il ripristino completo richiede dieci giorni che la produzione non può permettersi. In entrambi i casi il backup esisteva sulla carta e non è servito a niente.

L'errore più comune è dare per scontato che il backup funzioni perché "lo facciamo da anni". Quasi nessuno prova davvero a ripristinare tutto da zero finché non è costretto, e a quel punto è tardi per scoprire i problemi.

E tutti gli altri obblighi NIS2?

Mettiamo le cose in chiaro: queste tre cose non ti rendono pienamente conforme. NIS2 chiede anche la registrazione sul portale ACN (finestra annuale dal 1 gennaio al 28 febbraio), le policy di analisi del rischio, la sicurezza della supply chain, la gestione delle vulnerabilità, la formazione, il coinvolgimento documentato degli organi di amministrazione.

Però questi tre punti sono il fondamento su cui poggia tutto il resto. Senza la capacità di accorgerti di un attacco, senza MFA e senza backup testati, qualsiasi policy resta carta che non ti protegge né da un incidente reale, né in un controllo. Conviene costruire prima le fondamenta, poi alzare i muri.

Cosa fare adesso

Se devi scegliere da dove partire, parti da qui: capacità di detection e response attiva anche di notte, MFA ovunque con accessi in ordine, backup testati e un piano di ripristino. Questi tre punti abbassano il rischio reale di subire un danno e coprono la parte di NIS2 che viene guardata per prima.

Il problema onesto è che la prima delle tre, accorgersi e rispondere 24 ore su 24, è quasi impossibile da coprire internamente per un'azienda mid-market. Serve un turno di persone che la maggior parte delle aziende non ha. È esattamente il motivo per cui esiste un SOC gestito.

Prenota una call di 30 minuti con un esperto AmagisTech. Facciamo un check rapido di dove sei su questi tre punti e ti diciamo, senza giri di parole, cosa ti manca davvero e quanto pesa rispetto alla scadenza del 31 ottobre 2026.