Checklist NIS2 per PMI: 10 Controlli da Fare Subito
La checklist NIS2 per PMI italiane: 10 controlli tecnici e organizzativi per essere conformi al D.Lgs. 138/2024 ed evitare sanzioni fino al 2% del fatturato.
In sintesi: Cosa deve fare una PMI per la conformità NIS2? Secondo il D.Lgs. 138/2024, le PMI italiane soggette devono implementare 10 misure minime di sicurezza, tra cui: MFA obbligatoria per ogni accesso remoto, Log immutabili WORM con retention di 12 mesi, e Backup off-site. Il mancato adeguamento espone a sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo globale.
Il D.Lgs. 138/2024 ha recepito in Italia la Direttiva NIS2, alzando significativamente l'asticella degli obblighi di cybersicurezza per migliaia di organizzazioni. Se la tua PMI opera nei settori essenziali o importanti elencati negli allegati al decreto (energia, trasporti, sanità , acque, infrastrutture digitali, servizi ICT, pubblica amministrazione locale, manifatturiero critico, e altri), sei probabilmente soggetto agli obblighi di registrazione e alle misure minime di sicurezza previste dall'art. 21.
Le sanzioni sono concrete: fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali, fino a 7 milioni o l'1,4% del fatturato per i soggetti importanti. Non si tratta di una normativa teorica: l'Agenzia per la Cybersicurezza Nazionale (ACN) ha già avviato le procedure di registrazione e ha pubblicato le prime linee guida operative.
Chi deve leggere questo articolo con attenzione?
- PMI con fatturato superiore a 10 milioni di euro e oltre 50 dipendenti che operano nei settori NIS2
- Fornitori di servizi digitali o IT che servono aziende soggette
- CTO, responsabili IT e RSSI di medie imprese italiane
- Titolari di PMI che vogliono capire da dove iniziare senza affidarsi a consulenti generalisti
Questa checklist non sostituisce una valutazione del rischio professionale, ma ti permette di fare una diagnosi rapida sulle lacune più critiche e di capire dove concentrare i primi investimenti.
I 10 Controlli da Fare Subito
1. Inventario Completo degli Asset (Hardware e Software)
Cosa verificare: Hai un elenco aggiornato di tutti i dispositivi connessi alla tua rete (server, workstation, laptop, smartphone aziendali, dispositivi IoT, switch, router, firewall)? E un registro del software installato con le relative versioni?
Come verificarlo: Chiedi al tuo team IT di produrre un export dall'eventuale strumento di gestione asset. Se non esiste uno strumento dedicato, esegui una scansione di rete con Nmap o uno scanner equivalente e verifica quante macchine vengono rilevate rispetto a quelle "ufficialmente" censite.
Conseguenza del mancato adeguamento: Non puoi proteggere ciò che non sai di avere. Un asset non censito (ad esempio un vecchio server dimenticato in una sala server, o un NAS configurato da un dipendente) è una porta aperta verso la tua rete. L'art. 21 del D.Lgs. 138/2024 richiede esplicitamente la gestione delle vulnerabilità , che presuppone la conoscenza degli asset.
Strumento/Soluzione: Strumenti open source come Nmap, OCS Inventory o Lansweeper (versione community) permettono una prima ricognizione. Soluzioni commerciali di ITAM (IT Asset Management) offrono automazione e reportistica più strutturata.
SecBox Shield include una fase di asset discovery iniziale nell'onboarding, con aggiornamenti automatici al variare della topologia di rete monitorata.
2. Firewall NGFW Perimetrale Configurato e Aggiornato
Cosa verificare: Il perimetro della tua rete e' protetto da un firewall di nuova generazione (NGFW, Next-Generation Firewall) con ispezione applicativa (Layer 7), IPS/IDS attivo e regole di traffico aggiornate? Le regole non devono avere eccezioni "temporanee" aperte da anni e mai rimosse.
Come verificarlo: Chiedi un export del ruleset al tuo fornitore o al team IT. Cerca regole con "ANY/ANY" su porte critiche (3389 RDP, 22 SSH, 445 SMB, 1433 SQL) verso internet. Se non riesci a ottenere questo report in meno di un'ora, il problema e' strutturale.
Conseguenza del mancato adeguamento: Un firewall mal configurato o non aggiornato e' peggio di nessun firewall: trasmette una falsa sensazione di sicurezza. Gli attacchi ransomware che hanno colpito PMI italiane nel 2024-2025 hanno sfruttato in oltre il 60% dei casi porte RDP o VPN esposte senza protezione adeguata, secondo le analisi ENISA Threat Landscape.
Strumento/Soluzione: Soluzioni NGFW di classe enterprise (Fortinet FortiGate, Palo Alto, Check Point, Sophos XGS) offrono protezione completa se correttamente configurate e mantenute. Il punto critico e' il "mantenute": le regole devono essere revisionate almeno ogni sei mesi.
SecBox Shield gestisce il firewall perimetrale NGFW come servizio completamente gestito, con revisione regolare del ruleset e aggiornamento delle signature IPS incluso nel canone mensile.
3. VPN con MFA per Tutti gli Accessi Remoti
Cosa verificare: I dipendenti in smart working e i fornitori esterni accedono alla rete aziendale tramite VPN? La VPN richiede autenticazione a due fattori (MFA) oltre alla password? Sono in uso protocolli moderni (WireGuard, IKEv2/IPSec) o vecchi protocolli vulnerabili come PPTP o L2TP senza cifratura?
Come verificarlo: Prova ad accedere alla VPN aziendale con le credenziali di un dipendente tipo: se basta username e password senza un secondo fattore (OTP via app, token hardware, SMS), sei esposto. Verifica anche quali endpoint (IP pubblici) espongono porte VPN su internet con uno scan da Shodan.io o similari.
Conseguenza del mancato adeguamento: Le credenziali VPN vengono regolarmente vendute su marketplace del dark web dopo ogni data breach. Un accesso VPN senza MFA protetto solo da password equivale a una porta blindata con la chiave sotto lo zerbino. L'art. 21 comma 2 lettera j del D.Lgs. 138/2024 cita esplicitamente "l'uso di soluzioni di autenticazione a piu' fattori o di autenticazione continua".
Strumento/Soluzione: WireGuard abbinato a soluzioni MFA come Authelia, Duo o Microsoft Entra ID (Azure MFA) rappresenta oggi lo standard di riferimento per PMI. Per realta' piu' strutturate, soluzioni ZTNA (Zero Trust Network Access) sostituiscono progressivamente le VPN tradizionali.
SecBox Shield include VPN gestita con MFA obbligatorio per tutti gli utenti, con provisioning e deprovisioning degli accessi inclusi nella gestione. Per approfondire, consulta la nostra guida allo smart working sicuro e accesso collaboratori.
4. Log Immutabili WORM con Retention Minima di 12 Mesi
Cosa verificare: I log di sistema (firewall, server, Active Directory, VPN, applicazioni critiche) vengono centralizzati in un SIEM o log aggregator? I log sono protetti da modifiche e cancellazioni (storage WORM)? La retention e' di almeno 12 mesi, come indicato dalle linee guida ACN?
Come verificarlo: Chiedi al tuo team di mostrare i log di un accesso avvenuto sei mesi fa. Se non riescono a produrli in meno di 10 minuti, o se i log sono conservati solo sui singoli server (dove un attaccante con privilegi admin potrebbe cancellarli), il requisito non e' soddisfatto.
Conseguenza del mancato adeguamento: In caso di incidente, senza log immutabili non puoi dimostrare cosa e' successo, quando, e quale impatto ha avuto. Questo impedisce la notifica accurata all'ACN (obbligatoria entro 24 ore per gli incidenti significativi), espone a contestazioni legali e rende impossibile la difesa in caso di sanzioni. Approfondimento tecnico nel nostro manuale ai log immutabili WORM e NIS2.
Strumento/Soluzione: Soluzioni cloud come AWS S3 Object Lock, Azure Blob Storage con immutability policy, o storage on-premise con capacita' WORM. Il log aggregator (es. Graylog, Wazuh, o Splunk) deve scrivere su storage WORM e non deve avere accesso in cancellazione.
SecBox Shield include log WORM centralizzati con retention configurabile (minimo 12 mesi), su infrastruttura separata dalla rete del cliente per garantire l'immutabilita' anche in caso di compromissione.
5. Backup Off-Site Cifrato con Test di Restore Documentato
Cosa verificare: I backup dei dati critici vengono salvati in una posizione fisicamente separata dalla rete principale (off-site o cloud)? I backup sono cifrati (chiave gestita separatamente dal backup stesso)? Vengono eseguiti test di restore periodici con documentazione del risultato?
Come verificarlo: Chiedi quando e' stato effettuato l'ultimo test di restore completo e dove e' documentato. Se la risposta e' "non ricordo" o "mai fatto", il backup esiste solo sulla carta. Verifica inoltre se i backup sono accessibili dalla stessa rete: se un ransomware cifra i server, puo' raggiungere anche i backup?
Conseguenza del mancato adeguamento: Il backup e' la tua unica vera difesa contro il ransomware. Senza backup off-site cifrato e testato, un attacco ransomware significa o pagare il riscatto o perdere i dati. Il tempo medio di ripristino senza backup testato e' di 3-4 settimane contro 48-72 ore con un piano di restore documentato.
Strumento/Soluzione: Soluzioni di backup immutabile cloud (Veeam Cloud Connect, Acronis Cyber Cloud, Backblaze B2 con Object Lock) abbinate a test di restore trimestrali documentati. La regola 3-2-1-1-0 e' lo standard: 3 copie, 2 media diversi, 1 off-site, 1 immutabile, 0 errori verificati nei test.
Il servizio SecBox Shield non include la gestione del backup come servizio primario, ma i log e le configurazioni del firewall vengono archiviati su storage separato e cifrato. Per il backup dei dati applicativi, suggeriamo di abbinare un servizio BaaS dedicato.
6. Procedura di Incident Response Scritta e Testata
Cosa verificare: Esiste un documento scritto che descrive cosa fare in caso di incidente di sicurezza (ransomware, data breach, attacco DDoS, accesso non autorizzato)? Il documento definisce ruoli, responsabilita', contatti di emergenza, tempistiche di notifica ACN e modalita' di comunicazione interna/esterna?
Come verificarlo: Cerca il documento. Se non lo trovi in meno di 5 minuti, non e' operativo. Chiedi al responsabile IT di descrivere i primi 3 passi da fare in caso di ransomware: se la risposta e' vaga o incerta, la procedura non e' interiorizzata.
Conseguenza del mancato adeguamento: La NIS2 richiede notifica all'ACN entro 24 ore dalla rilevazione di un incidente significativo e notifica completa entro 72 ore. Senza una procedura scritta, questi tempi sono irrealistici. Il panico durante un incidente porta a scelte sbagliate (formattare un server prima di fare un'immagine forense, pagare il riscatto senza esplorare alternative, non isolare i sistemi compromessi). Per approfondire le scadenze normative, consulta il nostro calendario NIS2 2025-2026.
Strumento/Soluzione: Linee guida ENISA per la gestione degli incidenti (ENISA Good Practice Guide for Incident Management) e il framework NIST SP 800-61r2 forniscono template gratuiti adattabili. Il documento deve essere revisionato almeno annualmente e testato con un esercizio tabletop.
SecBox Shield include un SLA di notifica e supporto in caso di incidente rilevato dal monitoraggio del firewall, con procedure di escalation predefinite.
7. Registrazione sul Portale ACN (Scadenza Legale)
Cosa verificare: La tua organizzazione si e' registrata sul portale ufficiale dell'ACN ([portale NIS ACN](https://nis.acn.gov.it" rel="nofollow noopener noreferrer")) entro le scadenze previste? E' stato nominato un punto di contatto NIS e un responsabile della sicurezza informatica?
Come verificarlo: Accedi al portale ACN con le credenziali della tua organizzazione. Se l'organizzazione non e' ancora registrata, verifica immediatamente se rientra nel perimetro soggetto tramite la guida alla categorizzazione pubblicata da ACN su acn.gov.it.
Conseguenza del mancato adeguamento: La mancata registrazione e' di per se' una violazione sanzionabile, indipendentemente dal livello di sicurezza tecnica raggiunto. Non registrarsi non significa "non essere visti": l'ACN incrocera' i dati camerali e settoriali per identificare i soggetti obbligati.
Strumento/Soluzione: La registrazione e' gratuita e diretta sul portale ACN. Richiede dati organizzativi, settore di appartenenza, perimetro dei servizi erogati e indicazione dei referenti. Suggerito coinvolgere il consulente legale o il DPO per la corretta categorizzazione.
Questa attivita' esula dal perimetro tecnico di SecBox Shield, ma il nostro team puo' supportarti nella raccolta dei dati tecnici necessari per la registrazione.
8. Patch Management Sistematico e Documentato
Cosa verificare: Esiste un processo formalizzato per l'applicazione delle patch di sicurezza su sistemi operativi, applicazioni e firmware dei dispositivi di rete? Le patch critiche vengono applicate entro 7-14 giorni dalla disponibilita'? Esiste un registro delle patch applicate e di quelle in sospeso?
Come verificarlo: Chiedi un report delle patch mancanti sui sistemi Windows tramite Windows Update o WSUS. Verifica il firmware dei firewall e degli switch: quando e' stato aggiornato l'ultima volta? Controlla se ci sono CVE critiche (CVSS maggiore o uguale a 9.0) aperte da piu' di 30 giorni sui tuoi sistemi.
Conseguenza del mancato adeguamento: La maggior parte degli attacchi sfrutta vulnerabilita' note con patch disponibile da settimane o mesi. Il caso Log4Shell (CVE-2021-44228) ha visto PMI italiane compromesse mesi dopo la disponibilita' della patch. L'art. 21 del D.Lgs. 138/2024 include esplicitamente la "gestione delle vulnerabilita'" tra le misure obbligatorie.
Strumento/Soluzione: Per ambienti Windows, WSUS o Microsoft Endpoint Configuration Manager (MECM) per la gestione centralizzata. Per ambienti misti (Linux, Mac, dispositivi di rete), soluzioni come Ansible, Puppet o piattaforme di vulnerability management come Tenable.io o Qualys permettono visibilita' completa e automazione del patching.
SecBox Shield include aggiornamento automatico del firmware e delle signature del firewall gestito, con notifica e supporto per le patch critiche degli endpoint.
9. Segmentazione di Rete (VLAN e Microsegmentazione)
Cosa verificare: La tua rete e' piatta (tutti i dispositivi nello stesso broadcast domain) o e' segmentata in zone con traffico controllato tra di esse? Esiste almeno una separazione tra rete utenti, rete server, rete DMZ per i servizi esposti, rete IoT/OT e rete ospiti?
Come verificarlo: Chiedi alla rete di un PC utente di pingare un server di produzione: se funziona senza restrizioni, la rete e' piatta. Una rete piatta significa che un ransomware eseguito su un laptop utente puo' propagarsi liberamente a tutti i server senza incontrare ostacoli.
Conseguenza del mancato adeguamento: La segmentazione e' il controllo piu' efficace per limitare il "blast radius" di un incidente. Un ransomware che parte dalla postazione di un dipendente in una rete segmentata correttamente non raggiunge i server di produzione o i backup. In una rete piatta, invece, si espande lateralmente in minuti. L'ENISA nella guida alle misure di sicurezza per le PMI indica la segmentazione come misura prioritaria.
Strumento/Soluzione: La segmentazione base si implementa tramite VLAN sugli switch gestiti e regole firewall inter-VLAN. Per ambienti piu' complessi, soluzioni di microsegmentazione software-defined (VMware NSX, Illumio, o funzionalita' native dei NGFW) permettono una granularita' maggiore. L'investimento in switch gestiti e' la base necessaria.
SecBox Shield include la configurazione e il monitoraggio delle politiche di segmentazione perimetrale sul firewall gestito, con alert per traffico anomalo tra zone.
10. Formazione Dipendenti su Phishing e Sicurezza Informatica
Cosa verificare: I dipendenti ricevono formazione periodica sulla sicurezza informatica? La formazione include simulazioni di phishing con verifica dei risultati? Esiste una procedura chiara per segnalare email sospette?
Come verificarlo: Chiedi a un campione di dipendenti (non solo IT) cosa farebbero se ricevessero un'email con un allegato inaspettato da un mittente sconosciuto. Chiedi se sanno a chi segnalare un'email sospetta. Lancia una campagna di phishing simulato (anche con strumenti gratuiti come GoPhish) e misura il click rate: se supera il 20%, il rischio e' elevato.
Conseguenza del mancato adeguamento: Il phishing e' il vettore iniziale nel 91% degli attacchi informatici secondo i dati ENISA. Tutta la sicurezza tecnica del mondo non protegge se un dipendente consegna volontariamente le proprie credenziali su una pagina di login falsa. La NIS2 all'art. 21 include esplicitamente "le pratiche di igiene informatica di base e formazione in materia di cybersicurezza" tra le misure obbligatorie.
Strumento/Soluzione: Piattaforme di security awareness training come KnowBe4, Proofpoint Security Awareness, Cofense o soluzioni equivalenti permettono campagne di phishing simulate e formazione modularizzata. Come minimo, almeno una sessione di formazione annuale documentata e una campagna di phishing simulato semestrale.
La formazione dei dipendenti non rientra nel perimetro tecnico di SecBox Shield, ma il nostro team puo' fornire report sugli eventi di sicurezza che evidenziano comportamenti a rischio rilevati dal firewall (accessi a siti di phishing noti, download di file pericolosi, ecc.).
Tabella Riepilogativa: Stato e Copertura
| Controllo | Coperto da SecBox Shield | Costo Stimato DIY (annuo) |
|---|---|---|
| 1. Inventario Asset | Parziale (discovery iniziale) | 0 - 2.000 euro (strumenti open source) |
| 2. Firewall NGFW perimetrale | Si (gestione completa) | 3.000 - 15.000 euro (HW + licenze + gestione) |
| 3. VPN con MFA | Si (inclusa nel servizio) | 500 - 3.000 euro (licenze + configurazione) |
| 4. Log WORM 12 mesi | Si (log di rete e firewall) | 1.200 - 6.000 euro (storage + SIEM) |
| 5. Backup off-site cifrato | No (servizio BaaS separato) | 1.500 - 8.000 euro (soluzione + test annuali) |
| 6. Procedura Incident Response | Parziale (SLA + escalation) | 2.000 - 5.000 euro (consulenza + redazione) |
| 7. Registrazione ACN | No (attivita' legale/organizzativa) | 0 - 1.500 euro (tempo interno + consulenza) |
| 8. Patch Management | Parziale (firewall e dispositivi gestiti) | 1.000 - 5.000 euro (strumenti + tempo IT) |
| 9. Segmentazione di rete | Si (politiche firewall inter-VLAN) | 2.000 - 8.000 euro (switch gestiti + config) |
| 10. Formazione dipendenti | No (report comportamentali disponibili) | 1.500 - 6.000 euro (piattaforma + sessioni) |
Nota: i costi DIY sono stime indicative per una PMI tra 20 e 100 dipendenti. Non includono il costo del personale IT interno dedicato, che spesso rappresenta la voce piu' significativa.
Come Usare Questa Checklist
Passo 1: Stampa o salva questa lista e assegna un responsabile per ciascun punto.
Passo 2: Per ogni controllo, classifica lo stato attuale come: Fatto e documentato / Fatto ma non documentato / Parziale / Non fatto.
Passo 3: Prioritizza in base al rischio: i controlli 2, 3, 4 e 5 (firewall, VPN, log e backup) rappresentano la base tecnica irrinunciabile e devono essere affrontati per primi.
Passo 4: Per i controlli non coperti, valuta se gestirli internamente, esternalizzarli o affidarli a un MSSP (Managed Security Service Provider).
Passo 5: Documenta tutto. La conformita' NIS2 non si dimostra con "lo facciamo", ma con evidenze scritte: policy, procedure, log, report, verbali di test.
Riferimenti Normativi e Linee Guida
- D.Lgs. 138/2024 - Testo integrale (Gazzetta Ufficiale) - art. 21 per le misure minime di sicurezza
- ACN - Portale NIS2 e linee guida operative
- ENISA - NIS2 Implementation Guidance
- ENISA - Cybersecurity Guide for SMEs
- ENISA Threat Landscape 2024
Prossimi Passi
La conformita' NIS2 non e' un progetto che si conclude: e' un processo continuo di monitoraggio, aggiornamento e miglioramento. L'importante e' partire da uno stato di consapevolezza chiaro su dove si e' oggi.
Se vuoi una valutazione tecnica personalizzata del tuo livello di conformita', il team SecBox offre un assessment gratuito che include:
- Analisi della topologia di rete esistente
- Verifica dei controlli tecnici principali
- Report con gap identificati e priorita' di intervento
- Stima dei costi di adeguamento
Nessun impegno commerciale immediato: l'obiettivo e' darti una fotografia reale della situazione per prendere decisioni informate.