Checklist NIS2: mancano 6 mesi alla scadenza di ottobre. La tua azienda è pronta?
Sommario
Meno di sei mesi. È il tempo che separa molte aziende italiane da una delle scadenze più rilevanti della NIS2. Per l’occasione abbiamo preparato una checklist NIS2 in otto semplici punti che aiuta le aziende ad elevare i propri livelli di sicurezza informatica.
Checklist NIS2: perché è una legge importante e cosa accade ad ottobre
La NIS2 è la direttiva europea che alza il livello minimo di cybersicurezza per soggetti essenziali e importanti, imponendo obblighi di governance, gestione del rischio, sicurezza tecnica, formazione, controllo della supply chain e notifica degli incidenti.
In Italia è stata recepita dal D.Lgs. 138/2024. Per molte organizzazioni, la scadenza di ottobre 2026 rappresenta una tappa decisiva: entro quella data non basterà aver avviato il percorso, servirà dimostrare di aver adottato misure concrete e documentate.
Chi non ha ancora avviato un percorso strutturato di adeguamento, ha ancora una finestra utile. Ma si sta chiudendo.
Adeguarsi alla NIS2: normativa, obblighi e aree di intervento in otto passaggi
La checklist NIS2 che segue esplora otto aree operative per misurare concretamente il livello di preparazione della propria organizzazione rispetto alla NIS2, normativa che in Italia ha già forza di legge e che coinvolge migliaia di aziende, direttamente o come parte della filiera (anche i fornitori tecnologici delle aziende essenziali hanno obblighi da rispettare).
Ogni punto è una domanda concreta. Più risposte mancano, più urgente è agire.
1. Il perimetro di applicazione è chiaro?
Sapere se si è soggetti essenziali o importanti è il punto di partenza. Ma il perimetro della direttiva NIS2 è più ampio di quanto sembri.
Anche le aziende che non rientrano direttamente tra i soggetti obbligati possono trovarsi a dover rispondere a requisiti di sicurezza precisi, se fanno parte della filiera di un soggetto essenziale o importante. I grandi clienti soggetti a NIS2 stanno già iniziando a richiedere garanzie formali ai propri fornitori.
Vale la pena verificare non solo la propria posizione formale, ma anche il ruolo che si occupa nella supply chain e le aspettative che ne derivano.
2. Il management è coinvolto?
La NIS2 attribuisce agli organi di gestione la responsabilità diretta di approvare e supervisionare le misure di sicurezza adottate.
In parole semplici: la cybersicurezza smette di essere una questione esclusivamente tecnica, delegata all’IT. Diventa una priorità che riguarda chi guida l’azienda: amministratori, dirigenti, CDA. Con responsabilità personali in caso di inadempienza.
Se questa responsabilità è già formalmente assegnata, il passo successivo è verificare che chi la ricopre abbia le informazioni e gli strumenti per esercitarla concretamente. Se invece i perimetri di responsabilità sono ancora indefiniti, formalizzarli è urgente.
3. È stata condotta una valutazione del rischio?
È il punto da cui dipende tutto il resto.
Senza una mappatura chiara degli asset critici, delle vulnerabilità e delle minacce rilevanti per il proprio settore, qualsiasi misura di sicurezza rischia di essere generica e inefficace.
La valutazione del rischio deve includere sistemi interni, dati sensibili, dipendenze tecnologiche e fornitori chiave. Va documentata, aggiornata periodicamente e portata all’attenzione del vertice aziendale.
4. Le misure di sicurezza tecnica sono adeguate?
La normativa individua aree precise di intervento, lasciando alle organizzazioni la scelta degli strumenti più adatti al proprio contesto. Questo richiede una valutazione consapevole di cosa è già in essere e cosa manca.
Le aree prioritarie:
- autenticazione a più fattori (MFA) su sistemi e accessi critici
- cifratura dei dati sensibili in transito e a riposo
- gestione degli accessi privilegiati
- backup verificati e piani di ripristino testati
- monitoraggio continuo degli eventi di sicurezza
Il punto di partenza è una gap analysis onesta rispetto allo stato attuale.
5. Il piano di risposta agli incidenti è operativo?
Avere un piano scritto non basta. Le scadenze NIS2 per la gestione e la comunicazione degli incidenti significativi sono molto stringenti:
- preallarme ad ACN: entro 24 ore dalla rilevazione
- notifica dettagliata: entro 72 ore
- relazione finale: entro 30 giorni
Rispettare queste finestre temporali richiede processi già rodati, ruoli chiari e strumenti pronti. Se il piano esiste ma non è mai stato simulato, una esercitazione è fortemente consigliata.
6. La sicurezza della supply chain è presidiata?
Questo punto vale in entrambe le direzioni.
Per i soggetti obbligati: un incidente che entra attraverso un fornitore esterno genera gli stessi obblighi di notifica e le stesse responsabilità di uno che colpisce direttamente l’infrastruttura interna.
Per le aziende della filiera: essere preparate su questo fronte significa essere un partner più affidabile. Mappare le dipendenze critiche e includere requisiti di sicurezza nei contratti con fornitori e clienti è una misura concreta — e sempre più richiesta.
7. Il personale è formato?
La maggior parte degli incidenti informatici ha un’origine umana: phishing, credenziali deboli, errori di configurazione, comportamenti inconsapevoli.
La NIS2 richiede esplicitamente che le organizzazioni formino il personale sulle pratiche di cybersicurezza. Una formazione efficace include la conoscenza delle minacce più comuni e, dove possibile, simulazioni che mettano alla prova i comportamenti reali.
Pianificare almeno un ciclo formativo entro la prima metà del 2026 è un investimento con ritorni che vanno ben oltre la sola compliance.
8. La documentazione è in ordine?
La NIS2 non richiede solo di fare le cose giuste. Richiede di poterlo dimostrare.
Valutazioni del rischio, misure implementate, decisioni prese, incidenti gestiti: tutto deve essere tracciato e disponibile in caso di verifica da parte di ACN. Una documentazione lacunosa, anche a fronte di misure tecniche adeguate, può tradursi in contestazioni formali.
Costruire un audit trail solido non è un esercizio burocratico. È la prova tangibile che il percorso di adeguamento è stato affrontato con metodo.
La NIS2 come leva per migliorare
Ci sono due modi di affrontare la NIS2.
Il primo è fare il minimo indispensabile per risultare conformi. Il secondo, più efficace, è usare questa fase per rafforzare davvero l’infrastruttura aziendale. Mappare i rischi. Aggiornare i sistemi. Chiarire le responsabilità. Formare le persone. Costruire processi che funzionino anche sotto pressione.
Le organizzazioni che scelgono questa strada ne escono con un’infrastruttura più solida, una capacità di risposta concreta e una posizione più forte nei confronti di clienti e partner. La checklist NIS2 è un punto di partenza solido per tutte le imprese interessate a migliorare la sicurezza.
La compliance è il requisito minimo. La resilienza operativa è il risultato che vale.
