Undici altamente critici (All. I) e sette critici (All. II) del D.Lgs. 138/2024, oltre ad All. III–IV per PA e ulteriori tipologie.
Conformità · NIS2
Assessment NIS2 per soggetti essenziali e importanti.
Direttiva (UE) 2022/2555 e D.Lgs. 138/2024. Un perimetro che attraversa governance, gestione incidenti, supply chain, continuità operativa, controllo accessi, crittografia. Circa 250 controlli organizzati in 20 aree, ancorati alle norme puntuali e calibrati sul profilo dell'organizzazione.
Contesto
La direttiva ridefinisce il livello minimo di sicurezza europeo.
NIS2 estende perimetro, obblighi e responsabilità della governance rispetto alla NIS1. La classificazione essenziale o importante combina criteri settoriali, dimensionali e categorie speciali secondo il D.Lgs. 138/2024.
Per soggetti essenziali, o il 2% del fatturato. Per soggetti importanti €7M o 1,4%. Regime distinto per le PA, secondo i criteri dell'art. 38.
Pre-notifica entro 24 ore dalla conoscenza dell'incidente. Notifica entro 72 ore. Relazione finale entro un mese, salvo aggiornamenti intermedi richiesti.
Determinazione ACN n. 379907/2025: specifiche di base applicabili dal 15 gennaio 2026. Termini di adozione graduati a 9 o 18 mesi dall'inserimento nell'elenco NIS.
Perché un assessment NIS2 è complesso
Quattro fattori che lo distinguono dagli audit precedenti.
Perimetro ampio
L'assessment coinvolge decine di aree di processo: dalla governance alla gestione incidenti, dalla supply chain alla continuità operativa, dal controllo accessi alla crittografia. Centinaia di controlli da valutare in modo coerente fra loro.
Classificazione non lineare
Essere essenziale o importante non dipende solo dal settore. Combina criteri dimensionali, categorie speciali e procedure di individuazione ACN previste dal D.Lgs. 138/2024. La classificazione corretta è il primo step e condiziona tutto il resto.
Evidenze frammentate
Policy, log, contratti, procedure operative distribuiti tra unità, sistemi e fornitori. La raccolta tradizionale via email e fogli produce zone d'ombra, dati incoerenti e impossibilità di verificare quando una risposta è stata aggiornata l'ultima volta.
Tempi e vigilanza
Vigilanza ACN, obblighi di notifica stringenti e adempimenti su scadenze ravvicinate. Il margine per assessment lunghi e artigianali si è ridotto rispetto a quanto era possibile sotto NIS1.
Cosa copre l'assessment
Venti aree di processo, calibrate sul perimetro.
Le aree corrispondono ai requisiti di sicurezza posti dalla direttiva e dalla normativa di recepimento italiana. Le sezioni si attivano in funzione del profilo del soggetto: non tutto è applicabile a tutti, ma il questionario riconosce quando una sezione va saltata e quando va approfondita.
Governance e responsabilità
Organi di indirizzo, ruoli, responsabilità documentate, formazione del management su rischio cyber.
Risk management
Identificazione e analisi del rischio, mitigazioni adottate, riesame periodico.
Gestione incidenti
Rilevazione, classificazione, contenimento, notifica al CSIRT entro le finestre previste.
Continuità operativa
Business continuity, disaster recovery, gestione delle crisi, test periodici.
Supply chain
Sicurezza dei fornitori, clausole contrattuali, valutazione del rischio terzi.
Controllo accessi
Identità, autenticazione, autorizzazione, MFA, gestione del privilegio.
Crittografia
Cifratura dei dati a riposo e in transito, gestione delle chiavi.
Sviluppo sicuro
Secure development lifecycle, gestione delle vulnerabilità, patching.
Altre aree
Sicurezza fisica, asset management, formazione, monitoraggio, gestione log, conformità documentale. L'elenco completo viene definito nello scoping in base al perimetro.
Esperienza applicata
Metodo già applicato in un engagement istituzionale.
Il metodo descritto in questa pagina è stato applicato in un assessment NIS2 condotto per un ente regolatore nazionale italiano nel periodo 2025–2026. Le specificità del cliente coperte da riservatezza non sono pubblicate. La metodologia, lo strumento e la struttura del questionario sono trasferibili a soggetti con perimetri analoghi.
Lo stesso metodo
Piattaforma, deliverable, modello di maturità: descritti una volta sola.
La parte di metodologia comune a tutte le certificazioni — come funziona la piattaforma open-source, quali documenti consegniamo, come si legge la scala di maturità 0–5, quali sono le fasi del lavoro — è descritta una volta nella pagina principale di Conformità.
Hai una scadenza NIS2 da affrontare?
Partiamo da uno scoping: classificazione del soggetto, perimetro, persone responsabili, disponibilità delle evidenze già esistenti. Da lì si dimensiona il resto.