È passato un anno e poco più dall'entrata in vigore del D.Lgs. 138/2024. Per noi è stato un anno di asset inventory, gap analysis, runbook scritti e riscritti, sessioni di formazione, e — sì — anche di prime ispezioni. Sette aziende seguite end-to-end, da settori diversi (manifatturiero, logistica, servizi digitali, ricerca). Ecco cosa abbiamo imparato.
Le cinque cose che fanno davvero la differenza
1. Una persona dedicata, anche se part-time
Le aziende che hanno designato un referente cybersecurity con tempo allocato — anche solo il 20% del FTE — sono andate spedite. Quelle che hanno assegnato tutto al "responsabile IT che già fa altre dieci cose" hanno arrancato. Non serve un CISO a tempo pieno per una PMI da 80 dipendenti, ma serve qualcuno che sappia di averci sopra il cappello.
2. Asset inventory che si aggiorna da solo
Un foglio Excel di asset compilato a gennaio è obsoleto a marzo. Le aziende che hanno collegato l'inventory a fonti vive (intune, EDR, monitoraggio di rete) hanno informazioni utili. Le altre hanno un documento che fa bella figura in audit ma che nessuno usa.
3. Runbook di incident response brevi
Documenti di 80 pagine non funzionano. Le aziende che hanno fatto bene hanno scritto runbook di 2-4 pagine per scenario: ransomware, perdita di credenziali admin, fuga dati clienti, indisponibilità di un servizio critico. Pagine pratiche, con numeri di telefono, decisioni binarie e tempi.
4. Tabletop exercise almeno annuale
Far sedere a tavolino direzione, IT e legale per simulare un incidente è il singolo esercizio con il miglior rapporto costo/beneficio. Due ore una volta all'anno svelano lacune che nessun audit documentale rivela.
5. Supply chain più che sé stessi
La maggior parte delle vulnerabilità reali viene dai fornitori IT. Avere un'anagrafica fornitori con livelli di criticità, contratti aggiornati e SLA di sicurezza è più rilevante di molti controlli interni. La NIS2 lo richiede esplicitamente, e ha ragione.
Le tre cose che si possono evitare (almeno all'inizio)
1. SIEM molto costosi
Un SIEM enterprise costa decine di migliaia di euro l'anno e richiede competenze che le PMI raramente hanno. Per il primo anno, un servizio managed di SOC esterno copre il bisogno con una frazione del costo. Si può internalizzare dopo, quando c'è team.
2. Certificazioni costose senza necessità
ISO 27001 è una buona cosa. Non è obbligatoria per la NIS2 e perseguirla nei primi 12 mesi distrae da misure più immediatamente utili. Meglio metterla a piano per l'anno 2-3.
3. Strumenti che nessuno userà
Comprare un EDR top-tier che poi nessuno guarda i suoi alert è peggio che non averlo. Ogni strumento deve avere un proprietario e un workflow operativo. Quelli che non li hanno, vanno rinviati.
Le ispezioni viste da vicino
L'ACN nel 2025 ha iniziato controlli mirati. Quello che abbiamo visto: domande pratiche più che documentali. "Mostratemi gli ultimi 30 alert del vostro EDR." "Qual è il vostro tempo medio di patching critici?" "Chi è la persona che risponde al telefono se vi notificate un incidente?" Le aziende preparate hanno risposto in minuti. Quelle non preparate hanno fatto figure imbarazzanti.
Bilancio
La NIS2 in Italia, dopo un anno, è meno un peso e più una occasione. Le aziende che l'hanno presa sul serio sono oggettivamente più sicure di un anno fa. Quelle che l'hanno buttata in burocrazia sono ancora vulnerabili — solo con più carta in più. La differenza non è l'abbondanza di norme. È la serietà con cui le si applica.