Guida all'uso di NIS2 Agile

Per chi inizia da zero

Benvenuto. Questa guida ti accompagna passo passo nell'uso della piattaforma NIS2 Agile, spiegando con parole semplici cosa devi fare e perché — senza dare per scontato che tu sia un esperto di cybersecurity. Troverai per ogni argomento la spiegazione in parole semplici, un esempio pratico e cosa dice la norma.

1 Cos'è la NIS2 (in 5 minuti)

In parole semplici. NIS2 è una legge europea (Direttiva UE 2022/2555, recepita in Italia con il D.Lgs. 138/2024) che obbliga molte aziende a proteggere bene i propri sistemi informatici. Lo scopo è evitare che attacchi hacker, fughe di dati o blocchi dei sistemi danneggino cittadini, servizi essenziali (ospedali, energia, acqua, trasporti) e l'economia europea.

NIS2 stabilisce quattro grandi obblighi:

  1. Misurare il rischio cyber della propria azienda e migliorare le difese (Art. 21).
  2. Segnalare gli incidenti gravi alle autorità entro tempi precisi (Art. 23).
  3. Formare il personale, soprattutto i dirigenti (Art. 20).
  4. Controllare i fornitori che hanno accesso ai propri sistemi (Art. 21, lettera d).
Esempio reale. Una clinica privata con 250 dipendenti è "in scope" NIS2 perché opera nel settore sanitario (settore essenziale). Se subisce un ransomware che blocca le cartelle cliniche per 8 ore, deve notificarlo al CSIRT Italia entro 24 ore con una prima segnalazione e poi entro 72 ore con i dettagli completi.
Considerando UE La direttiva sostituisce la "NIS1" del 2016 ampliando settori coinvolti, inasprendo le sanzioni (fino al 2% del fatturato globale o 10 milioni €) e introducendo la responsabilità diretta degli organi di vertice (amministratori) sulla cybersecurity.

2 La tua azienda è "in scope"?

In parole semplici. "In scope" vuol dire che la legge si applica a te. Dipende da cosa fai (settore) e quanto sei grande (dipendenti e fatturato).

I settori coinvolti

Sono divisi in due gruppi:

Settori essenziali (controlli più stringenti)

Energia, trasporti, banche, finanza, sanità, acqua potabile e reflue, infrastrutture digitali (data center, DNS, TLD), Pubblica Amministrazione, spazio.

Settori importanti (controlli normali)

Servizi postali, gestione rifiuti, chimica, alimentare, manifattura (apparecchi medici, computer, veicoli, ecc.), provider digitali (motori di ricerca, social, marketplace), ricerca.

Le soglie dimensionali

  • Media impresa = 50–249 dipendenti oppure fatturato tra 10 e 50 milioni €.
  • Grande impresa = ≥250 dipendenti oppure fatturato >50 milioni €.

In generale: medie e grandi imprese nei settori sopra elencati sono in scope. Le piccole sono in scope solo in casi particolari (es. fornitori di servizi DNS, TLD, registrar).

Esempio pratico. "Aurora Sanità S.p.A." con 480 dipendenti e 92 milioni € di fatturato, settore sanitario → essenziale + grande → pienamente in scope. Deve registrarsi sul portale ACN (Agenzia per la Cybersicurezza Nazionale) entro le scadenze.
Art. 2 + Allegati I e II L'ambito di applicazione è definito dagli articoli 2 della Direttiva e specificato negli Allegati I (settori essenziali) e II (settori importanti) del D.Lgs. 138/2024.

3 Cosa fa la piattaforma NIS2 Agile

La piattaforma ti aiuta a fare tutto quello che la NIS2 chiede, in modo organizzato e documentabile. Non sostituisce il giudizio di un consulente o un CISO, ma ti dà gli strumenti per:

  • Capire quanto sei conforme oggi (Gap Analysis con 80 domande).
  • Tenere un registro dei rischi aggiornato.
  • Gestire gli incidenti con i moduli di notifica già pronti per il CSIRT.
  • Generare policy di sicurezza usando l'AI.
  • Monitorare i fornitori critici.
  • Pianificare la formazione dei dipendenti.
  • Inventariare gli asset critici.
  • Estrarre report per audit interni o per le autorità.

4 Il percorso tipico (cosa fare per primo)

Se è la tua prima volta, segui questi passi in ordine:

  1. Completa l'Onboarding — inserisci i dati aziendali (puoi caricare la visura e l'AI estrae i dati automaticamente). Classifica la tua azienda come essenziale/importante.
  2. Fai un primo Assessment (Gap Analysis) — rispondi alle 80 domande, anche se in più sessioni. Otterrai un punteggio di maturità complessiva.
  3. Crea il Risk Register — parti dai rischi più ovvi (ransomware, phishing, guasto sistemi). L'AI può suggerirti rischi tipici del tuo settore.
  4. Inserisci gli asset critici — i sistemi/dati senza i quali l'azienda si ferma.
  5. Mappa i fornitori critici — quelli con accesso ai tuoi sistemi o dati.
  6. Genera/approva le policy fondamentali — usa l'AI per le bozze, poi rivedile.
  7. Pianifica la formazione — soprattutto per i dirigenti (obbligo Art. 20).
  8. Quando arriva un incidente — usalo dal modulo Incidenti per gestire la notifica 24h/72h/30d.
  9. Genera il report esecutivo dalla sezione Report — utile per il board.
Tempi indicativi. Un primo ciclo "decente" si fa in 6–8 settimane di lavoro spalmate, con 2 persone (un IT e un compliance). Non puntare alla perfezione subito: meglio coprire tutte le 10 categorie al 50% che 3 al 100% e 7 a zero.

Benchmark settoriale (anonimo)

Nella Dashboard trovi un confronto del tuo punteggio di compliance con la media del tuo settore, calcolata sulla rete delle aziende che usano la piattaforma. Vedi dove ti collochi (top 25%, sopra/sotto la mediana) e lo scarto rispetto alla media. È un dato che i tool tradizionali non possono offrire, perché serve una rete multi-azienda.

Privacy. Il confronto è anonimo e aggregato: appare solo se nel tuo settore ci sono almeno 3 organizzazioni, e non mostra mai i dati di una singola azienda.

5 Gap Analysis — le 10 misure dell'Art. 21

In parole semplici. L'Art. 21 elenca 10 famiglie di "cose che devi avere". La Gap Analysis ti fa domande per ognuna e calcola quanto sei attrezzato. Non serve essere perfetti — serve sapere dove sei messo male e aver iniziato a migliorare.

Le 10 misure (semplificate):

a) Politiche di analisi del rischio

Hai scritto come la tua azienda gestisce il rischio cyber? Ti serve almeno una policy approvata dall'amministratore delegato che descriva il metodo (es. ISO 27005).

b) Gestione degli incidenti

Sai cosa fare quando succede qualcosa? Devi avere una procedura scritta che dica: chi viene chiamato, in che ordine, chi notifica al CSIRT, chi parla con i giornalisti.

c) Continuità operativa e gestione delle crisi

Se cade un server, in quanto tempo riparti? RTO (tempo per ripartire) e RPO (quanti dati puoi perdere) vanno definiti e testati almeno una volta l'anno.

d) Sicurezza della supply chain

I tuoi fornitori sono sicuri? Manda loro un questionario sicurezza, chiedi le loro certificazioni, metti clausole NIS2 nei contratti.

e) Sicurezza nell'acquisto, sviluppo e manutenzione

Quando comprate software, è sicuro? Patch management, test prima del go-live, gestione vulnerabilità (CVE).

f) Politiche di valutazione dell'efficacia

Misuri se le tue misure funzionano? Audit periodici (interni o esterni), KPI cyber, revisione annuale del SoA (Statement of Applicability).

g) Igiene cibernetica di base e formazione

I tuoi dipendenti sanno riconoscere un phishing? Password manager, MFA, formazione almeno annuale per tutti i livelli.

h) Crittografia

I dati sensibili sono cifrati? AES-256 per i dati a riposo, TLS 1.3 per i dati in transito. Gestione corretta delle chiavi.

i) Sicurezza del personale, controllo accessi e gestione asset

Chi può accedere a cosa? Principio del minimo privilegio, revisione accessi 2 volte l'anno, offboarding rapido quando un dipendente esce.

j) Autenticazione a più fattori (MFA)

Hai MFA almeno su email, VPN, amministrazione? Obbligatorio per tutti gli accessi critici. Anche SMS è meglio di nulla, app authenticator è meglio di SMS, hardware token (FIDO2) è il top.

Esempio Aurora Sanità. Punteggio iniziale 58%. I gap principali sono in Supply Chain (40%) e Crittografia (50%). Piano di azione: assessment dei 12 fornitori critici entro 6 mesi, attivare TLS 1.3 ovunque e cifratura at-rest sui DB cartelle cliniche entro 9 mesi.

Come si fa nella piattaforma

  1. Vai su Gap Analysis e clicca "Nuovo Assessment".
  2. Rispondi alle 80 domande (sei modalità: implementato / parziale / non implementato / non applicabile).
  3. Per ogni risposta, indica il livello di maturità (1–5).
  4. Salva: puoi continuare in più sessioni.
  5. Quando finisci, clicca "Analisi AI" per ricevere raccomandazioni prioritarie.

6 Gestione dei Rischi

In parole semplici. Il "registro dei rischi" è un elenco di cose brutte che potrebbero accadere, con quanto è probabile e quanto farebbe male. Per ognuna decidi cosa fare: ridurla, accettarla, assicurarla, o eliminarla.

La matrice 5×5

Ogni rischio ha due valori:

  • Probabilità (1–5): 1 = quasi mai, 5 = quasi certo.
  • Impatto (1–5): 1 = trascurabile, 5 = catastrofico.

Il prodotto (probabilità × impatto) dà il punteggio di rischio da 1 a 25. Sopra 16 è critico, 9–15 alto, 4–8 medio, sotto 4 basso.

Le quattro strategie di trattamento

  • Mitigare: riduco probabilità o impatto (es. installo backup offsite per ridurre l'impatto di un ransomware).
  • Trasferire: passo il rischio a un altro (es. cyber-insurance).
  • Accettare: il rischio è basso, lo accetto consapevolmente (con firma del board).
  • Evitare: smetto di fare l'attività che genera il rischio.
Esempio. Rischio "Ransomware su sistema PACS" (Aurora Sanità) → probabilità 4, impatto 5 → punteggio inerente 20 (critico). Trattamento: mitigazione = MFA su RDP + backup immutabili + patch mensili. Dopo le misure: probabilità 2, impatto 4 → punteggio residuo 8 (medio).

Come si fa nella piattaforma

  1. Vai su Rischi e clicca "Nuovo Rischio" (o "AI Suggerisci" per partire dai rischi tipici del tuo settore).
  2. Compila titolo, descrizione, categoria, minaccia e vulnerabilità.
  3. Imposta probabilità e impatto inerenti (1–5 ciascuno).
  4. Scegli la strategia di trattamento e descrivi le azioni concrete.
  5. Imposta probabilità e impatto residui (dopo le misure).
  6. Assegna un responsabile e una data di revisione.
Art. 21 (2)(a) Le politiche di analisi dei rischi e di sicurezza dei sistemi informatici devono essere documentate, approvate dagli organi di vertice, e aggiornate almeno una volta l'anno.

Analisi quantitativa FAIR (vista "Quantitativo")

Oltre alla matrice qualitativa, puoi stimare il rischio in euro: quanto ti costerebbe mediamente all'anno. Inserisci la frequenza attesa degli eventi (TEF: minimo, probabile, massimo), la vulnerabilità (da 0 a 1) e la perdita per evento (minima, probabile, massima). La piattaforma esegue una simulazione Monte Carlo e restituisce la Perdita Annua Attesa (ALE) con i percentili P10 / P50 / P90 e un istogramma.

Esempio. Ransomware: 0,5–2 attacchi/anno (probabile 1), vulnerabilità 0,3, perdita 50k–2M € (probabile 300k). Risultato: ALE media ≈ 175.000 € l'anno. Un numero così parla alla Direzione meglio di "rischio alto" e aiuta a giustificare gli investimenti di sicurezza.

Il Registro Quantitativo somma l'ALE di tutti i rischi quantificati, dando l'esposizione economica complessiva del portafoglio.

Indicatori chiave di rischio – KRI (vista "KRI")

I KRI sono sensori che monitorano nel tempo segnali di rischio (es. "% endpoint senza MFA", "n. vulnerabilità critiche aperte"). Per ogni indicatore definisci un valore corrente e due soglie (attenzione e critica): la piattaforma calcola da sola lo stato a semaforo – verde, ambra, rosso – in base al valore e alla direzione (se valori alti o bassi sono peggio).

Esempio. KRI "% endpoint senza MFA": soglia attenzione 10%, critica 25%. Valore attuale 18% → semaforo ambra. Sale a 30% → rosso: intervento prioritario.

7 Incidenti — gli obblighi 24h / 72h / 30d

In parole semplici. Se hai un incidente "significativo" devi avvisare il CSIRT (la squadra nazionale di risposta cyber) in tre tappe: una prima allerta entro 24 ore, una notifica completa entro 72 ore, e un report finale entro 30 giorni.

Quando un incidente è "significativo"?

Almeno uno di questi criteri:

  • Ha colpito ≥ 500 utenti.
  • Ha bloccato i servizi per > 4 ore.
  • Ha impatto transfrontaliero (altri Stati UE).
  • È un cyber attack intenzionale (ransomware, DDoS, intrusione…).
  • Ha generato danni economici diretti > 100.000 €.

La timeline

24h Early Warning

Prima segnalazione "veloce". Bastano: cosa è successo, sospetti di malevolenza, impatto preliminare. Non devi avere ancora tutte le risposte.

72h Notifica completa

Aggiornamento dettagliato: indicatori di compromissione, sistemi colpiti, misure di contenimento applicate, stima impatto.

30d Final Report

Analisi completa: root cause, azioni correttive, lezioni apprese, raccomandazioni per il futuro.

Esempio. Aurora Sanità subisce un DDoS sul portale prenotazioni alle 09:00 di lunedì. Sono colpiti 8.500 utenti per 4 ore → significativo. Workflow: Early Warning entro martedì 09:00 → Notifica entro giovedì 09:00 → Final Report entro mercoledì 28 (30 giorni dopo).

Come si fa nella piattaforma

  1. Vai su Incidenti e clicca "Registra Incidente".
  2. Compila titolo, classificazione, severità, ora di rilevazione.
  3. Il sistema calcola automaticamente le 3 scadenze (24h/72h/30d).
  4. Quando arriva il momento, usa i bottoni "Invia Early Warning", "Invia Notifica" e "Invia Final Report": le email partono verso l'indirizzo CSIRT configurato.
  5. Aggiorna lo stato dell'incidente (analisi → contenimento → eradicazione → recovery → chiuso).
  6. Compila root cause e lezioni apprese alla chiusura.
Art. 23 Stabilisce gli obblighi di segnalazione degli incidenti significativi al CSIRT competente. Il mancato rispetto delle scadenze è sanzionabile fino al 2% del fatturato globale per le entità essenziali.

8 Policy e procedure

In parole semplici. Una "policy" è un documento scritto che dice come si fa una cosa in azienda. Serve sia per fare bene, sia per dimostrare alle autorità che ci hai pensato.

Le policy minime per NIS2:

  1. Politica di Sicurezza delle Informazioni (master).
  2. Procedura di Gestione Incidenti.
  3. Politica di Continuità Operativa (BCP/DR).
  4. Politica di Controllo Accessi.
  5. Politica di Crittografia.
  6. Politica Supply Chain.
  7. Politica Vulnerability Management.
  8. Acceptable Use Policy (per i dipendenti).
Esempio. Genera con l'AI la bozza della "Politica di Crittografia": clicchi "Genera con AI", indichi il settore (sanità), l'AI ti propone un documento di 4–5 pagine con sezioni standard (algoritmi accettati, gestione chiavi, KMS, audit). Tu rivedi, adatti e fai approvare dal CDA. Il sistema marca la versione, la data di approvazione e la prossima revisione.

Stati di una policy

Bozza → In revisione → Approvata → Pubblicata → Archiviata (quando sostituita).

9 Supply Chain (Fornitori)

In parole semplici. Se un tuo fornitore IT viene bucato, l'attaccante può entrare in casa tua. NIS2 ti obbliga a valutare i fornitori "critici" (quelli con accesso ai tuoi sistemi o dati sensibili).

Cosa fare per ogni fornitore critico

  1. Inserirlo nell'anagrafica con dati di contratto.
  2. Classificare la criticità (low/medium/high/critical).
  3. Inviargli il questionario sicurezza (40+ domande standard).
  4. Verificare la risposta e assegnare un risk score (0–10).
  5. Rinnovare la valutazione almeno una volta l'anno.
  6. Inserire clausole NIS2 nel contratto (right to audit, notifica incidenti, etc.).
Esempio. "MedTech Manutenzione PACS S.r.l." ha accesso remoto al PACS di Aurora Sanità → criticità "critical". Risk score iniziale 6/10 (ha ISO 27001, ma sub-appalto non chiaro). Azione: clausola contrattuale che vieta sub-appalto senza autorizzazione e impone notifica incidenti entro 24h.

10 Formazione (Art. 20)

In parole semplici. NIS2 è chiara: gli amministratori (CDA, direttori) devono essere formati sulla cybersecurity. Non è un nice-to-have, è obbligatorio. E sono loro che rispondono in prima persona se l'azienda non è conforme.

Chi formare

  1. Organi di vertice (CDA, amministratori): formazione specifica annuale.
  2. Personale IT/sicurezza: formazione tecnica continua.
  3. Tutto il personale: awareness training (phishing, password, segnalazioni) almeno annuale.
Esempio. Aurora Sanità organizza: 1 corso da 4h per CDA, 1 corso da 16h per il team IT, una sessione obbligatoria di 1h per tutti i dipendenti più simulazioni di phishing trimestrali. Tutto loggato nel modulo Formazione.

Come si fa nella piattaforma

  1. Vai su Formazione → "Nuovo Corso".
  2. Definisci titolo, contenuti, durata, ruoli target.
  3. Assegna il corso ai dipendenti (singoli o per gruppo).
  4. Imposta scadenza e prerequisiti (es. obbligatorio prima dell'onboarding).
  5. Monitora il completamento dal cruscotto "Compliance Status".
Art. 20 Gli organi di gestione delle entità essenziali e importanti devono seguire una formazione che consenta loro di acquisire conoscenze e competenze sufficienti per individuare i rischi e valutare le pratiche di gestione del rischio di cibersicurezza.

11 Asset (cosa hai e cosa proteggi)

In parole semplici. Non puoi proteggere quello che non sai di avere. L'inventario asset elenca tutti i sistemi, applicazioni, database e infrastrutture critiche.

Tipi di asset

  • Hardware: server, PLC, dispositivi mobili.
  • Software: applicazioni gestionali, SCADA, CRM.
  • Network: firewall, router, switch.
  • Data: database, file storage, backup.
  • Service: portali web, API.
  • Personnel: utenti privilegiati, ruoli chiave.
  • Facility: data center, sale server.
Esempio. Aurora Sanità inserisce: il PACS, il database cartelle cliniche, il portale prenotazioni. Per ognuno: criticità, vendor, location, owner. Quando arriva un incidente o un rischio, può essere associato a uno o più asset → tracciabilità totale.

12 Audit & Report

In parole semplici. Quando le autorità (ACN) verranno a chiederti conto della tua compliance, devi poter mostrare documenti, evidenze, registri. Qui li trovi tutti.

Cosa puoi fare

  • Controlli: lista dei 10 controlli Art. 21 + mapping ISO 27001 con stato di implementazione (0–100%).
  • Evidence Files: carica documenti probatori (verbali, screenshot, certificati).
  • Audit Log: registro immutabile di tutto quello che succede in piattaforma (utenti, modifiche, accessi). Garantito con catena hash SHA-256.
  • Report Esecutivo: PDF/HTML stampabile per il CDA.
  • Export CSV: rischi, incidenti, controlli, asset.
Esempio. Pre-audit ISO 27001: genera il report esecutivo, esporta in CSV rischi e controlli, scarica l'audit log certificato. L'auditor ha tutto in 5 minuti.

13 Segnalazioni interne (Whistleblowing)

In parole semplici. NIS2 incoraggia (e in alcuni casi obbliga) ad avere un canale anonimo dove dipendenti e collaboratori possono segnalare problemi di sicurezza senza paura di ritorsioni.

Tipi di segnalazione

  • Whistleblowing: anonimo, comportamenti illeciti.
  • Feedback bug/UX: segnalazioni operative sulla piattaforma stessa, classificate dall'AI e (opzionalmente) risolte automaticamente.
Esempio. Un dipendente nota che le credenziali admin del CRM sono salvate in un foglio Excel condiviso. Invia una segnalazione anonima → il responsabile compliance la riceve con codice di tracciamento → il dipendente può seguire lo stato senza rivelare la propria identità.

14 AI — come usarla bene

In parole semplici. La piattaforma usa Claude (Anthropic) per assisterti. L'AI è bravissima a partire dal foglio bianco, ma non sostituisce il tuo giudizio: rivedi sempre quello che produce prima di approvarlo.

Dove trovi l'AI

  • Analisi Assessment: dopo aver completato la Gap Analysis, genera un'analisi delle priorità con raccomandazioni.
  • AI Suggerisci Rischi: parte dal tuo settore + asset e propone una lista di rischi tipici.
  • Genera Policy: bozza di policy a partire dalla categoria.
  • Classifica Incidente: dato un incidente, suggerisce severità e classificazione.
  • Knowledge Base RAG: chiedi all'AI partendo dai documenti che hai caricato.
  • Classificazione Feedback: tag automatico per le segnalazioni di bug/UX.
Buona pratica. Quando l'AI suggerisce 8 rischi, non importarli tutti ciecamente. Scegli i 4 più rilevanti per il tuo contesto, scartane uno che è duplicato di un asset interno, e personalizza descrizione/probabilità per la tua realtà.

Limiti che devi conoscere

  • L'AI non vede i tuoi dati grezzi: solo metadati anonimizzati (settore, range dipendenti, categoria asset).
  • Le bozze di policy devono essere riviste da un umano competente prima della pubblicazione.
  • L'AI non è un consulente legale né un sostituto del CISO.

15 Glossario rapido

ACN Agenzia per la Cybersicurezza Nazionale
L'autorità italiana che vigila sulla NIS2 e raccoglie le notifiche di incidenti.
CSIRT Computer Security Incident Response Team
Squadra nazionale di risposta agli incidenti. Riceve le notifiche 24h/72h/30d.
ENISA Agenzia UE per la Cybersicurezza
Coordina a livello europeo le linee guida operative NIS2.
RTO Recovery Time Objective
Quanto tempo massimo puoi stare giù prima di tornare operativo. Esempio: RTO 4 ore.
RPO Recovery Point Objective
Quanti dati puoi perderti al massimo. Esempio: RPO 1 ora = backup almeno orari.
MFA Multi-Factor Authentication
Autenticazione a più fattori: password + codice OTP/app/hardware.
ISMS Information Security Management System
Sistema di gestione della sicurezza delle informazioni (es. ISO 27001).
SoA Statement of Applicability
Documento che elenca quali controlli ISO 27001 applichi e quali no, con motivazione.
BCP / DRP Business Continuity Plan / Disaster Recovery Plan
I piani per garantire la continuità operativa e il ripristino dopo un disastro.
SCADA Supervisory Control And Data Acquisition
Sistemi di controllo industriale (es. impianti di acqua, energia, manifattura).
PACS Picture Archiving and Communication System
Sistema sanitario che archivia le immagini diagnostiche (TAC, RMN, ecografie).
TMS Transport Management System
Software che gestisce le spedizioni e la flotta in azienda di logistica.
DDoS Distributed Denial of Service
Attacco che satura un servizio con traffico inutile per metterlo offline.
BEC Business Email Compromise
Frode via email che impersona dirigenti per ottenere bonifici fraudolenti.
NCR / CAPA Non-Conformity Report / Corrective and Preventive Action
Non conformità (es. da audit) e relative azioni correttive/preventive.
RAG Retrieval-Augmented Generation
Tecnica AI che fa rispondere l'assistente partendo da documenti caricati nella Knowledge Base.

Per dubbi specifici, in ogni pagina trovi il pulsante ? in alto a destra che apre la guida contestuale di quella sezione. Buon lavoro!