Torna al blog
NIS2 & Compliance

Come prepararsi a un audit NIS2: checklist operativa

18 febbraio 2026 · 5 min di lettura

L'audit NIS2 arriverà: meglio essere pronti

L'Agenzia per la Cybersicurezza Nazionale (ACN) ha il potere di condurre audit, ispezioni e verifiche sui soggetti NIS2. Per i soggetti importanti (la maggior parte delle PMI), le verifiche saranno ex-post — cioè dopo un incidente o su segnalazione. Ma avere tutto in ordine prima è l'unica strategia sensata.

Area 1: Governance e documentazione

  • Politica di sicurezza delle informazioni approvata dal CdA/management
  • Organigramma con ruoli e responsabilità cyber definiti
  • Registro dei rischi aggiornato negli ultimi 12 mesi
  • Verbali delle riunioni di management review sulla sicurezza
  • Programma di formazione cyber con evidenze di partecipazione

Area 2: Misure tecniche

  • Inventario completo degli asset IT (hardware, software, dati)
  • MFA attiva su tutti gli account privilegiati e VPN
  • Policy di patching con SLA documentati (critico: 48h, alto: 7gg, medio: 30gg)
  • Cifratura dei dati sensibili at rest e in transit
  • Segmentazione di rete documentata
  • Logging centralizzato con retention minima 6 mesi

Area 3: Gestione incidenti

  • Procedura di incident response scritta e testata
  • Contatti ACN precompilati per notifica (early warning 24h, report 72h)
  • Registro degli incidenti degli ultimi 24 mesi
  • Almeno un tabletop exercise documentato nell'ultimo anno
  • Contratto con un provider di incident response (o competenze interne dimostrabili)

Area 4: Business continuity

  • Piano di business continuity e disaster recovery documentato
  • Backup automatici con test di restore documentato (almeno trimestrale)
  • RTO e RPO definiti per ogni sistema critico
  • Almeno un backup offline o immutabile

Area 5: Supply chain

  • Elenco dei fornitori IT critici con valutazione del rischio
  • Clausole di sicurezza nei contratti con i fornitori principali
  • Procedura di valutazione periodica dei fornitori
  • Piano di contingenza per l'indisponibilità di un fornitore critico

Come prepararsi: i primi 30 giorni

Non dovete avere tutto perfetto: dovete dimostrare un percorso di miglioramento continuo. L'auditor NIS2 cerca tre cose: consapevolezza del management, misure proporzionate al rischio e capacità di risposta agli incidenti. Iniziate da un self-assessment basato su questa checklist, identificate i gap più critici e create un piano d'azione con scadenze realistiche.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli