La mia azienda è soggetta alla direttiva NIS2?

NIS2 si applica a soggetti "essenziali" e "importanti" in 18 settori (energia, trasporti, sanità, banche, infrastrutture digitali, fornitori ICT gestiti, produzione, alimentare e altri), tipicamente sopra le soglie di media impresa, ma anche sotto soglia se l'attività è critica. In Italia il recepimento è il D.Lgs. 138/2024, con l'ACN come autorità competente e obblighi di registrazione, gestione del rischio e notifica incidenti. Il primo passo è una verifica del perimetro: in mezza giornata stabilisco se e come rientri, prima di spendere su un adeguamento.

Cosa significa "approccio offensive-security applicato alla difesa"?

Significa che progetto le difese conoscendo come si attacca davvero un sistema. Un audit fatto da chi ha solo letto le checklist trova quello che le checklist prevedono; un audit fatto da chi sa pensare come un attaccante trova le catene di vulnerabilità reali. Lavoro su OWASP Top 10 applicato al codice, penetration test mirati, hardening Linux (fail2ban, AppArmor, nftables), analisi delle configurazioni. La difesa migliore si scrive partendo dall'attacco.

Fai anche incident response se siamo già stati compromessi?

Sì. Sito bucato, ransomware, data breach, defacement, esfiltrazione dati: intervengo su contenimento, analisi forense di base, bonifica, ripristino da backup verificati e hardening post-incidente per evitare la recidiva. Per i casi che richiedono perizia forense legale o notifica al Garante coordino la parte legale. La velocità nelle prime ore conta: prima si contiene, meno costa.

Vi occupate solo di NIS2 o anche di DORA e GDPR?

Le tre normative si sovrappongono e le affronto insieme dove ha senso. DORA per il settore finanziario (resilienza operativa digitale, gestione rischio ICT, test di resilienza), GDPR per la protezione dei dati personali (DPIA, misure tecniche e organizzative, gestione data breach), NIS2 per la sicurezza delle reti e dei sistemi. Un buon adeguamento riusa gli stessi controlli tecnici per soddisfare più obblighi, invece di triplicare il lavoro.

Quanto costa un audit di sicurezza o un adeguamento NIS2?

Un audit di sicurezza applicativa o una verifica del perimetro NIS2 si quotano a giornata (tariffa di riferimento 300 euro al giorno) dopo un primo inquadramento gratuito. Un adeguamento completo si quota a progetto dopo la gap analysis, perché dipende dalla distanza tra il tuo stato attuale e gli obblighi. Niente preventivo al buio: prima misuro, poi quoto.

Sub-hub Servizi · Cybersecurity & NIS2

Consulenza cybersecurity e compliance NIS2 per PMI italiane

Audit, penetration test, hardening, incident response e adeguamento NIS2/DORA/GDPR. Sede Torino, operatività in tutta Italia.

Mi occupo di sicurezza informatica applicata: codice, infrastruttura, processi. Approccio offensive-security applicato alla difesa, ovvero progettare le protezioni conoscendo come si attacca davvero un sistema. La compliance (NIS2, DORA, GDPR) come conseguenza di una sicurezza reale, non come teatro documentale.

Perché adesso

La NIS2 non è più un tema solo IT

Tre fatti che cambiano il calcolo del rischio per chi decide:

10 M€ / 2%

la sanzione massima NIS2 per i soggetti essenziali (10 milioni di euro o il 2% del fatturato mondiale); 7 milioni o 1,4% per gli importanti. Direttiva UE 2022/2555, recepita in Italia col D.Lgs. 138/2024

CdA

NIS2 introduce la responsabilità diretta degli organi di gestione: la sicurezza diventa un tema da consiglio di amministrazione, non delegabile in toto all’IT. Art. 20 Direttiva NIS2

15%

delle grandi imprese italiane ha un progetto strutturato di adeguamento normativo digitale integrato. La gran parte arriva impreparata alle scadenze. Osservatorio PoliMI, feb 2026

Come affronto un adeguamento

Dalla verifica del perimetro al monitoraggio, in 5 passi

1
Verifica del perimetro.
Stabilisco se rientri in NIS2/DORA, come soggetto essenziale o importante, e quali obblighi ti competono. Mezza giornata, prima di spendere su un adeguamento.
2
Assessment tecnico e gap analysis.
Audit di codice, configurazioni e infrastruttura (OWASP, hardening, gestione accessi, backup, log). Confronto con gli obblighi normativi e mappa delle distanze, prioritizzata per rischio reale.
3
Remediation tecnica.
Chiusura delle vulnerabilità, hardening Linux (fail2ban, AppArmor, nftables), gestione degli accessi (RBAC, MFA), cifratura, audit trail tamper-evident, segmentazione di rete.
4
Continuità operativa e risposta agli incidenti.
Backup verificati con test di ripristino reali, piano di business continuity e disaster recovery, procedure di notifica incidenti conformi alle tempistiche NIS2.
5
Documentazione e monitoraggio.
Policy, registro del rischio, evidenze per audit, formazione mirata del team. Monitoraggio continuo e review periodica: la compliance è uno stato da mantenere, non un timbro una tantum.

Verifica il tuo perimetro Preventivo gratuito (wizard 2 min)

Cosa faccio in pratica

Sei aree di intervento

Audit di sicurezza applicativa

Analisi del codice PHP e delle configurazioni su OWASP Top 10: SQL injection, XSS, CSRF, file inclusion, gestione sessioni, escalation. Report con severità e remediation prioritizzata.
Penetration test mirati

Test offensivi su applicazioni e infrastruttura per trovare le catene di vulnerabilità reali, non solo quelle da checklist. Prova che le difese reggono, prima che lo provi un attaccante.
Hardening Linux e infrastruttura

fail2ban, AppArmor, nftables, gestione accessi e MFA, cifratura, segmentazione, log strutturato. Server di produzione resi resistenti, non solo configurati.
Incident response

Sito bucato, ransomware, data breach: contenimento, bonifica, ripristino da backup verificati, hardening post-incidente. Coordinamento con la parte legale dove serve perizia o notifica.
Adeguamento NIS2 / DORA / GDPR

Gap analysis, remediation tecnica, documentazione, registro del rischio, procedure di notifica. Controlli riusati per soddisfare più normative invece di triplicare il lavoro.
Backup, continuità e disaster recovery

Strategia di backup con test di ripristino reali (un backup non testato non è un backup), piano di business continuity, RTO e RPO concordati col business.

Parliamone in call Preventivo gratuito (wizard 2 min)

Domande frequenti

NIS2, audit, incident response: risposte chiare

La mia azienda è soggetta alla direttiva NIS2?: NIS2 si applica a soggetti "essenziali" e "importanti" in 18 settori (energia, trasporti, sanità, banche, infrastrutture digitali, fornitori ICT gestiti, produzione, alimentare e altri), tipicamente sopra le soglie di media impresa, ma anche sotto soglia se l'attività è critica. In Italia il recepimento è il D.Lgs. 138/2024, con l'ACN come autorità competente e obblighi di registrazione, gestione del rischio e notifica incidenti. Il primo passo è una verifica del perimetro: in mezza giornata stabilisco se e come rientri, prima di spendere su un adeguamento.
Quali sono le sanzioni per chi non si adegua alla NIS2?: Per i soggetti essenziali fino a 10 milioni di euro o il 2% del fatturato mondiale annuo; per i soggetti importanti fino a 7 milioni o l'1,4%. Oltre alla sanzione economica, NIS2 introduce la responsabilità diretta degli organi di gestione, che possono essere ritenuti personalmente responsabili delle violazioni. Non è più un tema solo IT: è un tema da consiglio di amministrazione.
Cosa significa "approccio offensive-security applicato alla difesa"?: Significa che progetto le difese conoscendo come si attacca davvero un sistema. Un audit fatto da chi ha solo letto le checklist trova quello che le checklist prevedono; un audit fatto da chi sa pensare come un attaccante trova le catene di vulnerabilità reali. Lavoro su OWASP Top 10 applicato al codice, penetration test mirati, hardening Linux (fail2ban, AppArmor, nftables), analisi delle configurazioni. La difesa migliore si scrive partendo dall'attacco.
Fai anche incident response se siamo già stati compromessi?: Sì. Sito bucato, ransomware, data breach, defacement, esfiltrazione dati: intervengo su contenimento, analisi forense di base, bonifica, ripristino da backup verificati e hardening post-incidente per evitare la recidiva. Per i casi che richiedono perizia forense legale o notifica al Garante coordino la parte legale. La velocità nelle prime ore conta: prima si contiene, meno costa.
Vi occupate solo di NIS2 o anche di DORA e GDPR?: Le tre normative si sovrappongono e le affronto insieme dove ha senso. DORA per il settore finanziario (resilienza operativa digitale, gestione rischio ICT, test di resilienza), GDPR per la protezione dei dati personali (DPIA, misure tecniche e organizzative, gestione data breach), NIS2 per la sicurezza delle reti e dei sistemi. Un buon adeguamento riusa gli stessi controlli tecnici per soddisfare più obblighi, invece di triplicare il lavoro.
Quanto costa un audit di sicurezza o un adeguamento NIS2?: Un audit di sicurezza applicativa o una verifica del perimetro NIS2 si quotano a giornata (tariffa di riferimento 300 euro al giorno) dopo un primo inquadramento gratuito. Un adeguamento completo si quota a progetto dopo la gap analysis, perché dipende dalla distanza tra il tuo stato attuale e gli obblighi. Niente preventivo al buio: prima misuro, poi quoto.

Esplora altri servizi

Consulenza IT e DevOps Programmatore PHP AI Security

← Tutti i servizi

Vuoi sapere se sei davvero protetto e in regola?

Prima call conoscitiva di 30 minuti, gratuita e senza impegno. Mi descrivi il tuo contesto e ti dico onestamente dove sei esposto, se rientri in NIS2 e da dove conviene partire.

Prenota una call

Modulo di contatto Preventivo gratuito (wizard)

Consulenza cybersecurity e compliance NIS2 per PMI italiane

Audit di sicurezza applicativa

Penetration test mirati

Hardening Linux e infrastruttura

Incident response

Adeguamento NIS2 / DORA / GDPR

Backup, continuità e disaster recovery

Esplora altri servizi

Vuoi sapere se sei davvero protetto e in regola?