FRAMEWORK · NIS2

NIS2 — Direttiva UE 2022/2555.
Conformati in settimane, non in mesi.

Obbligatorio dall'ottobre 2024 per entità essenziali e importanti. Multe fino a 10 milioni € o 2% del fatturato annuo. Itamite copre i requisiti tecnici dell'Art. 21 con evidenza firmata per la tua autorità competente (ACN in Italia).

Vedi prezzi Demo NIS2

A chi si applica NIS2?

Entità essenziali e importanti dei settori critici UE: energia, trasporto, banche, infrastrutture mercati finanziari, sanità, acqua potabile e reflua, infrastruttura digitale, gestione servizi TIC B2B, spazio, PA digitale, servizi postali, gestione rifiuti, prodotti chimici, alimentazione, fabbricazione critica, fabbricazione digitale, ricerca.

Soglie tipiche: 50+ dipendenti o > 10M€ di fatturato annuo. In Italia, l'autorità competente è l'ACN (Agenzia per la Cybersicurezza Nazionale), che pubblica l'elenco ufficiale. In caso di dubbio, l'ACN fornisce uno strumento di auto-valutazione pubblico.

Multe: fino a 10M€ o 2% del fatturato annuo (entità essenziali), fino a 7M€ o 1,4% (entità importanti). Responsabilità personale del consiglio di amministrazione per inadempienza.

REQUISITI ART. 21 — MISURE TECNICHE

Mappatura NIS2 ↔ controlli Itamite

Ciò che NIS2 richiede vs ciò che Itamite raccoglie automaticamente.

Art. 21.2.a — Analisi dei rischi e politiche SI

Itamite copre: Inventario completo degli asset come input per l'analisi dei rischi. Postura di sicurezza misurata che alimenta la matrice di rischio. Fuori ambito: l'analisi dei rischi formale e le politiche scritte sono lavoro organizzativo.

Art. 21.2.b — Gestione degli incidenti

Itamite copre: Audit immutabile hash-chain con tracciabilità completa. Rilevamento incidenti via alert (cambio di configurazione, deviazione di postura). Comunicazione con SIEM (Splunk, Sentinel, Elastic).

Art. 21.2.c — Continuità operativa

Itamite copre: Inventario aggiornato disponibile per BCP/DRP. SLA Itamite Enterprise con RTO 1h, RPO 1h. Fuori ambito: il BCP/DRP della tua organizzazione in sé.

Art. 21.2.d — Sicurezza della catena di approvvigionamento

Itamite copre: SBOM pubblico SPDX 2.3 + CycloneDX. SLSA Level 2 con build provenance. Sub-fornitori documentati pubblicamente. Rilevamento di software EOL nella tua flotta.

Art. 21.2.e — Acquisizione e manutenzione dei sistemi

Itamite copre: Rilevamento di patch in sospeso, software EOL, versioni vulnerabili note (CVE). Distribuzione centralizzata degli aggiornamenti. Politiche dichiarative che mantengono la configurazione corretta in modo continuo.

Art. 21.2.f — Efficacia delle misure (misurabile)

Itamite copre: Score di postura 0-100 misurato oggettivamente, comparabile mese per mese. KPI per controllo (quale % degli asset supera ogni controllo). Trend temporale con evidenze. Questo è esattamente ciò che NIS2 richiede: "misure efficaci e misurabili".

Art. 21.2.g — Igiene di base + formazione

Itamite copre (parte igiene): antivirus, firewall, patch, cifratura disco, blocco schermo, configurazione macro Office, controllo USB. Tutti misurati automaticamente dall'agente. Fuori ambito: formazione del personale.

Art. 21.2.h — Cifratura

Itamite copre: Rilevamento della cifratura del disco (BitLocker, FileVault, LUKS) su ogni asset. Versione TPM, Secure Boot. Cifratura in-transit e at-rest della piattaforma stessa. BYOK opzionale.

Art. 21.2.i — Controllo accessi e MFA

Itamite copre: Rilevamento account amministratore locali, account Guest, auto-login, politica password. SSO/SAML per l'accesso alla console Itamite stessa. MFA obbligatoria per gli amministratori. Audit degli accessi.

Art. 21.2.j — Comunicazioni sicure di emergenza

Itamite copre (prossimamente): Integrazione con Syphrax (messaggistica voce/video cifrata E2E) prevista per Q4 2026. Nel frattempo: notifiche via email cifrata, Slack, Teams.

PROCESSO PRATICO

Da zero a NIS2-ready in 4-6 settimane

Settimana 1: deployment agente + inventario

Deployment dell'agente Itamite via GPO/Intune nel tuo parco. In 24-48h hai l'inventario completo di hardware, software, configurazione, patch.

Settimana 2: attivazione NIS2 + misurazione baseline

Attivi il framework NIS2 in Conformità → Framework. Itamite mappa automaticamente i controlli dell'agente agli articoli NIS2. Hai la baseline di conformità attuale.

Settimane 3-4: remediation

Applichi correzioni massive via comandi remoti e politiche dichiarative (BitLocker, antivirus, patch, configurazione SMB). Itamite raccomanda l'ordine per maggiore impatto sulla percentuale di conformità.

Settimana 5: documentazione organizzativa

Mentre Itamite mantiene le misure tecniche, il tuo team prepara le politiche scritte, formazione del personale, piano di continuità, registro fornitori TIC. Questo è lavoro organizzativo non automatizzabile.

Settimana 6: report finale + comunicazione

Generi il report NIS2 firmato SHA-256 da Itamite. Lo combini con la documentazione organizzativa. Comunichi alla tua autorità competente (ACN in Italia) la tua conformità.

DOMANDE FREQUENTI

Dubbi abituali su NIS2

La mia azienda è soggetta a NIS2?

Se operi nei settori: energia, trasporto, banche, sanità, acqua, infrastruttura digitale, gestione TIC B2B, PA digitale, alimentazione, chimica, fabbricazione critica, spazio, postale, rifiuti, ricerca. E hai 50+ dipendenti o 10M€+ di fatturato. Anche alcune microimprese se critiche.

NIS2 obbliga ad usare uno strumento concreto come Itamite?

No. NIS2 è agnostica rispetto al fornitore. Ma richiede misure tecniche efficaci e misurabili, che in pratica obbliga ad avere qualche tipo di piattaforma di gestione asset e postura. Itamite è un'opzione europea e sovrana progettata specificamente per coprire NIS2 con evidenza firmata.

L'autorità competente accetta il report Itamite?

Sì. Il report NIS2 generato da Itamite include evidenza tecnica con firma SHA-256 verificabile, formato compatibile con i modelli ACN/INCIBE-CERT. Accettato in audit e verifiche di conformità realizzati ad oggi.

Cosa succede se ho un incidente NIS2?

NIS2 obbliga a notificare al CSIRT in 24h (allerta precoce), 72h (report completo), e 1 mese (report finale). Itamite ti aiuta con l'audit immutabile che funge da evidenza tecnica dell'incidente, ma la notifica amministrativa la devi gestire tu.

Itrion Software è un fornitore TIC soggetto a NIS2?

Sì. Itrion è entità importante per categoria "fornitore di servizi gestiti TIC". Rispettiamo NIS2 internamente: audit esterno, piano di risposta agli incidenti, comunicazione 24h al CSIRT, report semestrali all'autorità. Documentazione sotto NDA disponibile per clienti Enterprise.

Hai un audit NIS2 quest'anno?

Demo di 45 min con caso reale. Ti mostriamo il report NIS2 firmato e il piano di remediation.