TLinformatica

NIS2: chi è davvero obbligato, e cosa significa per la tua PMI

Tommaso Livorno — Fri, 15 May 2026 10:00:00 +0200

Da ottobre 2024 la direttiva NIS2 (Network and Information Security Directive 2) è ufficialmente entrata in vigore in tutti gli Stati membri dell'Unione Europea. In Italia il recepimento è avvenuto con il D.Lgs. 138/2024. Molte aziende italiane stanno scoprendo in questi mesi che ricadono nel perimetro di applicazione — e che gli obblighi non sono né simbolici né rinviabili.

In questa guida pratica spiego in modo chiaro chi è davvero obbligato, cosa richiede la normativa, e quali sono i passi da fare adesso se la tua impresa è coinvolta.

Chi è soggetto alla direttiva

La NIS2 amplia significativamente il perimetro rispetto alla precedente NIS1. Sono coinvolti due gruppi distinti di soggetti, con obblighi e sanzioni differenziati.

I soggetti essenziali sono aziende dei settori considerati critici: energia, trasporti, sanità, acqua potabile, infrastrutture digitali, pubblica amministrazione centrale, spazio. La soglia di applicazione è di almeno 250 dipendenti o fatturato annuo superiore a 50 milioni di euro.

I soggetti importanti includono i settori postale, gestione rifiuti, prodotti chimici, alimentare, manifattura critica, distribuzione digitale, ricerca. La soglia è più bassa: 50 dipendenti o 10 milioni di fatturato. In pratica, anche aziende di medie dimensioni che non si percepivano «critiche» si trovano ora soggette alla direttiva. Gli studi professionali con clienti pubblici possono inoltre essere coinvolti indirettamente come fornitori di soggetti regolamentati.

Cosa richiede la normativa

Gli obblighi NIS2 si articolano su due piani: tecnico e organizzativo. Sul piano tecnico, la direttiva impone misure di sicurezza proporzionate al rischio:

Analisi e gestione del rischio informatico
Gestione degli incidenti e business continuity
Sicurezza della supply chain
Sicurezza nell'acquisizione e nello sviluppo dei sistemi
Crittografia e autenticazione multi-fattore
Protezione dei sistemi di comunicazione vocale e video

Sul piano organizzativo, la responsabilità della conformità ricade direttamente sugli organi di gestione aziendale. Il management è personalmente responsabile della conformità e deve documentare politiche di sicurezza, percorsi di formazione e procedure di risposta agli incidenti.

La NIS2 non chiede alle aziende di essere perfette. Chiede di dimostrare che hanno fatto valutazioni di rischio serie e adottato misure proporzionate al loro contesto.

Scadenze e conseguenze del mancato adeguamento

Le sanzioni amministrative previste sono significative. Per i soggetti essenziali, fino a 10 milioni di euro o il 2% del fatturato annuo globale (la cifra più alta tra le due). Per i soggetti importanti, fino a 7 milioni o l'1,4%.

Anche le tempistiche di reazione a un incidente sono stringenti. Le segnalazioni vanno effettuate entro:

24 ore dalla rilevazione — prima notifica all'autorità competente
72 ore — valutazione iniziale dell'incidente
30 giorni — report finale dettagliato

Cosa fare adesso

Il primo passo è capire se la propria azienda rientra nel perimetro NIS2 — e, se sì, in quale categoria (essenziale o importante). Il secondo è condurre un assessment dell'attuale postura di sicurezza per identificare le aree di scopertura rispetto ai requisiti normativi. Il terzo è pianificare gli interventi di adeguamento secondo una scaletta di priorità basata sul rischio.

Non è un percorso che si improvvisa in poche settimane: richiede competenze tecniche specifiche, conoscenza della normativa, e una mappatura accurata dell'infrastruttura esistente. TLinformatica supporta le imprese italiane in tutte queste fasi, dall'assessment iniziale al piano di adeguamento operativo.

Se la tua azienda potrebbe rientrare nel perimetro NIS2 e vuoi capire qual è la situazione di partenza, è il momento di farne una valutazione.

Come ho salvato i dati di un cliente dopo un attacco ransomware

Tommaso Livorno — Tue, 28 Apr 2026 14:00:00 +0200

L'azienda è una PMI manifatturiera campana, una trentina di dipendenti, infrastruttura mista (server on-premise, alcuni servizi su Microsoft 365). Cliente di TLinformatica da circa tre anni, con servizio di backup gestito ma — fino a quel momento — non ancora aggiornata al servizio completo di sicurezza gestita con EDR.

Per ragioni di riservatezza, alcuni dettagli identificativi sono stati modificati o omessi. La sequenza degli eventi e le decisioni tecniche sono fedeli.

Il primo segnale

La chiamata arriva un martedì mattina alle 8:30. Il responsabile IT del cliente — figura interna che si occupa del primo livello — segnala che diverse cartelle condivise sui server di rete mostrano file con estensioni anomale, e l'ERP non riesce ad aprire i dati. Un giro veloce delle macchine rivela il quadro: ransomware in corso di propagazione, criptazione iniziata probabilmente durante la notte.

Le prime 4 ore: contenimento

La priorità non è capire come è entrato. La priorità è fermare la diffusione. In ordine: spegnimento immediato di tutti i sistemi compromessi e di quelli ancora attivi sulla stessa rete, disconnessione fisica dei server dal resto della rete aziendale, blocco dell'accesso VPN dall'esterno. Comunicazione al management — quindici minuti di chiamata in cui spiego cosa sta succedendo, cosa stiamo facendo, e che NON pagheremo il riscatto.

Questa è la decisione più importante e va presa subito. Pagare un ransomware è raramente la scelta giusta: non garantisce il recupero dei dati, finanzia il crimine organizzato, identifica l'azienda come un target disposto a pagare per futuri attacchi.

Ore 4-24: analisi e pianificazione

Una volta contenuto il problema, si passa alla mappatura del danno e alla pianificazione del ripristino. Sui sistemi compromessi: 18 server (compresi 2 fisici), 25 workstation, una NAS. I backup — verificati immediatamente — risultano integri: TLinformatica aveva configurato backup ridondanti su storage geografico separato, isolati dalla rete operativa proprio per questo scenario.

Il piano di ripristino prevede: nuovo dominio Active Directory pulito, ricostruzione progressiva dei server dai backup più recenti puliti (4 giorni prima dell'attacco — accettabile per il cliente), reimaging delle workstation, ripristino dei dati ERP da backup di domenica notte, dichiarazione al Garante della Privacy nei termini di legge per il data breach.

Ore 24-72: ripristino

Tre giorni di lavoro continuo. I server vengono ricostruiti in ambiente isolato e testati prima di essere reintrodotti in rete. Le workstation vengono reinstallate da zero — non si fida mai una macchina che è stata in una rete compromessa.

Il quarto giorno l'azienda riapre con piena operatività. Dati persi: circa 18 ore di lavoro (dal sabato pomeriggio alla domenica notte). Costo dell'incidente: significativo, ma una frazione di quello che sarebbe stato pagare il riscatto + i danni successivi.

Cosa è andato bene

I backup. Senza di loro, sarebbe stato impossibile. Erano automatici, ridondanti, geograficamente separati, e — fondamentale — isolati dalla rete operativa così che il ransomware non potesse raggiungerli e cifrarli.

La comunicazione. Il management ha avuto aggiornamenti ogni 4 ore. Sapere cosa sta succedendo riduce il panico e permette decisioni razionali.

La decisione di non pagare. Confermata anche a posteriori: il gruppo dietro l'attacco era noto per consegnare chiavi parziali o non funzionanti anche dopo il pagamento.

Cosa abbiamo cambiato dopo

Tutti i sistemi del cliente sono stati immediatamente migrati al servizio completo di sicurezza gestita: Bitdefender GravityZone con EDR, monitoraggio h24, segmentazione di rete più stringente, MFA obbligatoria su tutti gli account amministrativi. Il piano di disaster recovery è stato formalizzato in un documento operativo, con simulazioni di ripristino trimestrali.

Un incidente di sicurezza non è mai positivo. Ma quando capita e si esce indenni, è anche un'opportunità per consolidare l'infrastruttura su un livello superiore.

Tre cose da disattivare subito nel tuo account Microsoft 365

Tommaso Livorno — Sun, 12 Apr 2026 09:00:00 +0200

Microsoft 365 è la suite più diffusa per il lavoro produttivo in Italia. Per impostazione di default, però, lascia alcune configurazioni aperte che possono facilitare attacchi di phishing, accessi non autorizzati e movimenti laterali in caso di compromissione. Ecco tre cose da disattivare subito nel pannello di amministrazione.

1. POP3 e IMAP basic authentication

I protocolli legacy POP3 e IMAP, ancora attivi di default su alcuni tenant, consentono accessi via password senza autenticazione moderna. Sono il punto di ingresso preferito per attacchi di credential stuffing.

Come si disattiva: Microsoft 365 Admin Center → Utenti attivi → seleziona utente → Posta → Gestisci protocolli email. Disattivare POP3 e IMAP per tutti gli utenti che non li usano esplicitamente (la maggior parte).

2. Inoltro automatico verso domini esterni

Una delle tecniche più comuni usate dopo aver compromesso una casella email è impostare un forward automatico verso un dominio esterno controllato dall'attaccante. Microsoft 365 lo permette per impostazione predefinita.

Come si disattiva: Exchange Admin Center → Mail flow → Regole → crea una nuova regola che blocca l'inoltro automatico verso domini esterni. Microsoft fornisce un template pronto chiamato "Restrict auto-forwarding to external domains".

3. Permessi di consent per app esterne

Gli utenti standard, di default, possono autorizzare app di terze parti a leggere la propria casella e i propri file. Una singola app malevola può così accedere a tutti i documenti di un utente.

Come si disattiva: Entra ID Admin Center → Applicazioni aziendali → Impostazioni consenso → "Consenti agli utenti di consentire applicazioni" → cambia in "Nega".

Sono tre impostazioni che non richiedono budget aggiuntivo, solo dieci minuti di lavoro nel pannello admin. Ma riducono significativamente la superficie di attacco di un tenant Microsoft 365 medio.