Salta al contenuto
Guida

NIS2: come dimostrare le misure di base con Microsoft 365

Entro il 31 ottobre 2026 le misure NIS2 non basta averle attive: vanno dimostrate. Ecco il mapping misura per misura verso le funzioni di Microsoft 365 e l'evidenza concreta da esportare e conservare.

SynSphere Italia 8 min di lettura
Mapping delle misure di base NIS2 sulle funzioni di Microsoft 365 e le evidenze da esportare

C’è una differenza sottile ma decisiva nella NIS2, e a tre mesi e mezzo dalla scadenza del 31 ottobre 2026 è quella su cui molte PMI inciampano: non basta che una misura sia attiva, deve essere dimostrabile. Dal 1° novembre l’ACN passa dalla fase di accompagnamento a quella ispettiva — e in un controllo un’affermazione (“abbiamo l’MFA”, “facciamo i backup”) senza un’evidenza a supporto vale poco.

Abbiamo già scritto cosa sono le misure di base e come arrivare pronti al 31 ottobre. Qui facciamo il passo successivo, quello che nessuno ti spiega: per ogni misura, quale funzione Microsoft 365 la copre e quale evidenza concreta esportare e conservare. La buona notizia è che, se sei su Microsoft 365 Business Premium o E3/E5, gli strumenti li hai già — manca solo produrre e archiviare le prove.

Il mapping: misura → Microsoft → evidenza

1. Controllo degli accessi e MFA

  • Microsoft: Microsoft Entra ID — MFA, accesso condizionale, revisione degli accessi privilegiati (PIM).
  • Evidenza da conservare: report della copertura MFA per utente, elenco degli amministratori e delle assegnazioni privilegiate, inventario delle policy di accesso condizionale. Sono esattamente gli output del toolkit governance identità Entra ID e del toolkit Defender/postura.

2. Sicurezza degli endpoint

  • Microsoft: Microsoft Defender for Business (antivirus, EDR, regole ASR) + gestione con Intune.
  • Evidenza da conservare: Secure Score con andamento nel tempo, elenco avvisi/incidenti aperti e chiusi, stato di onboarding dei dispositivi. Esportabili con il toolkit Defender.

3. Gestione e conformità dei dispositivi

  • Microsoft: Microsoft Intune — policy di conformità, configurazione, cifratura del disco.
  • Evidenza da conservare: report di conformità dei dispositivi (% conformi, non conformi con motivo), export delle policy e delle assegnazioni. Prodotti dal toolkit Intune/endpoint.

4. Backup, continuità e recuperabilità

  • Microsoft: recuperabilità nativa di Microsoft 365 (hold, single-item recovery, retention Purview) ed eventuale backup dedicato.
  • Evidenza da conservare: elenco delle cassette protette da hold, impostazioni di single-item recovery, retention policy attive, prova di ripristini di test. Il toolkit backup e continuità fotografa tutto questo.

5. Gestione degli incidenti

  • Microsoft: Defender (rilevamento) + una procedura interna di risposta e notifica.
  • Evidenza da conservare: la procedura di notifica ad ACN a 24/72 ore (ne abbiamo fatto un runbook), il registro degli incidenti, i log conservati. La capacità tecnica non basta: serve il processo documentato.

6. Governance, log e gestione del rischio

  • Microsoft: Microsoft Purview — audit log unificato, retention; più il registro degli asset e dei rischi.
  • Evidenza da conservare: audit log conservati per il periodo richiesto, registro degli asset, analisi del rischio e policy di sicurezza approvate e datate.

7. Formazione e fattore umano

  • Microsoft: Attack Simulation Training (dove disponibile) + programma di security awareness.
  • Evidenza da conservare: registri delle formazioni svolte, esiti delle simulazioni di phishing, elenco dei partecipanti.

Il punto che fa la differenza: l’evidenza datata

La lezione operativa è una: un’evidenza vale se è datata e ripetibile. Un report esportato una volta a marzo non dimostra che la misura è stata presidiata per tutto l’anno. Per questo conviene produrre le evidenze con cadenza fissa (es. mensile) e archiviarle: si costruisce così, senza sforzo, la serie storica che un ispettore si aspetta di vedere.

Ed è qui che PowerShell fa la parte pesante. I nostri toolkit gratuitigovernance identità Entra ID, postura di sicurezza Defender, Intune/endpoint, backup e continuità — esportano in CSV proprio questi indicatori, in modo ripetibile e con la data. Eseguirli ogni mese e conservare gli output significa avere le evidenze già pronte quando servono.

Prima di tutto: sapere dove sei

Questo mapping ti dice come dimostrare le misure; per sapere quali ti mancano parti dallo strumento gratuito di autovalutazione NIS2: una prima fotografia in pochi minuti. Il quadro completo degli obblighi 2026 è nel nostro hub compliance NIS2/DORA/AI Act/GDPR.

Se preferisci arrivarci con qualcuno che risponde

Configurare le misure e mantenere le evidenze mese dopo mese è un lavoro continuo. È il cuore della nostra cybersecurity gestita: gap analysis, implementazione sullo stack Microsoft che già hai e — soprattutto — reportistica ed evidenze pronte per un controllo. A tre mesi e mezzo dal 31 ottobre, parliamone finché c’è margine.

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.