C’è una differenza sottile ma decisiva nella NIS2, e a tre mesi e mezzo dalla scadenza del 31 ottobre 2026 è quella su cui molte PMI inciampano: non basta che una misura sia attiva, deve essere dimostrabile. Dal 1° novembre l’ACN passa dalla fase di accompagnamento a quella ispettiva — e in un controllo un’affermazione (“abbiamo l’MFA”, “facciamo i backup”) senza un’evidenza a supporto vale poco.
Abbiamo già scritto cosa sono le misure di base e come arrivare pronti al 31 ottobre. Qui facciamo il passo successivo, quello che nessuno ti spiega: per ogni misura, quale funzione Microsoft 365 la copre e quale evidenza concreta esportare e conservare. La buona notizia è che, se sei su Microsoft 365 Business Premium o E3/E5, gli strumenti li hai già — manca solo produrre e archiviare le prove.
Il mapping: misura → Microsoft → evidenza
1. Controllo degli accessi e MFA
- Microsoft: Microsoft Entra ID — MFA, accesso condizionale, revisione degli accessi privilegiati (PIM).
- Evidenza da conservare: report della copertura MFA per utente, elenco degli amministratori e delle assegnazioni privilegiate, inventario delle policy di accesso condizionale. Sono esattamente gli output del toolkit governance identità Entra ID e del toolkit Defender/postura.
2. Sicurezza degli endpoint
- Microsoft: Microsoft Defender for Business (antivirus, EDR, regole ASR) + gestione con Intune.
- Evidenza da conservare: Secure Score con andamento nel tempo, elenco avvisi/incidenti aperti e chiusi, stato di onboarding dei dispositivi. Esportabili con il toolkit Defender.
3. Gestione e conformità dei dispositivi
- Microsoft: Microsoft Intune — policy di conformità, configurazione, cifratura del disco.
- Evidenza da conservare: report di conformità dei dispositivi (% conformi, non conformi con motivo), export delle policy e delle assegnazioni. Prodotti dal toolkit Intune/endpoint.
4. Backup, continuità e recuperabilità
- Microsoft: recuperabilità nativa di Microsoft 365 (hold, single-item recovery, retention Purview) ed eventuale backup dedicato.
- Evidenza da conservare: elenco delle cassette protette da hold, impostazioni di single-item recovery, retention policy attive, prova di ripristini di test. Il toolkit backup e continuità fotografa tutto questo.
5. Gestione degli incidenti
- Microsoft: Defender (rilevamento) + una procedura interna di risposta e notifica.
- Evidenza da conservare: la procedura di notifica ad ACN a 24/72 ore (ne abbiamo fatto un runbook), il registro degli incidenti, i log conservati. La capacità tecnica non basta: serve il processo documentato.
6. Governance, log e gestione del rischio
- Microsoft: Microsoft Purview — audit log unificato, retention; più il registro degli asset e dei rischi.
- Evidenza da conservare: audit log conservati per il periodo richiesto, registro degli asset, analisi del rischio e policy di sicurezza approvate e datate.
7. Formazione e fattore umano
- Microsoft: Attack Simulation Training (dove disponibile) + programma di security awareness.
- Evidenza da conservare: registri delle formazioni svolte, esiti delle simulazioni di phishing, elenco dei partecipanti.
Il punto che fa la differenza: l’evidenza datata
La lezione operativa è una: un’evidenza vale se è datata e ripetibile. Un report esportato una volta a marzo non dimostra che la misura è stata presidiata per tutto l’anno. Per questo conviene produrre le evidenze con cadenza fissa (es. mensile) e archiviarle: si costruisce così, senza sforzo, la serie storica che un ispettore si aspetta di vedere.
Ed è qui che PowerShell fa la parte pesante. I nostri toolkit gratuiti — governance identità Entra ID, postura di sicurezza Defender, Intune/endpoint, backup e continuità — esportano in CSV proprio questi indicatori, in modo ripetibile e con la data. Eseguirli ogni mese e conservare gli output significa avere le evidenze già pronte quando servono.
Prima di tutto: sapere dove sei
Questo mapping ti dice come dimostrare le misure; per sapere quali ti mancano parti dallo strumento gratuito di autovalutazione NIS2: una prima fotografia in pochi minuti. Il quadro completo degli obblighi 2026 è nel nostro hub compliance NIS2/DORA/AI Act/GDPR.
Se preferisci arrivarci con qualcuno che risponde
Configurare le misure e mantenere le evidenze mese dopo mese è un lavoro continuo. È il cuore della nostra cybersecurity gestita: gap analysis, implementazione sullo stack Microsoft che già hai e — soprattutto — reportistica ed evidenze pronte per un controllo. A tre mesi e mezzo dal 31 ottobre, parliamone finché c’è margine.