La tua PMI è pronta per NIS2?

Valuta in 12 domande quanto la tua organizzazione è allineata alle misure di gestione del rischio richieste da NIS2 (art. 21, D.lgs 138/2024). Risultato immediato con punteggio, gap per area e report PDF scaricabile.

Domanda 1 di 12 8%

Perimetro & governance

Hai chiarito se la tua azienda è soggetta a NIS2?

NIS2 (D.lgs 138/2024) si applica a soggetti essenziali/importanti e, via filiera, ai loro fornitori.

Sì, siamo soggetto essenziale/importante e siamo registrati sulla piattaforma ACN Non siamo soggetto diretto ma forniamo un soggetto NIS2 (ci adeguiamo per contratto) Gli obblighi arrivano via filiera Non soggetti, ci adeguiamo volontariamente come best practice Non sappiamo se siamo soggetti né se lo sono i nostri clienti È il primo gap da chiudere

Perimetro & governance

La gestione del rischio cyber è seguita dalla direzione aziendale?

NIS2 rende gli organi direttivi responsabili e ne richiede la formazione.

Sì: la direzione approva le misure, c’è un responsabile della sicurezza e formazione dedicata In parte: se ne occupa l’IT, la direzione è informata saltuariamente Delegata interamente a un fornitore esterno, senza governance interna Non c’è una gestione strutturata del rischio cyber

Perimetro & governance

Avete policy di sicurezza e un’analisi dei rischi documentate?

Sì, policy e risk assessment documentati e aggiornati nell’ultimo anno Esistono ma non sono aggiornate da oltre un anno Solo regole informali non scritte No, nessuna policy formale

Misure tecniche

L’autenticazione a più fattori (MFA) è attiva?

È la misura tecnica a più alto impatto e quasi sempre richiesta (anche dalle assicurazioni).

Sì, MFA obbligatoria per tutti gli utenti (e accessi condizionali) Sì, ma solo per gli amministratori Solo su alcuni servizi / facoltativa No, accesso con sola password

Misure tecniche

Come gestite accessi e privilegi (incluso l’offboarding)?

Privilegio minimo, ruoli definiti, revoca immediata all’uscita dei dipendenti Gestione di base, ma pochi admin e qualche account da rivedere Permessi cresciuti nel tempo, accessi vecchi ancora attivi Nessuna gestione strutturata degli accessi

Misure tecniche

I dati sono protetti con la cifratura?

NIS2 cita esplicitamente la crittografia tra le misure.

Sì: dischi cifrati (BitLocker), dati a riposo e in transito (HTTPS/TLS), classificazione dati Parziale: alcuni dispositivi/servizi cifrati Solo HTTPS sui servizi web, niente cifratura dischi No / non lo sappiamo

Misure tecniche

Avete inventario degli asset, gestione delle patch ed EDR/antimalware?

Sì: inventario aggiornato, patch tempestive e EDR/XDR gestito su tutti gli endpoint EDR attivo ma inventario/patch non sistematici Solo antivirus tradizionale, patch quando capita Nessuna gestione di asset, patch o endpoint

Incidenti & continuità

Avete un piano di risposta agli incidenti e la capacità di notificarli?

NIS2 impone tempi stretti: early warning entro 24h, notifica entro 72h.

Sì, piano di incident response documentato, ruoli definiti e testato Esiste un piano di base ma non è stato testato Sappiamo a grandi linee cosa fare, ma niente di scritto No, gestiremmo l’incidente improvvisando

Incidenti & continuità

Come gestite i backup?

Backup off-line/immutabili testati sono la difesa principale contro il ransomware.

Regola 3-2-1 con copia off-line/immutabile e ripristini testati periodicamente Backup regolari ma ripristini mai testati Backup solo di alcuni sistemi / saltuari Nessun backup strutturato

Incidenti & continuità

Esiste un piano di continuità operativa / disaster recovery con RTO e RPO?

Sì, piano DR/BC con RTO e RPO definiti per i sistemi critici Qualche procedura, ma RTO/RPO non formalizzati No, non abbiamo un piano di continuità

Fornitori & persone

Gestite la sicurezza della catena di fornitura?

NIS2 richiede di valutare e gestire i rischi dei fornitori ICT.

Sì: valutiamo i fornitori critici e abbiamo clausole di sicurezza nei contratti Conosciamo i fornitori principali ma senza valutazione formale No, non valutiamo la sicurezza dei fornitori

Fornitori & persone

Il personale riceve formazione e simulazioni di phishing?

L’igiene cyber di base e la formazione sono misure esplicite NIS2.

Sì, formazione periodica e simulazioni di phishing ricorrenti Formazione una tantum, senza simulazioni Solo qualche indicazione all’assunzione No, nessuna formazione sulla sicurezza

Il tuo risultato

Punteggio NIS2 readiness

— / 100

—

Punteggio per area

Raccomandazioni prioritarie

Priorità raccomandata

—

Scarica il report PDF

Salva una copia del tuo report con punteggio, gap per area e raccomandazioni. Niente registrazione richiesta.

Parla con un consulente

Vuoi un piano di adeguamento NIS2 su misura? Lasciaci i tuoi contatti — ti rispondiamo entro 24h con un colloquio gratuito di 30 minuti.

Disclaimer: questionario informativo di auto-valutazione. Il risultato è una stima basata sulle risposte fornite e non costituisce una certificazione di conformità né una consulenza legale. Per approfondire vedi la mappa compliance 2026, la guida operativa NIS2 e l'assistenza cybersecurity gestita.

La tua PMI è pronta per NIS2?

Punteggio per area

Raccomandazioni prioritarie

Scarica il report PDF

Parla con un consulente

Richiedi un piano di adeguamento