NIS2 Pentest Italia: Obblighi di Sicurezza Tecnica ai sensi del D.Lgs. 138/2024
La Direttiva NIS2 (Direttiva (UE) 2022/2555) è stata recepita in Italia con il Decreto Legislativo 138/2024, pubblicato nella Gazzetta Ufficiale n. 202 del 30 agosto 2024 ed entrato pienamente in vigore il 1° gennaio 2025. Il decreto identifica due categorie di soggetti — essenziali e importanti — nei settori dell'energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, della sanità, dell'acqua potabile, delle acque reflue, delle infrastrutture digitali, della pubblica amministrazione e dello spazio. L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità nazionale competente e il punto di contatto unico per l'attuazione della NIS2. Il presente documento spiega quali soggetti sono obbligati, cosa richiede concretamente il decreto in materia di test tecnici e come dimostrare conformità all'ACN.
Perché NIS2 e il D.Lgs. 138/2024 richiedono test di penetrazione
Il D.Lgs. 138/2024, all'articolo 24, impone ai soggetti essenziali e importanti di adottare «misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi informativi e di rete». L'articolo 24, comma 2, lett. e), cita esplicitamente le «politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersicurezza» — il che, nell'interpretazione dell'ACN, include obbligatoriamente i test tecnici periodici, tra cui i test di penetrazione. A differenza della precedente Direttiva NIS (recepita con D.Lgs. 65/2018), NIS2 introduce obblighi molto più precisi: il soggetto deve essere in grado di dimostrare all'ACN non solo di aver adottato misure, ma di averne verificato l'efficacia. L'articolo 36 D.Lgs. 138/2024 prevede sanzioni amministrative fino a 10.000.000 € o al 2% del fatturato annuo mondiale per i soggetti essenziali, e fino a 7.000.000 € o all'1,4% del fatturato per i soggetti importanti. L'ACN ha pubblicato linee guida tecniche (dicembre 2024) che raccomandano esplicitamente l'adozione di vulnerability assessment e penetration test periodici come componenti fondamentali del programma di gestione dei rischi NIS2.
- D.Lgs. 138/2024 Art. 24 comma 2 lett. e): obbligo di politiche e procedure per la valutazione dell'efficacia delle misure — l'ACN interpreta questo requisito come inclusivo di test tecnici periodici (vulnerability assessment e penetration test).
- D.Lgs. 138/2024 Art. 24 comma 2 lett. b): gestione degli incidenti — un ente che non è mai stato testato non può dimostrare un piano di incident response efficace; il pentest fornisce la baseline.
- D.Lgs. 138/2024 Art. 24 comma 2 lett. f): pratiche di igiene informatica di base e formazione — include la verifica tecnica delle configurazioni sicure e delle patch applicate, temi centrali di un pentest.
- ACN Linee Guida Tecniche NIS2 (dicembre 2024): raccomandano vulnerability assessment almeno annuali e penetration test basati sul rischio come componenti del programma di cybersicurezza NIS2.
- Obbligo di registrazione all'ACN (Art. 7 D.Lgs. 138/2024): tutti i soggetti essenziali e importanti devono registrarsi sulla piattaforma ACN entro il 31 gennaio 2025 e mantenere aggiornato il profilo di rischio — i test di penetrazione alimentano questo profilo.
- Sanzioni amministrative (Art. 36 D.Lgs. 138/2024): fino a 10.000.000 € o 2% del fatturato per i soggetti essenziali; fino a 7.000.000 € o 1,4% del fatturato per i soggetti importanti — responsabilità personale dei dirigenti in caso di negligenza grave.
- Notifica degli incidenti significativi (Art. 25 D.Lgs. 138/2024): entro 24 ore (pre-notifica) e 72 ore (notifica completa) all'ACN — la documentazione di test tecnici regolari è elemento essenziale per dimostrare che l'incidente non era prevenibile.
Cosa deve coprire un test di penetrazione conforme a NIS2 / D.Lgs. 138/2024
- Infrastrutture di rete e sistemi informativi critici (Art. 24 §2 D.Lgs. 138/2024): server, apparati di rete, sistemi OT/ICS nei settori energia, trasporti, sanità — con inventario degli asset aggiornato come prerequisito.
- Autenticazione e gestione delle identità: implementazioni MFA, flussi di autenticazione federata (SAML 2.0, OAuth2/OIDC), account privilegiati (PAM), policy di password nei sistemi critici.
- Sicurezza delle applicazioni web e delle API: OWASP Top 10 (2021) — A01 Broken Access Control (CVE-2023-44487 HTTP/2 Rapid Reset come vettore DoS), A02 Cryptographic Failures, A03 Injection; OWASP API Top 10 (2023).
- Segmentazione di rete e gestione del perimetro: firewall, VLAN, DMZ, accessi remoti (VPN, RDP) — CVE-2023-20198 (Cisco IOS XE privilege escalation) come riferimento di vulnerabilità critica nei dispositivi di rete.
- Sicurezza dei sistemi OT/ICS (settori energia, acqua, trasporti): protocolli industriali (Modbus, DNP3, IEC 61850), interfacce HMI, workstation SCADA — isolamento dalla rete IT.
- Gestione delle patch e delle vulnerabilità note: verifica della presenza di vulnerabilità senza patch nei sistemi critici — CVE-2021-44228 Log4Shell, CVE-2023-34048 VMware vCenter, CVE-2024-3400 Palo Alto PAN-OS.
- Continuità operativa e backup: test della capacità di un attaccante di compromettere i piani di continuità; simulazione di attacco ransomware sui sistemi di backup; verifica dei tempi di ripristino rispetto agli RTO/RPO definiti.
- Supply chain e dipendenze di terze parti: analisi dei componenti software open source (SCA), CVE noti nelle librerie di terze parti, sicurezza degli accessi remoti dei fornitori.
- Rilevamento e risposta agli incidenti: verifica che le attività di attacco vengano rilevate dal SIEM; test dei playbook di incident response; misurazione del tempo medio di rilevamento (MTTD).
Esempio di finding
Cisco IOS XE senza patch — escalation privilegi remota (CVE-2023-20198)
Un router Cisco IOS XE della versione 17.9.1, utilizzato come gateway principale per la rete OT del sito produttivo, risulta privo della patch per CVE-2023-20198 (CVSS 10.0). La vulnerabilità consente a un attaccante remoto non autenticato di creare un account con privilegi di livello 15 tramite l'interfaccia Web UI di IOS XE, ottenendo il controllo completo del dispositivo. Il gateway gestisce la segmentazione tra la rete IT aziendale e la rete OT/ICS; la compromissione di questo dispositivo consentirebbe a un attaccante di attraversare il perimetro OT e di raggiungere i sistemi SCADA. Il soggetto rientra nel perimetro NIS2 come soggetto essenziale nel settore energetico.
Correzione: Aggiornare immediatamente IOS XE alla versione 17.9.4a o superiore (patch Cisco disponibile da ottobre 2023). In attesa del patching, disabilitare la funzionalità Web UI di IOS XE (no ip http server / no ip http secure-server). Verificare i log del sistema per rilevare la presenza di account non autorizzati creati tramite CVE-2023-20198 (indicatore di compromissione: account con livello 15 non riconosciuti). Implementare un processo di patch management per i dispositivi di rete critici con SLA massimo di 30 giorni per le vulnerabilità critiche. Documentare la remediation nel registro dei rischi NIS2 come richiesto dall'Art. 24 D.Lgs. 138/2024.
Riferimento: CVE-2023-20198 (CVSS 10.0, Cisco IOS XE) · OWASP A05:2021 Security Misconfiguration · D.Lgs. 138/2024 Art. 24 §2 · ACN Linee Guida NIS2 dicembre 2024 · CWE-306 Missing Authentication for Critical Function
Pentest NIS2: confronto delle opzioni
| — | Scan gratuito | Matproof Sentinel | Consulenza tradizionale |
|---|---|---|---|
| Motore di scansione automatizzato | ✓ (anteprima 3 min) | ✓ Scansione completa | ✗ Solo manuale |
| Copertura OWASP Top 10 | Parziale | ✓ Completa | ✓ Completa |
| Prova di exploit | ✗ | ✓ Per finding | ✓ Per finding |
| Mapping normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizzato | ✓ Manuale |
| Report PDF pronto per l'audit | ✗ | ✓ Immediato | ✓ Consegna 2–4 settimane |
| Scansioni continue / ricorrenti | ✗ | ✓ Per deploy | ✗ Impegno annuale |
| Tempo al primo risultato | ~3 min | ~30 min scansione completa | 2–4 settimane |
| Prezzo | €0 | Da €149 | €8.000–€25.000 |
| Revisione codice sorgente (SAST) | ✗ | ✓ Piano Growth | ✓ In scope |
| Test API (REST/GraphQL) | ✗ | ✓ Automatizzato | ✓ Manuale |
Offerte di pentest conformi a NIS2 / D.Lgs. 138/2024
- 1 scansione pentest completa
- Risultati prioritizzati da AI con CVSS 3.1
- Proof-of-exploit per ogni finding
- Report PDF (pronto per l'audit)
- Mapping normativo (DORA, NIS2, ISO 27001)
- Scansioni illimitate (fino a 3 domini)
- Monitoraggio continuo
- Integrazione CI/CD (GitHub, GitLab)
- Tutti i mapping normativi
- Supporto prioritario
- Scansioni + domini illimitati
- Test autenticati / White-Box
- Test API e infrastruttura cloud
- Account manager dedicato
- SLA risposta 24h
Domande frequenti sul test di penetrazione NIS2 in Italia
Quali organizzazioni sono soggetti essenziali o importanti ai sensi del D.Lgs. 138/2024?
Il D.Lgs. 138/2024, all'Allegato I, elenca i settori dei soggetti essenziali: energia (elettricità, gas, petrolio, idrogeno), trasporti (aerei, ferroviari, per vie navigabili, stradali), settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali (DNS, IXP, TLD, cloud, datacenter, CDN), gestione dei servizi TIC B2B, pubblica amministrazione, spazio. L'Allegato II elenca i soggetti importanti: servizi postali, gestione dei rifiuti, prodotti chimici, produzione e distribuzione di alimenti, fabbricazione (dispositivi medici, elettronica, macchine, veicoli), fornitori digitali (marketplace, motori di ricerca, social network). ACN definisce le soglie dimensionali (generalmente: medie e grandi imprese, almeno 50 dipendenti o 10 milioni di fatturato).
Entro quando un soggetto NIS2 deve registrarsi all'ACN e adempiere agli obblighi?
Il D.Lgs. 138/2024 ha fissato il 31 gennaio 2025 come scadenza per la registrazione obbligatoria sulla piattaforma ACN (Art. 7). Gli obblighi di sicurezza tecnica (Art. 24) sono entrati in vigore il 1° gennaio 2025. L'ACN pubblicherà ulteriori linee guida tecniche nel corso del 2025 per specificare i requisiti minimi di sicurezza per settore. Il piano di adeguamento deve essere presentato all'ACN, che può avviare ispezioni e audit di conformità.
Quali sanzioni prevede il D.Lgs. 138/2024 per la mancata conformità NIS2?
L'Art. 36 D.Lgs. 138/2024 prevede sanzioni amministrative fino a 10.000.000 € o al 2% del fatturato annuo mondiale totale per i soggetti essenziali, e fino a 7.000.000 € o all'1,4% del fatturato per i soggetti importanti. Per le violazioni più gravi (mancata notifica di incidenti significativi, inosservanza degli obblighi di sicurezza fondamentali), l'ACN può adottare misure di esecuzione temporanea, inclusa la sospensione dell'autorizzazione a operare. I dirigenti responsabili possono essere soggetti a responsabilità personale.
Come si articola la notifica di incidenti significativi all'ACN?
L'Art. 25 D.Lgs. 138/2024 impone: pre-notifica entro 24 ore dalla conoscenza dell'incidente significativo (tramite la piattaforma ACN); notifica completa entro 72 ore con valutazione iniziale della gravità, indicatori di compromissione e misure adottate; relazione finale entro un mese. Un incidente si considera «significativo» se causa interruzione grave dei servizi essenziali, perdita di dati di soggetti terzi, o impatto cross-border. La documentazione di test di penetrazione regolari è elemento essenziale per dimostrare all'ACN che il soggetto aveva un programma di sicurezza adeguato.
NIS2 e DORA: qual è la relazione per gli enti finanziari italiani?
DORA è lex specialis rispetto a NIS2 per gli enti finanziari: l'Art. 4 della Direttiva NIS2 e il Considerando 16 di DORA precisano che gli enti già soggetti a DORA sono esclusi dall'ambito applicativo di NIS2 per la parte relativa alla cybersicurezza. In pratica, una banca soggetta a DORA non ha obblighi aggiuntivi derivanti dal D.Lgs. 138/2024 per gli stessi sistemi — ma deve soddisfare pienamente DORA, che è almeno equivalente (e in molti casi più stringente) rispetto a NIS2.
Il pentest è obbligatorio per legge secondo il D.Lgs. 138/2024?
Il D.Lgs. 138/2024 non cita esplicitamente il «test di penetrazione» come obbligo, ma richiede la valutazione dell'efficacia delle misure di sicurezza (Art. 24 §2 lett. e)). Le Linee Guida ACN (dicembre 2024) specificano che questa valutazione deve includere test tecnici periodici, tra cui vulnerability assessment e penetration test basati sul rischio. In un'ispezione ACN, la mancanza di evidenza di test tecnici recenti verrebbe classificata come inadempimento significativo dell'Art. 24.
Con quale frequenza devono essere effettuati i test tecnici NIS2?
Le Linee Guida ACN (dicembre 2024) raccomandano: vulnerability assessment continui o almeno trimestrali per i soggetti essenziali; penetration test almeno annuali per i sistemi critici; test dopo modifiche significative all'infrastruttura o alle applicazioni. Per i soggetti importanti, la frequenza minima raccomandata è un vulnerability assessment semestrale e un penetration test biennale. La frequenza deve essere proporzionale al profilo di rischio del soggetto.
Come supporta Matproof la conformità NIS2 / D.Lgs. 138/2024?
Matproof Sentinel automatizza la parte più onerosa della conformità NIS2: scansione continua delle vulnerabilità, penetration test assistito dall'IA con report strutturato secondo i requisiti ACN, tracciamento dello stato di remediation con evidence per le ispezioni, integrazione con i sistemi di ticketing (Jira, ServiceNow). Il report Matproof è strutturato per rispondere esattamente ai requisiti dell'Art. 24 §2 D.Lgs. 138/2024: metodologia documentata, vulnerabilità con CVSS score, piano di remediation con priorità, verifica dell'efficacia delle misure implementate.
Approfondisci — articoli correlati dal blog
Avvii subito la conformità NIS2 della Sua organizzazione
Ottenga una prima valutazione della Sua postura di sicurezza in 3 minuti — senza registrazione, senza impegno. Matproof Sentinel produce un report audit-ready che soddisfa i requisiti dell'Art. 24 D.Lgs. 138/2024 e le Linee Guida ACN NIS2.
Avvia il pentest NIS2