Software costruito per stare dentro NIS2 fin dal primo giorno.
Per chi ricade nella Direttiva NIS2 (manifatturiero critico, energia, finance, sanità, supply chain) e deve costruire software che rispetti i controlli tecnici richiesti. Sviluppiamo applicazioni con security-by-design integrata, pronte per audit.
Cosa succede oggi.
La Direttiva NIS2 (UE 2022/2555, recepita in Italia con D.Lgs. 138/2024) ha esteso significativamente il perimetro dei soggetti obbligati a misure di sicurezza cyber. Settori essenziali (energia, sanità, trasporti, banking, infrastrutture digitali) e importanti (manifatturiero, alimentare, postali, ricerca, fornitori digitali) sono coinvolti, anche le PMI nella supply chain.
I requisiti tecnici NIS2 (gestione incidenti, encryption, MFA, audit log, monitoring, business continuity, supply chain security) richiedono software costruito con questi controlli integrati. Aggiungerli a fine progetto su un software esistente è 5-10 volte più costoso che integrarli in fase di design.
Importante: noi costruiamo software conforme. La conformità NIS2 complessiva della vostra organizzazione richiede anche policy organizzative, governance, processi (gestione fornitori, formazione, incident response plan), che restano vostre responsabilità o del vostro CISO/consulente di compliance.
La compliance NIS2 vive nel codice, non nelle slide. La differenza si vede al primo audit serio.
La soluzione, smontata in parti.
-
Mapping requisiti NIS2 → controlli tecnici
Identifichiamo i requisiti NIS2 applicabili al vostro settore e li mappiamo su controlli tecnici concreti: gestione vulnerabilità, audit log, MFA, encryption, monitoring, gestione incidenti, business continuity.
-
Architettura security-by-design
Threat modeling (STRIDE) prima del codice. Architettura con principio del minimo privilegio, segregazione di rete, defense in depth. Stack moderno con vulnerabilità note tracciate e patch automatiche.
-
Audit log + monitoring continuo
Ogni azione critica viene loggata in modo immutabile, strutturato, esportabile. Monitoring continuo con alert su anomalie. Pronto per le notifiche obbligatorie di incident NIS2 (24/72 ore).
-
Documentazione audit-ready
Architecture Decision Records, threat model, evidenze test sicurezza (SAST, DAST, penetration test), policy di accesso. Tutta la documentazione versionata, mantenuta in sync col codice, esportabile in PDF per ispezioni.
I profili tipici di chi ne beneficia.
-
Manifatturiero critico (settore essenziale o importante)
Aziende manifatturiere che rientrano nel perimetro NIS2 (chimico, automotive, food, dispositivi medici, fornitori critici di altre filiere). Devono mettere in compliance i sistemi entro le scadenze nazionali.
-
Energy & utilities (settore essenziale)
Aziende del settore energetico (produzione, distribuzione, trading energia) e utilities. NIS2 ha implicazioni dirette su OT, sistemi SCADA, controllo industriale.
-
Finance + infrastrutture digitali
Istituti finanziari (NIS2 + DORA in parallelo), provider di servizi digitali (cloud, DNS, marketplace), data center. Vincoli stringenti su business continuity e gestione incidenti.
Trasparenza sui compiti del cliente.
Prima di partire abbiamo bisogno di alcuni accessi e decisioni. Tutto ragionevole, nessuna richiesta sorpresa.
-
Inquadramento NIS2
- Classificazione del soggetto (essenziale, importante, fuori perimetro)
- Lista delle figure di compliance interne (CISO, DPO, IT Manager)
- Eventuali audit già fatti, report di gap analysis
-
Sistema da costruire
- Scope funzionale del software da sviluppare
- Vincoli di interoperabilità (integrazioni con sistemi esistenti)
- Target di availability e RTO/RPO
Numeri orientativi, non preventivi.
- TEMPI
- Tipicamente 4-9 mesi per software medio. La parte di hardening e documentazione audit-ready aggiunge 15-25% sul tempo di un progetto equivalente non-regolamentato.
- COSTI
- Range €60.000-300.000 a seconda della complessità. Premium di compliance tipicamente 15-25% su un equivalente non-regolamentato.
- MODELLO
- Milestone fisse con go/no-go gate dopo threat modeling e dopo penetration test.
Numeri orientativi. Per un preventivo accurato, parliamoci.
Le risposte alle domande più frequenti.
Sono obbligato dal NIS2?
Il perimetro NIS2 copre molti settori: energia, trasporti, banking, sanità, infrastrutture digitali (essenziali), e manifatturiero, postale, alimentare, ricerca, fornitori digitali (importanti). La soglia tipica è ≥50 dipendenti O ≥10M€ di fatturato. Le PMI nella supply chain di soggetti coinvolti possono ricadere anche senza superare la soglia. Verifica con il vostro DPO/consulente compliance.
Voi gestite anche la compliance organizzativa NIS2?
No, e nessuna software house seria lo fa. La compliance NIS2 organizzativa (policy, governance, gestione fornitori, formazione, incident response plan, comunicazioni autorità) richiede consulenza di compliance specialistica, in capo al vostro DPO/CISO/consulente. Noi consegniamo il software conforme, parte fondamentale ma non sufficiente da sola.
Costruite anche software per OT/ICS?
Lavoriamo sul lato IT (gestionali, integrazione, dashboard, software custom). Per OT puro (PLC, SCADA, DCS) collaboriamo con system integrator specializzati. Lato integrazione IT-OT (es. raccolta dati produzione, monitoring industriale) abbiamo esperienza diretta, sempre con cautela sui vincoli safety.
Le sanzioni NIS2 sono significative?
Sì. Per soggetti essenziali fino a €10M o 2% del fatturato annuo globale (il maggiore). Per soggetti importanti fino a €7M o 1,4%. Aggiungendo le sanzioni amministrative aggiuntive e i danni reputazionali post-incident, l'investimento in compliance è di norma ben ripagato.
Riconoscete il vostro caso?
Scrivete due righe sul vostro contesto. Rispondiamo entro 24-48 ore con una valutazione iniziale e un primo orientamento di tempi e costi.
Parliamone