Microsoft Cloud · Compliance · Aggiornato al 18 maggio 2026
La legge tedesca di recepimento NIS2 è in vigore dal 6 dicembre 2025. Circa 29.500 aziende tedesche ricadono per la prima volta sotto l'obbligo. Portiamo PMI, mid-market e KRITIS (Infrastrutture Critiche tedesche) in una cornice di compliance solida — su Microsoft Purview, Microsoft Entra ID e Microsoft Defender. Pragmatici, senza eccesso.
NIS2 è qui
La legge tedesca di recepimento NIS2 e di rafforzamento della cybersecurity (NIS2UmsuCG) è la trasposizione tedesca della Direttiva UE 2022/2555. È entrata in vigore il 6 dicembre 2025 e amplia drasticamente la platea delle aziende obbligate. Circa 29.500 aziende tedesche ricadono per la prima volta sotto NIS2 — molte sono costruttori di macchine di medie dimensioni, produttori alimentari, service provider IT, fornitori di energia regionali.
La novità centrale rispetto alla prima Direttiva NIS: NIS2 non copre più solo i settori KRITIS (Infrastrutture Critiche) classici, ma anche i settori essenziali e importanti in tutta la loro ampiezza — dalla produzione alimentare ai costruttori di determinati macchinari fino ai Managed IT Service Provider. Ogni media impresa a partire da 50 dipendenti e 10 mln € di fatturato che opera in uno dei 18 settori NIS2 è con alta probabilità interessata.
Tre conseguenze sono particolarmente impattanti: in primo luogo, un obbligo di notifica degli incidenti entro 24 ore al BSI (Ufficio federale tedesco per la sicurezza informatica). In secondo luogo, un sistema di gestione del rischio documentato con misure tecniche e organizzative chiare. In terzo luogo — spesso dimenticato — la responsabilità personale diretta dei dirigenti. Chi delega il tema senza supervisione documentata si espone, sotto NIS2, a un problema personale.
Quattro mattoni di compliance
Microsoft ha costruito negli ultimi tre anni uno stack di compliance coerente. Quattro tool ne formano la base — si intrecciano ma sono ciascuno oggetto distinto di licensing e configurazione.
Assessment, gap analysis, roadmap. Valutiamo la Sua situazione attuale rispetto ai requisiti NIS2, identifichiamo le lacune maggiori e prioritizziamo le misure per rischio e sforzo. Risultato: un programma di implementazione chiaramente formulato, sostenuto congiuntamente da direzione e IT.
Classificazione dei dati, Data Loss Prevention (DLP), Insider Risk Management, audit. Microsoft Purview risponde alla domanda: quali sono i nostri dati critici, chi li vede, chi può farne cosa. Centrale sia per GDPR sia per NIS2.
Identity and Access Management. Autenticazione multifattore, Conditional Access, Privileged Identity Management, Identity Protection. Chi vuole essere conforme NIS2 deve prima padroneggiare le identità — è la leva più alta per il rischio più basso.
Endpoint Security, Email Security, Cloud Security, Identity Security. Microsoft Defender XDR riunisce i singoli prodotti Defender in una piattaforma di telemetria. L'obbligo di notifica degli incidenti previsto da NIS2 diventa così operativamente soddisfacibile — purché lo stack sia configurato correttamente e il team sappia gestirlo.
Il nostro approccio
NIS2 non è un progetto di 4 settimane. Ma non è nemmeno un programma di 24 mesi. Lavoriamo con i nostri clienti in quattro fasi chiaramente distinte — ogni fase produce un risultato autonomo che mantiene valore anche se la fase successiva viene rinviata.
Quattro settimane. Verifichiamo l'eleggibilità (settore, dimensione, classificazione KRITIS), inventariamo gli asset critici e rileviamo lo stato attuale in Microsoft 365, Entra ID e Defender. Risultato: un'immagine chiara della situazione di partenza, senza abbellimenti.
Tre-quattro settimane. Per ogni requisito NIS2 e ogni tool Microsoft, una valutazione delle lacune. Cosa è soddisfatto oggi, parzialmente, per nulla. Per ogni lacuna: una misura, uno sforzo, un contributo al rischio. Risultato: un catalogo di misure prioritizzato.
4–9 mesi. Implementazione delle misure prioritizzate — Quick Win (MFA, Conditional Access, regole DLP di base) per primi, poi i temi strutturali (Insider Risk, SIEM, Incident Response). A ondate, con milestone chiare.
In continuo. NIS2 non è uno stato finale di progetto ma una disciplina continua. Compliance review trimestrale, audit annuale, tuning continuo delle regole Defender. A scelta nell'ambito dei nostri contratti Application Care.
Costi di implementazione — la cifra onesta
Sentiamo spesso la domanda: "Quanto ci costa NIS2?" Una risposta onesta ha due lati. Sul lato consulenza e implementazione calcoliamo per medie imprese da 50 a 500 dipendenti un programma i cui costi vengono precisati insieme nel colloquio iniziale. Questa fascia copre assessment, gap analysis, deployment dei Quick Win, configurazione di Microsoft Purview/Entra ID/Defender e costruzione dei processi di incident response.
Sul lato licensing si aggiungono gli upgrade Microsoft — tipicamente da Microsoft 365 E3 a E5 o pacchetti Defender e Purview integrativi. Lo calcoliamo in modo trasparente con il nostro License Cost Calculator. Per dipendente significa un sovrapprezzo mensile tra 8 € e 25 € — la fascia dipende fortemente dalla situazione di partenza.
Cosa i costi non includono: rinnovi hardware (ad esempio per l'hardening degli endpoint), audit esterni da parte di auditor certificati, accompagnamento giuridico per la dichiarazione di conformità. Questi voci li calcoliamo su richiesta in un budget complessivo ma orientiamo di norma verso partner specializzati.
Delimitazione onesta
Facciamo conformità NIS2 su stack Microsoft. Tre ambiti in cui mobilitiamo consapevolmente partner:
Sicurezza OT (Operational Technology). Controllo macchine, sistemi SCADA, sensori industriali — è una disciplina a sé con tool propri (Claroty, Nozomi, Microsoft Defender for IoT come ponte). Per clienti industriali mobilitiamo partner OT specializzati.
Sicurezza fisica. Controllo accessi, gruppi di continuità, protezione antincendio, siti ridondanti — NIS2 lo richiede, noi non lo eroghiamo. Qui orientiamo verso partner di Facility Management.
Audit di conformità. Il timbro giuridico sulla dichiarazione di conformità lo appone un organismo di audit certificato, non noi. Prepariamo l'audit, documentiamo le misure e accompagniamo attraverso la verifica — il timbro arriva da un terzo.
Domande frequenti
NIS2 (Direttiva UE 2022/2555) è la seconda versione della Network and Information Security Directive. In Germania è stata recepita con la legge NIS2UmsuCG (legge tedesca di recepimento NIS2), entrata in vigore il 6 dicembre 2025. Circa 29.500 aziende tedesche ricadono per la prima volta sotto l'obbligo.
Tre criteri portano all'obbligo: settore (18 settori menzionati in NIS2 come energia, trasporti, banche, sanità, servizi IT, produttori di determinati beni), dimensione (medie imprese a partire da 50 dipendenti e 10 mln € di fatturato) e criticità (classificazione KRITIS, Infrastrutture Critiche tedesche). Verifichiamo l'eleggibilità già nella prima ora del colloquio iniziale.
NIS2 prevede per le entità essenziali sanzioni fino a 10 mln € o al 2% del fatturato annuo mondiale. Per le entità importanti fino a 7 mln € o all'1,4% del fatturato. Si aggiunge la responsabilità personale diretta dei dirigenti — la direzione risponde personalmente, non solo l'IT.
Per le medie imprese calcoliamo realisticamente un budget di implementazione tra 50.000 € e 150.000 €. Comprende assessment, gap analysis, configurazione dei tool Microsoft (Purview, Entra ID, Defender), formazione e costruzione degli obblighi di reporting. I costi ricorrenti si aggiungono tramite licenze e monitoraggio continuo.
Per la maggior parte dei requisiti sì. Microsoft Purview, Microsoft Entra ID, Microsoft Defender e Microsoft Sentinel coprono l'essenziale dei requisiti NIS2. Restano lacune nella sicurezza OT (Operational Technology, controllo macchine), nei requisiti settoriali specifici e nella protezione fisica. Le copriamo tramite partner.
Realisticamente 6–12 mesi per medie imprese — dal primo assessment all'esercizio produttivo dei tool di compliance. I Quick Win (autenticazione multifattore, Conditional Access, regole DLP di base) sono distribuibili in 4–8 settimane. La piena maturità, processi di incident response inclusi, richiede di più.
Il GDPR protegge i dati personali. NIS2 protegge la disponibilità e l'integrità dei servizi critici — cioè la cybersecurity in senso ampio, con obblighi chiari di gestione del rischio, notifica degli incidenti (termine 24 ore!) e responsabilità dei dirigenti. I due regolamenti si intersecano, ma coprono beni protetti diversi.
30 min colloquio iniziale o 45 min architettura
Valutiamo eleggibilità, maturità e lacune maggiori nel colloquio iniziale. Per setup complessi con più sedi, quote OT o strutture di gruppo, direttamente nella nostra call di architettura 45 min.
