01
Chi ci sta attaccando in questo momento?
Non chi potrebbe attaccarci. Chi sta tentando, ora, sui sistemi reali.
Persona · Proprietà · CdA · DG
Cyber non è un costo IT.
È governance.
Dal 2024 la NIS2 attribuisce responsabilità personale agli amministratori per l'inadeguatezza della postura cyber. Le polizze richiedono evidenza tecnica per pagare. La domanda non è più se ce ne occuperemo — è come e quando.
10 M€Sanzione NIS2 max
2%Fatturato · soggetti essenziali
72hNotifica CSIRT obbligata
4×Board report all'anno
§ 01 · 10 domande al CISO
Le domande che il CdA dovrebbe già fare.
Se il CISO non ha risposte concrete a queste domande, il problema non è il CISO: è il livello di esposizione informativa del board. Affianchiamo le imprese a costruire un dialogo tecnico-strategico in linguaggio di rischio.
02
Quanto durerebbe un nostro fermo da ransomware?
In ore di produzione, in fatturato, in clienti persi. Numeri, non sensazioni.
03
Siamo in scope NIS2? Essenziali o importanti?
La NIS2 attribuisce responsabilità personale agli amministratori. Sapete dove ricadete?
04
Le nostre back-up resisterebbero davvero?
Quando è stato l'ultimo restore completo testato? Non simulato — eseguito.
05
Abbiamo una polizza cyber? Cosa copre davvero?
Polizze stipulate prima del 2024 spesso escludono ransomware o richiedono postura minima oggi non garantita.
06
Chi risponde se accade alle 3 di notte?
Numero di telefono, persona, lingua, fuso orario. Specifico.
07
Quanto investiamo in cyber rispetto al settore?
Mediana settoriale: 2-4% del budget IT per banking/finance, 1-2% per manifatturiero. Voi?
08
I nostri fornitori critici sono difesi?
La supply chain è la prima superficie d'attacco moderna. NIS2 obbliga a vigilarla.
09
Cosa è cambiato dall'ultimo board cyber?
Threat landscape, regolatorio, postura interna. Se la risposta è 'niente', il monitoraggio è inattivo.
10
Cosa diremmo alla stampa domani?
Crisis communication preparata prima, non improvvisata durante l'incidente.
Vuoi un foglio di lavoro stampabile? Te lo mandiamo via email →
§ 02 · Confronto
SOC interno vs MDR esterno.
Confronto qualitativo su un'azienda mid-market (200-500 endpoint, 1-2 sedi). Un SOC interno richiede personale, stack tecnologico, intel, detection engineering, continuità, formazione. Il modello MDR Fortgale aggrega tutto in un servizio gestito, con un investimento relativo nettamente inferiore.
| Componente | SOC interno | Fortgale MDR |
|---|---|---|
| Personale SOC senior · 24/7 | Risorse dedicate full-time | Incluso · No HR |
| Stack EDR · SIEM · TIP | Da acquistare e gestire | Incluso · multi-vendor |
| Threat intel feed / abbonamenti | Abbonamenti aggiuntivi | Incluso · CTI proprietaria |
| Detection engineering | Team interno o consulenza | Incluso · regole peer-reviewed |
| Tabletop, formazione, certificazioni | A budget separato | Incluso (Silver+) |
| Continuità · ferie · turn-over | 30% imprevisto | Mitigato · team rotante |
| Time-to-value | 12-18 mesi | 30 giorni |
| Investimento relativo | €€€€€ | €€ |
Il rapporto €€€€€ : €€ rappresenta l'investimento relativo medio osservato sul mid-market italiano. Vuoi una comparazione sul tuo caso specifico? Parla con i nostri analisti.
§ 03 · Accountability NIS2
Sanzioni economiche e personali.
Il D.Lgs. 138/2024 (recepimento NIS2 in Italia) introduce sanzioni significative per l'azienda e per gli amministratori a livello individuale. La differenza con il GDPR: qui c'è anche la sospensione delle funzioni.
| Soggetto / violazione | Importo | Nota |
|---|---|---|
| Soggetti essenziali | fino a 10 M€ o 2% del fatturato globale | Si applica il maggiore tra i due valori |
| Soggetti importanti | fino a 7 M€ o 1.4% del fatturato globale | Si applica il maggiore tra i due valori |
| Amministratori | responsabilità personale | Sospensione delle funzioni in caso di gravi violazioni reiterate |
| Notifica omessa CSIRT | ulteriori sanzioni | Fino a 1 M€ aggiuntivi per omissione/ritardo nella notifica |
Esposizione personale degli amministratori.
La NIS2 obbliga il management a conoscere e approvare le misure cyber. La
formula "non lo sapevo" non costituisce esimente. La copertura D&O standard non sempre
risponde su omissioni in materia di cyber.
§ 04 · Assicurabilità
La polizza paga solo se.
Le polizze cyber del 2025-2026 hanno condizioni di postura tecnica per la sottoscrizione e la liquidazione del sinistro. Se la postura è inadeguata, il rischio è doppio: subire l'attacco e non essere indennizzati.
Pre-condizione
MFA obbligatoria
Senza MFA su accessi privilegiati la maggior parte degli underwriter non sottoscrive. Postura base 2026.
Pre-condizione
Backup immutable + DR test
Backup off-line/immutable provati nell'anno. Senza, esclusione ransomware nelle nuove polizze.
Pre-condizione
EDR/MDR su endpoint
Endpoint con detection moderna · 24/7 monitoring. Vendor non liste-bianca: il valore è la copertura, non il logo.
Premio premium
Tabletop annuale documentato
Le polizze top scontano 5-15% se è documentato un esercizio annuale di IR con report.
Premio premium
Vendor risk management
Processo strutturato di valutazione fornitori critici (NIS2 art. 23). Riduce il premio.
Lavoriamo con i broker della tua azienda per certificare la postura e ridurre il premio. Parlaci della tua polizza.
Per un briefing al CdA
Un briefing di 45 minuti per il vostro CdA.
Linguaggio di rischio, non di tecnologia. Risk register, postura, sanzioni, copertura. Pronti da presentare.