Vulnerability Assessment e NIS2: senza un pentest documentato non sei realmente conforme

A pochi mesi dalla scadenza di ottobre 2026 per l’adozione delle misure di sicurezza di base previste dalla NIS2, molte aziende italiane stanno completando gli adempimenti formali: registrazione sulla piattaforma ACN, designazione del Referente CSIRT, mappatura della supply chain. Tutto necessario, ma non sufficiente.
Il metro su cui l’Agenzia per la Cybersicurezza Nazionale valuterà la conformità — e su cui sono ancorate sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per i soggetti essenziali — non è l’adozione di policy, ma la capacità di dimostrare che le misure tecniche siano effettivamente in essere, aggiornate e verificate. Da qui la centralità del Vulnerability Assessment e, soprattutto, del Penetration Test documentato.

Cosa richiede davvero la NIS2
Le scadenze chiave del 2026
Vulnerability Assessment e Penetration Test: due cose diverse
Perché il Vulnerability Assessment da solo non basta
Cosa deve contenere un pentest “documentato” per essere probatorio
La responsabilità del management

Immagine che descrive come il vulnerability assessment non basti alla conformità NIS2 senza un pentest documentato

Cosa richiede davvero la NIS2

La Direttiva (UE) 2022/2555 è stata recepita in Italia con il D.lgs. 138/2024, in vigore dal 16 ottobre 2024. Il cuore degli obblighi tecnici è nell’articolo 24, che impone ai soggetti essenziali e importanti “misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi”.
Tra le aree elencate, almeno due richiedono in modo diretto l’esecuzione di test di sicurezza documentati:

politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi;
gestione e divulgazione delle vulnerabilità (vulnerability handling and disclosure).

Il punto cruciale è che l’intera architettura del decreto è di natura probatoria: l’azienda non deve solo fare, deve poter dimostrare di aver fatto. L’ACN ha esplicitamente il potere di richiedere documentazione, condurre ispezioni e accedere alle evidenze delle attività di test (artt. 37-38). Senza documentazione, non c’è conformità.

Le scadenze chiave del 2026

Per i soggetti già inseriti nell’elenco NIS nel 2025, il 31 ottobre 2026 è la deadline per adottare le misure di sicurezza di base previste dagli allegati della Determinazione ACN 164179/2025 — 37 misure / 87 requisiti per i soggetti importanti, 43 misure / 116 requisiti per gli essenziali. Da quella stessa data partono le attività ispettive dell’Agenzia. Per i soggetti inseriti nel 2026, il termine si sposta al 31 luglio 2027.

Vulnerability Assessment e Penetration Test: due cose diverse

In molte organizzazioni i due termini vengono usati come sinonimi. È un errore che, nel contesto NIS2, può costare caro.

Il Vulnerability Assessment è un’attività prevalentemente automatizzata di scansione, che produce un elenco di vulnerabilità note classificate per severità (CVSS). Risponde alla domanda: “Quali vulnerabilità sono presenti nei miei sistemi?”. È ampio, ripetibile con alta frequenza, ma rileva l’esistenza di una vulnerabilità senza verificarne l’effettiva sfruttabilità.

Il Penetration Test è un’attività ad alta componente manuale, in cui analisti specializzati simulano il comportamento di un attaccante reale: sfruttano le vulnerabilità, le concatenano, valutano l’impatto effettivo. Risponde alla domanda: “Un attaccante può effettivamente compromettere i miei sistemi, e con quale impatto?”.

Entrambi sono necessari, ma rispondono a esigenze diverse. Per un confronto tecnico più approfondito puoi consultare anche il nostro precedente articolo sulle implicazioni tecniche della NIS2 per il Vulnerability Assessment e il Penetration Test.

Perché il Vulnerability Assessment da solo non basta

Affidarsi al solo VA (magari automatizzato) per dimostrare di aver “valutato l’efficacia delle misure” è una strategia limite per tre motivi:

Rileva ciò che è noto, non ciò che è sfruttabile. Un report di VA produce decine di vulnerabilità “critical” senza poterle prioritizzare in base all’effettiva sfruttabilità nel contesto specifico. Falsi positivi e vulnerabilità inutilizzabili in pratica si mescolano a rischi reali.
Testa le porte, non le difese. Non valuta il funzionamento del SIEM, l’efficacia delle regole di detection, i tempi di risposta del SOC. La NIS2 chiede di valutare l’efficacia complessiva, non solo la superficie d’attacco.
Non è una prova sufficiente in audit. Un report di VA è uno snapshot; non documenta che cosa l’azienda ha fatto per validare la robustezza del proprio impianto difensivo.

L’approccio corretto è complementare: VA frequenti per il monitoraggio continuo, Penetration Test periodici per la validazione approfondita.

Cosa deve contenere un pentest “documentato” per essere probatorio

Non tutti i Penetration Test hanno lo stesso valore in sede di compliance. Per costituire una prova adeguata, un report deve presentare almeno:

Scope formalmente definito (IP, domini, applicazioni, ambienti) e tempistiche precise di esecuzione.
Metodologia di riferimento dichiarata: OWASP, PTES, NIST SP 800-115 o MITRE ATT&CK.
Catalogazione delle vulnerabilità con metrica oggettiva (CVSS v3.1 o v4.0) e riferimento a CWE/CVE.
Proof of concept (PoC) per ogni vulnerabilità critica: screenshot, payload, livelli di accesso ottenuti. È l’elemento che distingue un PT da un VA.
Raccomandazioni di remediation chiare e prioritizzate.
Retest dopo le correzioni, entro 30–90 giorni, a prova dell’efficacia delle azioni intraprese.
Identificazione del professionista esecutore, con riferimento a certificazioni riconosciute (OSCP, OSCE, eCPPT, CEH, CISSP).
Tracciabilità nel risk register aziendale, per garantire continuità tra l’evidenza del test e il ciclo di gestione del rischio.

Un report che soddisfa questi requisiti non è solo un documento tecnico: è un elemento probatorio allineato ai requisiti dell’art. 24 del D.lgs. 138/2024.

La responsabilità del management

Un elemento che la NIS2 ha portato in primo piano è la responsabilità personale del management.
L’articolo 23 del D.lgs. 138/2024 stabilisce che gli organi di amministrazione e direttivi sono tenuti ad approvare le misure di gestione dei rischi, a sovrintenderne l’attuazione e a rispondere delle violazioni. È prevista una formazione obbligatoria, e l’ACN può richiedere evidenza dell’effettivo coinvolgimento del CdA.
In questo contesto, far eseguire un Penetration Test, archiviarne il report senza azioni di remediation e senza portarne l’evidenza al consiglio di amministrazione, è una pratica che oggi espone l’azienda — e i suoi vertici — a un rischio sanzionatorio concreto.

In sintesi

La NIS2 non chiede alle aziende di “essere sicure” in astratto.
Chiede di adottare misure proporzionate al rischio, di valutarne l’efficacia con metodi strutturati, e di poter dimostrare in sede di vigilanza tanto le attività svolte quanto i loro risultati.
Il Vulnerability Assessment è una componente necessaria del monitoraggio continuo, ma non basta. La piena conformità richiede l’integrazione con un Penetration Test eseguito secondo metodologie riconosciute, documentato in modo rigoroso e collegato al ciclo di gestione del rischio. Senza questa documentazione, l’azienda potrà sostenere di aver fatto sicurezza, ma non sarà in grado di dimostrarlo. E nel quadro NIS2, ciò che non è dimostrato semplicemente non esiste.
Le scadenze sono note, le sanzioni anche. Il tempo per arrivare pronti al primo ciclo ispettivo ACN, che partirà dal quarto trimestre 2026, è limitato.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.