Requisiti MFA di NIS2: perché «abbiamo l'MFA» non supera più un audit
Requisiti MFA di NIS2: perché «abbiamo l'MFA» non supera più un audit
Un cliente vi dice che sull'autenticazione è tutto a posto. Tutti hanno Microsoft Authenticator, l'approvazione via push è imposta, fatto. Poi un auditor apre la guida tecnica dell'ENISA e pone una sola domanda: l'MFA sui vostri account privilegiati è resistente al phishing? E all'improvviso la risposta è no.
È la lacuna che la maggior parte delle organizzazioni non vede arrivare. NIS2 nomina direttamente l'autenticazione a più fattori, ma il consenso delle autorità di vigilanza ha già superato l'MFA di base. Se assistete entità europee sulla conformità a NIS2, la conversazione sull'MFA che avete avuto diciotto mesi fa è superata.
L'articolo 21(2)(j) nomina l'MFA — ma non definisce «abbastanza buono»
L'articolo 21(2)(j) di NIS2 richiede «l'uso di soluzioni di autenticazione a più fattori o di autenticazione continua, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno dell'entità, ove opportuno.»
Due espressioni di questa frase traggono in inganno. La prima è «ove opportuno.» Non è opzionalità. Significa che l'entità deve prendere una decisione documentata e basata sul rischio su dove si applica l'MFA. Un auditor che trova account privilegiati senza MFA e senza una valutazione del rischio che spieghi l'omissione lo tratterà come un rilievo, non come una scelta discrezionale.
Il secondo problema è ciò che la direttiva non dice. L'articolo 21 nomina l'MFA ma non definisce mai quali fattori siano ammissibili. Quel dettaglio si trova nel Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024, che fissa i requisiti tecnici e metodologici delle misure di gestione del rischio. La Direttiva vi dice che serve l'MFA. Il Regolamento di esecuzione, e la guida che vi si fonda, vi dice di quale tipo.
L'ENISA ha già fissato l'asticella sulla resistenza al phishing
Nel giugno 2025 l'ENISA ha pubblicato la versione 1.0 della sua Technical Implementation Guidance sul Regolamento di esecuzione 2024/2690. È il documento su cui si appoggiano le autorità di vigilanza quando valutano se le vostre misure raggiungono davvero lo standard.
La guida è esplicita: scegliete un metodo di autenticazione il cui livello di garanzia corrisponda alla classificazione dei dati e dei sistemi che protegge, e usate opzioni resistenti al phishing «ovunque possibile.» Nomina le chiavi di sicurezza FIDO2 e le passkey, basate sugli standard FIDO e W3C WebAuthn, come il metodo più robusto disponibile — davanti a password, codici SMS e password monouso basate su app.
Il ragionamento è tecnico, non una moda. Le notifiche push, i codici OTP e gli SMS si basano tutti su un segreto condiviso o su un'approvazione che si può estorcere all'utente. Gli attaccanti li battono ogni giorno con prompt di MFA fatigue, proxy adversary-in-the-middle e SIM swap. Le passkey e le chiavi FIDO2 sono legate al dominio per progettazione: la credenziale semplicemente non si rilascia verso un dominio contraffatto. Non c'è codice da phishare né prompt con cui affaticare.
Per un'entità essenziale, questo conta sul piano finanziario quanto su quello tecnico. La non conformità espone le entità essenziali a sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo globale. «Avevamo l'MFA» è una difesa debole quando la stessa agenzia dell'autorità di vigilanza ha documentato che l'MFA implementata era la versione debole.
Articolo 21 — 10 Misure di Cybersicurezza NIS2
Articolo 21
10 Misure di Cybersicurezza
Governance & Strategia
1Analisi dei rischi & politiche di sicurezza delle informazioni6Valutazione dell'efficacia delle misure di sicurezzaIncidenti & Continuità
2Gestione degli incidenti & notifica3Continuità operativa & ripristino di emergenzaCatena di Fornitura & Sistemi
4Sicurezza della catena di fornitura5Sicurezza nello sviluppo di sistemi di rete e informativiControlli Tecnici
8Crittografia & cifratura10Autenticazione a più fattori & comunicazioni sicurePersone & Risorse
7Igiene informatica & formazione9Sicurezza HR & controllo degli accessi
Non tutti gli account hanno bisogno dello stesso fattore
L'errore pratico nella direzione opposta è trattare l'MFA resistente al phishing come un rollout tutto-o-niente e bloccarsi perché le chiavi hardware per 4.000 dipendenti sembrano costose. La guida è graduata in base al rischio, e così dovrebbe esserlo il vostro consiglio.
L'accesso privilegiato e ad alto impatto è dove l'MFA resistente al phishing è di fatto non negoziabile: amministratori di dominio, amministratori di tenant cloud, accesso alle console di hypervisor e di backup, e ogni account in grado di disattivare le misure di sicurezza. Se uno di questi viene compromesso, l'incidente è finito prima di iniziare. Distribuite qui per primi chiavi FIDO2 o passkey di piattaforma.
L'accesso remoto e le identità esposte verso l'esterno vengono dopo — VPN, gateway RDP e ogni sistema raggiungibile da Internet. È la porta principale a cui bussano davvero gli attaccanti, quindi il livello di garanzia deve essere alto.
Gli account standard del personale possono passare all'MFA resistente al phishing secondo un calendario pianificato, ma la direzione deve essere chiara nella vostra documentazione. Un auditor vuole vedere che sapete dove resta l'MFA debole e che avete un piano datato per dismetterla, non che avete risolto tutto da un giorno all'altro.
Questa graduazione è anche il modo per mantenere sensate le conversazioni sul budget. Un consulente che si presenta pretendendo 200.000 euro di chiavi hardware perde la sala. Un consulente che dice «trenta chiavi FIDO2 per i vostri quindici amministratori privilegiati questo trimestre, passkey per tutti gli altri il prossimo» ottiene una firma.
Come renderlo auditabile, non solo distribuito
Il rollout è metà del lavoro. La metà che sopravvive a un audit è la documentazione che prova che il rollout è stato una decisione deliberata e basata sul rischio ai sensi dell'articolo 21.
Tre artefatti reggono gran parte del peso. Primo, una classificazione degli accessi che associa i tipi di account ai livelli di garanzia richiesti — è il documento che rende operativo «ove opportuno.» Secondo, la prova dell'applicazione, ossia policy di accesso condizionale o equivalenti che bloccano davvero gli accessi non conformi invece di limitarsi a raccomandare l'MFA. Una policy in modalità «report-only» non è una misura. Terzo, un registro delle eccezioni: ogni account che non può ancora usare l'MFA resistente al phishing, perché, la misura compensativa e la data di rimedio.
Azzeccate questi tre e la sezione MFA di un audit diventa breve. Saltateli e perfino un rollout tecnicamente solido sembra fortuna anziché governance.
La NIS2 si Applica alla Tua Organizzazione?
1La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì▼No▼2La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
✗La NIS2 non si applica direttamente alla tua organizzazione.
Sì▼No▼✓La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
3La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì▼!La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
1La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì ↓No →2La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
Sì ↓No →3La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì ↓No →✗La NIS2 non si applica direttamente alla tua organizzazione.
✓La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
!La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
Si applicaPossibile applicazioneNon si applica
Cosa significa per gli MSP che gestiscono più tenant
Se gestite l'identità per più clienti, il passaggio alla resistenza al phishing è un programma operativo, non una correzione cliente per cliente. I clienti che faranno fatica sono quelli ancora su MFA legacy su tutta la linea, e di solito sono i vostri incarichi più piccoli, dove la resistenza di budget è più alta.
Standardizzate ora. Scegliete un metodo resistente al phishing che potete distribuire e supportare su larga scala — passkey di piattaforma più un fallback con chiave hardware per gli amministratori è una base difendibile — e fatene la vostra baseline per ogni tenant. Costruite la classificazione degli accessi una volta come modello e adattatela per cliente anziché reinventarla a ogni incarico. E inserite il registro delle eccezioni nella vostra normale cadenza di reporting affinché le date di rimedio non scivolino silenziosamente oltre una scadenza di audit.
Il costo di sbagliare non è distribuito in modo uniforme. Quando una violazione colpisce un cliente gestito e la causa radice è un'MFA phishabile su un account amministratore, le disposizioni sulla catena di fornitura di NIS2 spostano la conversazione verso il vostro contratto, non solo il loro.
Escalation delle sanzioni NIS2 — Oltre la multa
!Evento scatenante
Non conformità rilevata o incidente verificatosi
Un'autorità di vigilanza identifica una lacuna di conformità o un'organizzazione non soddisfa i requisiti NIS2
Le autorità possono imporre▼Sanzioni non finanziarie1Ordini di conformità con scadenze vincolanti
2Audit di sicurezza obbligatori a vostre spese
3Divulgazione pubblica delle violazioni
4Istruzioni vincolanti su misure di sicurezza specifiche
Scala verso▼Conseguenze operative e personali1Sospensione di certificazioni o licenze operative
2Divieto temporaneo di funzioni dirigenziali per individui
3Denominazione pubblica delle persone fisiche responsabili
Evento scatenanteNon finanziarioOperativo / personale
La mossa da fare questo trimestre
Smettete di trattare l'MFA come una casella già spuntata. La domanda che conta sotto NIS2 non è più «abbiamo l'MFA» ma «la nostra MFA è resistente al phishing dove conta, e possiamo provare che la decisione è stata deliberata.»
Iniziate dagli account privilegiati, documentate i livelli di rischio, applicate in modalità blocco e tenete un registro delle eccezioni onesto. È la differenza tra un rilievo di autenticazione pulito e uno costoso.
Se non siete sicuri di dove sia realmente l'MFA dei vostri clienti rispetto alla guida dell'ENISA, una valutazione di prontezza strutturata farà emergere le lacune prima che lo faccia un auditor. Eseguite un quick scan NIS2 gratuito per vedere dove si trovano oggi l'autenticazione e il resto delle misure dell'articolo 21.
Per il quadro più ampio di ciò che richiede l'articolo 21, vedi la nostra analisi delle dieci misure dell'articolo 21. Per mettere alla prova la vostra postura complessiva, seguite la nostra guida passo passo all'analisi delle lacune.