Il DLGS 138/2024 ha recepito la Direttiva NIS2 in Italia: oltre 13.000 aziende italiane registrate come “essential” o “important” entro il 28 febbraio 2025, scadenze tecniche scaglionate fino a ottobre 2026. La rete wireless è uno dei punti più critici nelle ispezioni reali, perché è l’unica infrastruttura di connessione che attraversa il perimetro fisico in modo invisibile.
Questa è la checklist operativa che usiamo nei nostri audit pre-ispezione, mappata sull’art. 24 e sulla determina ACN dei “Misure tecniche minime”.
I 12 punti della checklist Wi-Fi NIS2
| # | Requisito | Evidenza richiesta |
|---|---|---|
| 1 | Inventario AP, controller, antenne | CMDB con MAC, FW version, posizione |
| 2 | Segmentazione VLAN per zona di rischio | Diagramma logico + ACL |
| 3 | WPA3-Enterprise o WPA2-Enterprise + PMF | Config controller export |
| 4 | RADIUS con MFA per amministratori | Log autenticazione 90gg |
| 5 | Cifrari minimi (AES-CCMP, no TKIP) | Audit cifratura per SSID |
| 6 | Logging centralizzato eventi 802.1X | SIEM con retention 6-12 mesi |
| 7 | Detection rogue AP / evil twin | Sensori WIPS attivi 24/7 |
| 8 | Patch management AP/controller | Procedura formalizzata + log |
| 9 | Site survey post-modifica | Report Ekahau/iBwave |
| 10 | Pentest annuale sul wireless | Report con remediation |
| 11 | Risk assessment specifico Wi-Fi | Documento aggiornato annuale |
| 12 | Procedure incident response Wi-Fi | Playbook scritto + test annuale |
I tre punti su cui inciampano quasi tutti
1. Mancanza di inventario wireless reale
In quasi un audit su due, il cliente non sa quanti AP ha e di che modello. Spesso ne ha più di quanti dichiarati: vecchi access point dimenticati, ripetitori personali aggiunti da utenti di reparto, dongle USB Wi-Fi su PC condivisi.
NIS2 art. 24 lett. e) chiede esplicitamente di gestire l’esposizione e le vulnerabilità: senza inventario, non si gestisce nulla. Un buon controller (UniFi Network, MikroTik CAPsMAN, Aruba Central) ti dà l’inventario aggiornato in tempo reale; documentarlo in un CMDB è una formalità ma è obbligatoria.
2. Assenza di logging centralizzato 802.1X
Le linee guida ACN parlano di “tracciabilità degli accessi” e “rilevazione tempestiva di eventi anomali”. Tradotto: se un AP rifiuta un’autenticazione 802.1X di un dispositivo aziendale alle 03:14 di sabato, qualcuno deve poterlo vedere lunedì mattina.
Implementazione tipica nei nostri progetti:
- RADIUS server logga su syslog (FreeRADIUS o Microsoft NPS in
accounting) - Syslog forward a Wazuh o Graylog
- Regole di alert: 5+ failed auth da stesso MAC in 60 secondi, deauth flood detection, association da MAC mai visto in finestra di 24h
- Retention minima 6 mesi (consigliata 12)
3. Site survey solo in fase di progetto
Una rete wireless cambia ogni mese: nuovi muri, nuovi mobili metallici, nuovi forni a microonde in cucina, nuovi access point dei vicini, nuovi dispositivi IoT. Il survey “una volta sola” non basta più.
NIS2 chiede di “valutare l’efficacia delle misure” su base periodica. Per il wireless, traduciamo:
- Survey passivo annuale (quick scan, mezza giornata)
- Survey passivo + attivo dopo ogni modifica strutturale (nuovi muri, nuovo arredo, nuovo reparto)
- Validazione post-deploy entro 30 giorni
Mappatura ai controlli ISO 27001
Molti clienti che ci chiamano per NIS2 sono già certificati ISO 27001. Buona notizia: la sovrapposizione è ampia.
| NIS2 art. 24 | ISO 27001:2022 control |
|---|---|
| a) policy gestione rischio | A.5.1, A.5.2 |
| b) gestione incidenti | A.5.24, A.5.25 |
| c) business continuity | A.5.29, A.5.30 |
| d) supply chain | A.5.19-A.5.22 |
| e) gestione vulnerabilità | A.8.8 |
| f) crittografia | A.8.24 |
| g) access control | A.5.15-A.5.18, A.8.2-A.8.5 |
| h) MFA, comunicazioni sicure | A.8.5, A.8.20 |
Se hai già ISO 27001 implementata bene, il delta NIS2 sul wireless è modesto: 2-4 settimane di adeguamento documentale + un pentest specifico.
Le sanzioni reali
Per le essential entities: fino a 10 milioni di euro o 2% del fatturato annuo globale (il maggiore dei due). Per le important: 7M o 1.4%. Sono sanzioni amministrative, applicabili anche su singoli amministratori in caso di “negligenza grave”.
L’ACN in fase iniziale sta applicando approccio collaborativo, ma le ispezioni sono partite e le contestazioni di non-conformità sono già state notificate ad alcune aziende. La prima multa significativa arriverà entro il 2026.
Cosa fare prima dell’ispezione
In ordine di priorità:
- Verifica registrazione su piattaforma ACN (se essential/important e non registrato, è la prima cosa che ti chiedono)
- Inventario wireless completo — anche solo Excel ben fatto
- Hardening base degli SSID corporate — WPA3 Required, PMF Required, niente WPS, niente PSK condivisa
- RADIUS con logging — anche solo Microsoft NPS se sei in dominio Active Directory
- Pentest documentato — anche solo un audit interno di mezza giornata, ma scritto
- Risk assessment Wi-Fi — 4-5 pagine, identifica scenari di attacco e mitigation
Se hai fatto questi 6 punti, il 70% dell’ispezione wireless è coperto.
E i corsi obbligatori?
NIS2 art. 21 sancisce l’obbligo di formazione per il management su rischi cyber. Sul wireless specifico, i percorsi che documentano competenze in modo riconoscibile sono CWNA / CWSP per i tecnici e i corsi di hardening pfSense / Netgate per chi gestisce il perimetro.
WiFiSecure è Centro Autorizzato di Formazione pfSense / Netgate per il mercato italiano: i nostri trainer rilasciano certificazioni utilizzabili come evidenza nei dossier ispettivi.
In sintesi
NIS2 sul wireless non chiede tecnologia esotica: chiede disciplina su tecnologia che hai già. Inventario, logging, segmentazione, hardening, audit periodici. Le aziende che falliranno ispezione non saranno quelle senza budget — saranno quelle senza processo.
Vuoi un audit pre-ispezione di mezza giornata? Contattaci: ti consegniamo i 12 punti compilati con evidenze, gap analysis e remediation plan in formato direttamente importabile sulla piattaforma ACN.