Due manifatturieri in otto giorni: il gap di evidenze NIS2 è diventato concreto

Otto giorni di maggio 2026 hanno trasformato un dibattito regolatorio in una questione operativa. Un produttore di dispositivi medici comunica il 7 maggio un evento di cifratura più esfiltrazione; Foxconn conferma il 12 maggio un attacco ransomware Nitrogen, con il leak site che rivendica 8 TB e circa 11 milioni di file. Entrambe le aziende si trovano ora davanti alla stessa domanda d'audit — quali controlli erano attivi, e come lo dimostri? — in un momento in cui la Commissione Europea ha passato dodici mesi a trasformare la NIS2 da testo in procedure d'infrazione. Il gap di evidenze, quello che ogni slide CISO chiama "rischio in corso di mitigazione", è la parte della risposta che costa di più quando non è già stata costruita prima.

La timeline di otto giorni

• 2026-05-04 — West Pharmaceutical rileva un'intrusione sul perimetro IT globale.
• 2026-05-07 — West Pharmaceutical comunica via SEC filing che "certain data was exfiltrated by an unauthorized party and certain systems were encrypted". I sistemi vengono messi offline a livello globale per contenimento. Per la incident response viene ingaggiata Palo Alto Networks Unit 42. Nessun gruppo ransomware rivendica al momento della pubblicazione.
• 2026-05-11 — Nitrogen pubblica Foxconn sul proprio data-leak site nella dark web.
• 2026-05-12 — Foxconn conferma il cyberattacco agli stabilimenti nordamericani. Tra i siti colpiti l'impianto di Mount Pleasant, Wisconsin. Il leak rivendica 8 TB e "millions of files that include technical information from several prominent tech firms" — i riferimenti a project file di Apple, Google, Intel, Nvidia e Dell compaiono nelle descrizioni del leak.

Nessuna delle due aziende è un caso isolato. L'Arctic Wolf 2026 Threat Report — pubblicato a febbraio 2026, basato sul caseload novembre 2024 – novembre 2025 — colloca il manifatturiero in testa alla classifica dei settori più colpiti dal ransomware, con ~70% di incidenti in più rispetto al settore successivo (costruzioni), con la data-only extortion in crescita di undici volte anno su anno e il 65% delle intrusioni non-BEC che abusano di accessi RDP, VPN o RMM. Lo schema combacia con entrambi gli incidenti di maggio: foothold via accesso remoto, lateral movement verso le share, esfiltrazione prima, cifratura dopo.

Il regolatore gira su un orologio diverso

A novembre 2024 la Commissione Europea ha aperto procedure d'infrazione contro 23 stati membri per mancata trasposizione completa della NIS2. Il 7 maggio 2025 ha inviato pareri motivati a 19 di essi — Bulgaria, Cechia, Danimarca, Germania, Estonia, Irlanda, Spagna, Francia, Cipro, Lettonia, Lussemburgo, Ungheria, Paesi Bassi, Austria, Polonia, Portogallo, Slovenia, Finlandia e Svezia. Il parere motivato è l'ultimo passaggio formale prima del rinvio alla Corte di Giustizia dell'Unione Europea. Due mesi per rispondere — finestra chiusa a luglio 2025 — e il pipeline CGUE è ora la parte di procedura che conta operativamente nel 2026.

L'Italia non è in quella lista. Il D.Lgs. 138/2024 ha trasposto la NIS2 lo scorso anno, ACN ha attivato il ciclo di notifica e il regime sta passando da "sei in elenco?" a "fai vedere i controlli". È la parte che è uguale ovunque, lista o non lista.

Il calendario che un manifatturiero colpito sta oggi leggendo ha due colonne:

1. La timeline d'incidente interna. Dalla compromissione, alla disclosure, alla ricostruzione forense.
2. La timeline d'enforcement del regolatore. Da "avevate dichiarato i controlli" a "dimostri di averli avuti operativi quel giorno".

La maggior parte dei playbook d'incidente è costruita per la colonna 1. La parte che si rompe — e che maggio 2026 ha reso visibile — è la colonna 2.

Cosa chiede davvero la NIS2, in concreto

Il corpo dei requisiti NIS2 è ampio, ma l'interazione post-incidente con auditor o autorità competente si riduce a una lista breve di domande. La colonna interessante è quella di destra:

Requisito (famiglia Art. 21 / Art. 24 D.Lgs. 138/2024)	Cosa chiede l'auditor
Controlli risk-based	Qual era l'inventario di esposizione il giorno della compromissione, e come lo dimostri?
Vulnerability management	Mostrami 12 mesi di finding validati e i timestamp di remediation.
Gestione incidenti	Notifica entro 24h per incidente significativo — avevi i dati per farla?
Sicurezza della supply chain	Mappatura degli accessi di terze parti e postura di ciascuna.
Crittografia e controllo accessi	Dimostrabile, non descritto.

Tre righe su cinque sono evidence-shaped: non "hai una policy", ma "mostrami l'artefatto". Il post-incidente è il momento sbagliato per costruirlo. È anche il momento in cui la maggior parte delle organizzazioni scopre che il proprio report di pentest del Q4 è uno screenshot di un tool che nessuno fa più girare, su una rete che non esiste più.

La meccanica operativa che peggiora il gap

Entrambi gli incidenti di maggio seguono una sequenza ormai canonica. Vale la pena descriverla nel dettaglio, perché ogni passaggio produce evidenza che il difensore o cattura nel momento, o perde per sempre:

• Foothold. Superficie di accesso remoto — VPN, RDP, RMM — abusata con credenziali valide o vulnerabilità note dell'appliance. Arctic Wolf attribuisce a questa classe il 65% delle intrusioni non-BEC del proprio caseload 2025. L'evidenza qui è se il difensore aveva un inventario di quali appliance erano esposte e quali validate negli ultimi 30 giorni.
• Lateral movement e discovery. L'intruso mappa le file share e l'infrastruttura di identità. L'evidenza qui è se qualcosa stava guardando il traffico est-ovest per la firma di staging — prima alcune query SMB inusuali da un host che storicamente solo ingeriva, poi una coda lunga di operazioni di read.
• Esfiltrazione. Il playbook di Nitrogen è exfiltrate-first: gli 8 TB del leak Foxconn sono il dato esfiltrato, non quello cifrato. L'evidenza qui è se l'analytics di flusso ha segnalato l'egress sostenuto verso un ASN con cui l'host non aveva storia di comunicazione.
• Cifratura. Scritture rapide SMB/NFS verso le share da un host che non dovrebbe scriverci, fan-out lungo il grafo laterale. L'evidenza qui è se la rete ha visto la firma in corso in tempo per tagliare l'host, o se il difensore lo ha scoperto dalla ransom note.

Ognuno dei quattro passi produce una traccia — di traffico e di controllo. La domanda è se la traccia è catturata e firmata nel momento in cui accade, o ricostruita dopo da log che l'attaccante può aver toccato.

"Mostrami l'inventario di esposizione validato sul perimetro IT West Pharmaceutical al 2026-05-04 ore 09:00 CET."

La maggior parte dei manifatturieri oggi non sa rispondere. Quelli che sapranno rispondere saranno in un'altra stanza l'anno prossimo.

Perché gli screenshot non reggono il contraddittorio

Sta cambiando in silenzio il significato di "evidenza" in un incidente cyber regolato, e questo influisce sul valore di ogni artefatto d'audit che un CISO ha in mano:

• Screenshot e PDF degradano. Non sono crittograficamente legati a un istante, al tool che li ha prodotti, o allo scope della scansione sottostante. Una controparte determinata in un claim assicurativo o un'azione di classe può riprodurli, alterarli, o mettere in discussione da quale esecuzione vengano.
• I fogli di calcolo dei finding sono riassunti, non chain-of-custody. Aggregano. L'aggregazione è il punto — e il problema. Da un foglio non puoi ricostruire se il finding 47 sia stato validato in sandbox, con quale payload, contro quale risposta.
• Cosa regge. Record firmati crittograficamente — uno per finding, uno per scan, uno per remediation — legati a scan ID, artefatti di exploit, e timestamp da una chiave che vive sull'appliance. Stesso hash, stessa firma, interrogabile mesi dopo, mappabile sul framework che l'auditor sta chiedendo.

La direzione del mercato assicurativo rinforza la tendenza. I pay-out post-incidente sono sempre più condizionati a controlli pre-incidente dimostrabili e contemporanei — non quelli descritti nella proposta, ma gli artefatti che provano che i controlli stavano girando il giorno in cui l'intruso è arrivato. È la stessa evidenza che l'autorità competente NIS2 chiederà, in una stanza leggermente diversa, con la stessa risposta disponibile o no.

Il calendario italiano 2026

Per chi opera in Italia, i prossimi mesi non sono più di lettura del decreto. Il D.Lgs. 138/2024 — pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, in vigore dal 16 ottobre — ha messo il regime su un percorso operativo:

• Le sanzioni amministrative pecuniarie arrivano fino a 10 milioni di euro o 2% del fatturato mondiale per i soggetti essenziali, 7 milioni o 1,4% per quelli importanti.
• Da gennaio 2026 è scattato l'obbligo di notifica di base per i soggetti iscritti nell'elenco ACN.
• Entro ottobre 2026 scade il termine per l'adozione delle misure di sicurezza di base.
• A fine 2026 parte il ciclo sistematico di ispezioni e verifiche ACN.
• L'Art. 23 rende non trasferibile la responsabilità di organi amministrativi e direttivi sull'implementazione e la sorveglianza delle misure.

L'ultima riga è quella che il consiglio di amministrazione legge per ultima e su cui chiede il commento al legale. La penultima è quella che il SOC sta cercando di costruire prima che inizino le ispezioni.

Dove va il 2026

La traiettoria del resto dell'anno è univoca:

• Le sanzioni NIS2 sono amministrative, scalano col fatturato e raggiungono la responsabilità personale dei membri del consiglio nei casi più gravi.
• La RTS TLPT della DORA, finalizzata nel 2025, è ora il riferimento operativo per i test threat-led nelle entità finanziarie, con il pentest threat-led che è la parte che si evidenzia e si firma — non il management summary in cima.
• L'underwriting assicurativo al rinnovo chiederà la stessa catena di evidenze. I manifatturieri più economici da assicurare nel 2027 saranno quelli capaci di produrre nel 2026 una storia firmata dei propri controlli.
• Il caseload ransomware del 2026 — i dati Arctic Wolf, più tutto ciò che si vede settimana per settimana su CISA KEV, CERT-EU, ACN — converge sullo stesso schema operativo. Il blind spot del difensore non è trovare l'intruso. È poter dimostrare cosa fosse in piedi quando l'intruso è arrivato.

I due incidenti di maggio non sono interessanti perché sono accaduti — secondo Arctic Wolf, manifatturieri analoghi vengono colpiti ogni settimana. Sono interessanti perché sono accaduti in pubblico, con nome, e nella stessa quindicina in cui il regolatore segnalava che la dimostrazione è la parte che viene valutata.

Chiusura — dove Zero Hunt si inserisce nello scenario

L'articolo qui sopra è una lettura regolatoria e operativa di due eventi. Il cross-reference, in breve:

Il gap d'audit non si risolve con PDF migliori. Si risolve trattando ogni finding, ogni scansione, ogni tentativo di exploit e ogni remediation come un record che viene hashato e firmato nel momento in cui è prodotto, interrogabile mesi dopo, mappabile contro 32 framework contemporaneamente. È quello che fa il pilastro di compliance di Zero Hunt: mappatura continua contro NIS2 (Titolo 13 incluso), DORA (RTS TLPT inclusa), ISO 27001, GDPR, SOC 2, PCI-DSS, NIST CSF/800-53 e altri 24, scoring severity-weighted, con mappatura cross-framework — un singolo finding validato soddisfa i controlli equivalenti in ogni framework che tocca. La firma ECDSA al momento della scrittura significa che l'artefatto si porta dietro la propria chain-of-custody. Il bundle Trust Center è ciò che l'auditor vede — non uno screenshot, il record firmato.

In parallelo, la firma in corso della fase di cifratura — scritture rapide SMB/NFS dall'host sbagliato — è ciò che il modello di deep learning a 4 head del traffic analysis Zero Hunt, sull'appliance, è addestrato a catturare in tempo reale, a 2,7+ Gbit/s baseline, localmente sulla GPU. È il layer Pillar 2 sotto quello di compliance: le scritture sulle share si vedono mentre stanno accadendo, non nel digest SIEM del giorno dopo.

Il punto non è che un singolo prodotto trasformi la brutta settimana di West Pharmaceutical o Foxconn in una buona settimana. Il punto è che la domanda dell'auditor — fammi vedere cosa era in piedi — ha una risposta difendibile quando la catena di evidenze è stata costruita prima dell'incidente, e poche risposte difendibili quando viene costruita dopo. Il calendario d'enforcement 2026 sta per rendere l'asimmetria costosa.

Se gestisci un perimetro manifatturiero di qualsiasi dimensione — vedi come i pezzi della piattaforma si incastrano nella panoramica di piattaforma o come si confronta con gli approcci legacy nella pagina di comparazione. Le domande tecniche sono la parte facile. La parte difficile è il calendario.