NIS2, DORA e la fine del pentest annuale

La macchina normativa europea negli ultimi tre anni si è allineata in silenzio su un'unica idea: l'assurance di cybersecurity dev'essere continua e basata su evidenze, non puntuale. NIS2 lo dice. DORA lo dice ancora più esplicitamente. L'AI Act sta iniziando a dirlo sul rischio dei modelli. La maggior parte delle aziende non ha aggiornato la cadenza dei pentest per stare al passo.

Questo articolo è per i CISO e i compliance lead che continuano a leggere "misure adeguate" in una direttiva chiedendosi cosa il loro auditor vorrà davvero vedere nel 2026.

Cosa chiede davvero NIS2

NIS2 (Direttiva UE 2022/2555) è stata recepita in Italia col decreto legislativo a fine 2024. L'art. 21 impone "misure tecniche, operative e organizzative adeguate, proporzionate ed efficaci". Vaga sulla carta, molto specifica nella pratica una volta arrivati gli atti di esecuzione. Le misure devono coprire, tra le altre:

• Analisi del rischio e policy di sicurezza dei sistemi informativi
• Gestione e disclosure delle vulnerabilità — attenzione al termine gestione, non audit
• Sicurezza dei sistemi di rete e informativi incluse acquisizione, sviluppo e manutenzione software
• Efficacia delle misure di gestione del rischio di cybersecurity

La guidance ACN è ancora più diretta: le organizzazioni devono dimostrare che le misure restano efficaci nel tempo, non che lo fossero al momento dell'ultimo audit. Un report di pentest pulito di 18 mesi fa non soddisfa il requisito.

Cosa aggiunge DORA

Per le entità finanziarie, DORA (Reg. UE 2022/2554) si è appoggiata sopra NIS2 a gennaio 2025 ed è molto meno ambigua. Gli artt. 24-26 introducono:

• Threat-led penetration testing (TLPT) per le entità significative, almeno ogni 3 anni.
• La metodologia TIBER-EU è diventata standard implementativo via RTS 2025.
• Test continui dei sistemi ICT a supporto delle funzioni critiche — art. 25(1) — con approccio risk-based aggiornato annualmente.

Due cose vanno notate. Primo, il TLPT è il minimo: i test continui sono il requisito quotidiano vero. Secondo, l'RTS impone che il programma di test incorpori "la più recente threat intelligence" — il che significa che gli scanner basati su firma non bastano.

A leggere NIS2 e DORA insieme il quadro è chiaro: i regulator vogliono vedere security testing che giri come funzione del calendario e come funzione dei cambiamenti nel tuo ambiente e nel threat landscape.

Perché il pentest annuale sta morendo

Il pentest annuale è sopravvissuto vent'anni per un solo motivo: era l'unica cosa che le organizzazioni potessero comprare. L'economia unitaria del testing human-led imponeva mesi tra un engagement e l'altro. Un team che rilascia una feature nella prima settimana di gennaio ha 49 settimane di attesa prima del successivo evento di assurance.

Quel modello si rompe sotto qualunque dei regimi normativi moderni per lo stesso noioso motivo: il software cambia ogni settimana, il threat landscape cambia ogni giorno, la tua base di evidenze invecchia più in fretta del prossimo ciclo d'audit.

Quel che lo sostituisce non è "più pentest". È un modello fondamentalmente diverso.

Il modello del pentest AI continuo

Continuous testing significa tre cose che il pentest annuale non poteva consegnare:

1. La campagna gira mentre dormi. Schedule-driven e triggered dai cambiamenti. Un nuovo IP compare sul perimetro? Viene fingerprintato, scansionato e sfruttato nella stessa ora, con lo stesso rigore del resto dell'infrastruttura.
2. I finding portano la propria chain-of-custody. Ogni azione è loggata al momento, ogni artefatto (script PoC, evidence file, screenshot, cattura di traffico) è firmato crittograficamente. L'auditor riceve un bundle verificabile, non un PDF.
3. La threat intel arriva gratis. L'engine sincronizza CVE, MITRE ATT&CK, EPSS, KEV, feed di exploit di continuo. Non c'è un collo di bottiglia umano che decide "testiamo CVE-2026-XYZ questo trimestre?" — la risposta è sempre sì, in automatico.

Questo è ciò che Zero Hunt è costruita per consegnare, ma il modello stesso è indipendente da un singolo prodotto. Ciò che conta è l'architettura: campagne che girano in risposta agli eventi, evidenze firmate alla fonte, intel che entra senza review umana.

Com'è davvero l'audit

Se adotti il modello continuo, l'esperienza con l'auditor cambia forma.

Sotto il vecchio modello:

Auditor: "Mostrami il pentest del periodo." Tu: consegni un PDF datato 11 mesi fa. Auditor: "È cambiato qualcosa nel frattempo?" Tu: "Molte cose." Imbarazzo.

Sotto il modello continuo:

Auditor: "Mostrami le evidenze di pentest sull'asset X per il periodo Y-Z." Tu: esegui una query. "Ecco 47 campagne che coprono l'asset in quella finestra. Ogni finding è firmato. Ecco il cross-mapping al controllo Title 13 di NIS2." Auditor: passa al controllo successivo senza altre domande.

Il secondo scambio è più breve, meno costoso e dimostrabilmente allineato a ciò che la direttiva chiede.

Dove si inserisce Zero Hunt

Abbiamo costruito Zero Hunt perché nessun tool esistente combinava pentest AI continuo e mapping automatico della compliance. La piattaforma copre out-of-the-box 32 framework, inclusa l'intera NIS2 (Title 13 aggiunto nel release 2026-05-07) e il ruleset DORA TLPT RTS 2025. Le evidenze sono firmate ECDSA in generazione; il Trust Center esporta bundle pronti per l'auditor con un click.

Se hai un audit NIS2 o DORA in arrivo e la tua base di evidenze è "l'ultimo pentest annuale", la conversazione vale la pena di farla adesso, non dopo. La sezione funzionalità descrive come sono cablati la raccolta di evidenze, la firma ECDSA e l'export Trust Center; la panoramica della piattaforma copre i tre pilastri end-to-end; oppure richiedi una demo e ti accompagniamo nel tuo scope d'audit specifico.

Nel frattempo, la sintesi: i regulator non chiedono più documenti. Chiedono sicurezza viva. Il tooling finalmente ci è arrivato.