Sybylla è la suite SaaS italiana che accompagna PMI, aziende strutturate e partner verso la conformità NIS2 — senza consulenti, senza complessità, senza sorprese.
Il contesto
Il D.Lgs. 138/2024 estende gli obblighi NIS2 a migliaia di nuove organizzazioni. Le sanzioni arrivano fino al 2% del fatturato globale annuo.
Le PMI non dispongono di piattaforme strutturate per gestire la compliance NIS2 in autonomia, senza ricorrere a consulenti costosi.
Policy, procedure e registri degli asset spesso mancano del tutto o non sono allineati ai requisiti normativi vigenti.
Raramente esiste un CISO interno nelle PMI: la cybersecurity non è un presidio quotidiano e la formazione del personale è spesso assente.
Le violazioni NIS2 comportano sanzioni fino al 2% del fatturato globale annuo e misure temporanee di sospensione dell'attività.
La risposta
Sybylla trasforma un obbligo complesso in un percorso chiaro, misurabile e dimostrabile — senza bisogno di esperti esterni.
Wizard guidato, template precompilati, nessuna configurazione complessa. Chiunque può usarlo, non solo il CISO.
Dashboard di compliance sempre aggiornata con KRI e KPI. Sai esattamente dove sei e cosa fare dopo.
Documentazione, risk register e report sempre esportabili per audit interni, clienti e autorità competenti.
Non un framework generico: ogni modulo mappa direttamente i requisiti del D.Lgs. 138/2024.
La suite
Copertura completa di tutti gli obblighi NIS2 in un'unica suite integrata.
Questionario guidato sui 10 ambiti NIS2. Score di maturità per dominio, report di gap e piano di remediation prioritizzato.
Registro dei rischi strutturato con metodologia likelihood × impact. Piano di trattamento, monitoraggio e revisione periodica.
Template policy precompilati NIS2, versionamento, workflow di approvazione e firma, registro degli asset con alert scadenze.
Vista unificata del livello di compliance con KRI/KPI aggiornati in tempo reale, trend storico e reportistica per il board.
Workflow di segnalazione e risposta. Automazione della notifica obbligatoria alle autorità NIS2 entro 24/72 ore. Audit trail completo.
Censimento fornitori critici, questionari automatizzati, scoring del rischio terze parti e gestione clausole contrattuali NIS2.
Micro-corsi obbligatori per i dipendenti, tracciamento completamenti, quiz di verifica e certificati di formazione NIS2.
Per chi è Sybylla
Sybylla si adatta alle esigenze di chi gestisce la compliance in autonomia e di chi la presidia professionalmente.
Sei una piccola o media impresa senza personale IT dedicato. Sybylla ti guida passo passo con wizard interattivi, template precompilati e suggerimenti automatici. Non devi sapere cosa sia la NIS2 — la piattaforma lo sa per te.
Hai un responsabile sicurezza o un team IT che vuole strumenti professionali. Sybylla offre configurazioni avanzate, API access, ruoli granulari e integrazioni con i tuoi strumenti esistenti (SIEM, ticketing, IAM).
Sei un MSSP, uno studio di consulenza o un system integrator che gestisce la compliance di più clienti. La console partner di Sybylla ti permette di monitorare tutti i tenant da un'unica vista, con branding white-label personalizzato.
Prezzi
Pricing fisso per piano — indipendente dal numero di dipendenti o dal fatturato. 14 giorni di prova gratuita su tutti i piani, nessuna carta di credito richiesta.
Sei un MSSP o consulente e vuoi rivendere Sybylla ai tuoi clienti? Scopri il programma Partner →
Programma Partner
Diventa partner Sybylla e offri ai tuoi clienti una piattaforma NIS2 completa — con il tuo logo, il tuo dominio e il tuo margine.
Dominio personalizzato, logo, colori e comunicazioni email brandizzate. I tuoi clienti vedono solo il tuo brand.
30% di sconto sul listino per rivendita diretta. Volume discount fino al 30% da 50 tenant gestiti.
Gestisci tutti i tuoi clienti da un'unica dashboard. Template policy condivisibili tra tenant, alerting centralizzato.
Materiali di vendita, formazione, affiancamento tecnico e supporto prioritario per te e i tuoi clienti.
Compila il modulo e ti ricontatteremo entro 24 ore per presentarti il programma nel dettaglio.
Assessment gratuito
Inserisci il dominio o l'IP della tua azienda. Il team Sybylla analizzerà la tua superficie esposta e ti invierà un report completo entro 48 ore — completamente gratuito, senza impegno.
Digita il tuo dominio aziendale (es. azienda.it) o un indirizzo IP pubblico. Aggiungi i tuoi dati di contatto per ricevere il report.
I nostri esperti analizzano la superficie esposta, le vulnerabilità rilevabili e il livello di rischio rispetto agli obblighi NIS2.
Riceverai via email un report dettagliato con i risultati dell'assessment e le prime raccomandazioni di remediation.
Privacy garantita. I dati forniti sono utilizzati esclusivamente per l'erogazione del servizio di assessment. Non vengono condivisi con terze parti né utilizzati a fini commerciali senza consenso.
Compila il modulo: ti invieremo il report completo entro 48 ore lavorative.
Come funziona
Crea l'account in 2 minuti, senza carta di credito. Trial di 14 giorni attivo subito.
Completi il questionario guidato e ottieni il tuo Compliance Score iniziale.
Segui il piano di remediation prioritizzato. Policy, registri e procedure generate per te.
Dashboard sempre aggiornata. Esporti i report quando serve. Audit-ready ogni giorno.
D.Lgs. 138/2024
I principali obblighi previsti dal decreto di recepimento italiano della Direttiva NIS2.
Politiche di analisi dei rischi e sicurezza dei sistemi informativi, formalizzate e revisionate.
Notifica preliminare all'autorità competente entro 24 ore e notifica completa entro 72 ore.
Valutazione del rischio dei fornitori, clausole contrattuali, monitoraggio continuativo.
Fino al 2% del fatturato globale annuo per i soggetti essenziali, oltre a misure di sospensione.
Domande frequenti
Le domande che riceviamo più spesso da PMI, IT manager e MSSP che stanno valutando il loro adeguamento alla direttiva NIS2 e al D.Lgs. 138/2024.
La NIS2 si applica a un perimetro molto più ampio rispetto alla precedente NIS1. In sintesi, sono coinvolti i soggetti essenziali e i soggetti importanti attivi nei settori indicati negli allegati I e II del D.Lgs. 138/2024 (energia, trasporti, banche, sanità, infrastrutture digitali, PA, manifatturiero critico, fornitori di servizi gestiti, e altri) che superano determinate soglie dimensionali (tipicamente ≥50 dipendenti o ≥10 mln € di fatturato/bilancio annuo).
Anche aziende sotto soglia possono rientrare se identificate come critiche dall'autorità competente. Il modulo ASSESS di Sybylla ti aiuta a verificare in 10 minuti se sei dentro o fuori dal perimetro.
Il D.Lgs. 138/2024 è in vigore dal 16 ottobre 2024. Le organizzazioni rientranti nel perimetro hanno avuto tempo per registrarsi presso ACN (Agenzia per la Cybersicurezza Nazionale) entro le scadenze indicate dall'Agenzia stessa, e devono adeguarsi alle misure tecniche e organizzative previste dall'art. 24 entro le tempistiche fissate dall'ACN.
Le sanzioni e i controlli sono operativi e i primi accertamenti sono già stati avviati per i soggetti più rilevanti.
La distinzione, regolata dagli artt. 6-7 del decreto, si basa sul settore di appartenenza e sulla dimensione dell'organizzazione. I soggetti essenziali sono quelli operanti in settori ad alta criticità (allegato I) e di dimensione medio-grande; i soggetti importanti includono tipicamente aziende di settori importanti (allegato II) o di dimensioni più contenute.
La conseguenza pratica è duplice: i soggetti essenziali sono sottoposti a vigilanza proattiva da parte dell'ACN, gli importanti a vigilanza ex-post. Anche il massimale sanzionatorio differisce (fino al 2% del fatturato globale per gli essenziali, fino all'1,4% per gli importanti).
L'art. 38 del decreto prevede sanzioni amministrative fino al 2% del fatturato globale annuo per i soggetti essenziali e fino all'1,4% per gli importanti, con un minimo che dipende dal tipo di violazione.
Sono inoltre previste misure non monetarie: sospensione temporanea delle certificazioni, divieto temporaneo per gli amministratori di esercitare funzioni dirigenziali, pubblicazione delle violazioni. Le sanzioni colpiscono anche personalmente gli organi di amministrazione e direzione che non garantiscono l'attuazione delle misure.
L'art. 24 del D.Lgs. 138/2024 elenca le 10 categorie minime di misure tecniche, operative e organizzative che ogni soggetto deve adottare. Le principali sono:
Sybylla copre per design tutti questi 10 ambiti, con questionario guidato, template e tracking dello stato di implementazione.
Dipende dal punto di partenza. Per una PMI che parte da zero (nessuna policy, nessun risk register, nessuna procedura formalizzata), un percorso realistico è di 3-6 mesi per arrivare a una compliance ragionevole su tutti i 10 ambiti.
Con Sybylla l'obiettivo è ridurre questo tempo del 60-70% rispetto a un approccio tradizionale con consulenti esterni: la gap analysis si chiude in mezza giornata, le policy base sono pronte in 1-2 settimane, il risk register strutturato in un mese.
La NIS2 non obbliga esplicitamente a nominare un Chief Information Security Officer, ma richiede che la responsabilità della cybersecurity sia formalmente attribuita al vertice aziendale (consiglio di amministrazione o equivalente). Gli amministratori devono inoltre seguire formazione specifica sulla cybersecurity.
Il DPO (Data Protection Officer) è invece richiesto dal GDPR, non dalla NIS2: sono due figure distinte ma complementari. In molte PMI lo stesso ruolo viene assunto da un consulente esterno o da una figura interna part-time.
L'art. 25 prevede un meccanismo a tre fasi per la notifica di incidenti significativi:
Il modulo INCIDENT di Sybylla automatizza queste comunicazioni mantenendo l'audit trail completo richiesto dalla normativa.
La NIS2 introduce un onere significativo sulla gestione dei fornitori critici: ogni soggetto deve mappare i propri fornitori di servizi ICT rilevanti, valutarne il rischio, inserire clausole contrattuali coerenti con la NIS2 e monitorarli nel tempo.
In pratica anche aziende non direttamente soggette a NIS2 finiscono per dover dimostrare un livello minimo di sicurezza ai propri clienti che lo sono — questo è il cosiddetto effetto cascata della normativa. Il modulo SUPPLY di Sybylla gestisce il censimento, gli assessment automatici e lo scoring delle terze parti.
Sì, ed è esattamente l'obiettivo per cui è nata Sybylla. La normativa è complessa, ma le attività operative — gap analysis, mappatura asset, scrittura policy, registro rischi, notifica incidenti — sono attività ripetibili che possono essere automatizzate o assistite tramite wizard guidati.
Il consulente esterno resta utile in due casi specifici: (a) come "secondo paio d'occhi" indipendente prima di un audit ACN, (b) per gestire incidenti molto gravi che richiedono competenze forensi specifiche. Per il 90% delle attività quotidiane, Sybylla è progettata per rendere l'azienda autonoma.
14 giorni di accesso completo, nessuna carta di credito richiesta. Operativo in meno di 30 minuti.
Crea il tuo account gratuito →Nessun impegno · Disdici quando vuoi · Dati esportabili in qualsiasi momento