YubiKey per il settore pubblico: normative di sicurezza in Europa
Nel 2026 non è più sufficiente avere una semplice politica delle password. Le normative europee sulla cybersicurezza esigono l'autenticazione a più fattori (MFA) per l'accesso ai sistemi critici — e in diversi paesi, la chiavetta fisica FIDO2 è l'opzione che meglio si adatta tecnicamente ai requisiti dei quadri normativi. Questa guida è rivolta ai responsabili IT di organismi pubblici e fornitori TIC che hanno bisogno di capire cosa richiede ogni normativa e come conformarsi.
Il quadro comune: NIS2 e l'obbligo di MFA
La Direttiva NIS2 è il punto di partenza per tutti i paesi dell'UE. Entrata in vigore a livello europeo nel gennaio 2023, stabilisce l'autenticazione a più fattori come requisito tecnico obbligatorio per tutti gli accessi ai sistemi critici: posta aziendale, VPN, pannelli di amministrazione e qualsiasi sistema contenente dati sensibili.
La Spagna ha accumulato un certo ritardo nel recepimento. Il progetto di legge sulla cybersicurezza è stato approvato nel gennaio 2025 e la legge definitiva è attesa nel corso del 2026. Tuttavia, il ritardo legislativo non esenta dall'adempimento: la Commissione Europea ha avviato una procedura di infrazione contro la Spagna nel maggio 2025 e le ispezioni sono già in corso.
Se la tua azienda fa parte della catena di fornitura di un'entità essenziale — energia, sanità, trasporti, banche — la NIS2 esige che tale entità esegua audit sui propri fornitori. La conformità non è opzionale, anche se sei una PMI.
Normative per paese
L'ENS è il quadro di riferimento per tutte le pubbliche amministrazioni spagnole e i loro fornitori. Definisce tre categorie di sicurezza — Base, Media e Alta — con requisiti crescenti in base alla criticità del sistema.
Nel febbraio 2026, la YubiKey 5 CCN è diventata la prima chiavetta di sicurezza hardware a ottenere la classificazione ENS Alta nel catalogo CPSTIC del Centro Criptologico Nazionale. Ciò ha una conseguenza pratica diretta: le organizzazioni spagnole possono acquistare le YubiKey senza la necessità degli esaustivi audit di monitoraggio richiesti per i prodotti non inclusi nel catalogo.
Categoria Media e Alta: autenticazione a due fattori obbligatoria per gli accessi privilegiati. FIDO2 soddisfa i requisiti tecnici dell'ENS e la YubiKey 5 CCN è certificata specificamente per ambienti di classificazione Alta.
Inoltre, il CCN ha dichiarato pubblicamente che la conformità all'ENS in categoria Alta copre in gran parte i requisiti strutturali della NIS2 — rendendo la certificazione ENS una via diretta per una doppia conformità.
Il BSI (Bundesamt für Sicherheit in der Informationstechnik) è l'autorità federale per la sicurezza informatica in Germania. Il suo quadro IT-Grundschutz definisce le misure tecniche minime per gli organismi pubblici e gli operatori di infrastrutture critiche.
Il BSI classifica i token hardware FIDO2 come il metodo di secondo fattore con la massima resistenza agli attacchi remoti, inclusi il phishing in tempo reale e gli attacchi di tipo man-in-the-middle. La chiave privata viene verificata localmente sul chip, rendendo impossibile qualsiasi attacco remoto sul secondo fattore.
Per gli ambienti ad alta sicurezza, il BSI raccomanda chiavette con certificazione Common Criteria. La serie YubiKey 5 include modelli con certificazione FIDO Level 2, posizionandoli come opzione valida per i livelli di protezione più esigenti dell'IT-Grundschutz.
L'RGS è il quadro di riferimento per la sicurezza dei sistemi informativi dello Stato francese, gestito dall'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Definisce i livelli di sicurezza per i servizi online della pubblica amministrazione.
L'ANSSI ha posizionato FIDO2 come lo standard di autenticazione raccomandato per sostituire i sistemi basati su OTP e password negli ambienti governativi. Per i servizi classificati a livello RGS**, l'autenticazione hardware con chiavetta fisica è l'opzione tecnicamente più allineata ai requisiti del referenziale.
La Francia guida anche l'adozione della NIS2 nell'UE: il recepimento francese (Loi de Programmation Militaire) è già in vigore e l'ANSSI agisce come autorità competente per la supervisione delle entità essenziali e importanti.
Cyber Essentials è lo schema di certificazione della cybersicurezza sostenuto dal NCSC (National Cyber Security Centre) del governo britannico. La versione 3.3, in vigore dal 27 aprile 2026, introduce il cambiamento più significativo degli ultimi anni: l'MFA non è più solo raccomandato, ma diventa obbligatorio.
Le implicazioni concrete per le organizzazioni che desiderano certificarsi:
- MFA obbligatorio su tutti gli account di amministrazione — senza eccezioni dal 27 aprile 2026
- MFA obbligatorio su tutti i servizi cloud che lo supportano — se il servizio offre l'MFA e non è attivato, la certificazione fallisce automaticamente
- Metodi accettati: chiavette hardware FIDO2, app di autenticazione, notifiche push — gli SMS sono accettati ma considerati il metodo più debole
- Contratti con il settore pubblico UK: da febbraio 2025, i fornitori di contratti governativi ad alto rischio devono dimostrare controlli di autenticazione avanzata
Per gli account di amministrazione e gli accessi privilegiati, il NCSC raccomanda esplicitamente le chiavette hardware rispetto a qualsiasi altro metodo. La YubiKey con FIDO2 è l'opzione che elimina la dipendenza da segreti condivisi e blocca il 100% degli attacchi di phishing automatizzati.
Confronto per quadro normativo
| Quadro normativo | Paese | MFA obbligatorio | FIDO2 raccomandato | Stato 2026 |
|---|---|---|---|---|
| ENS Alta | 🇪🇸 Spagna | ✅ Categoria Media e Alta | ✅ YubiKey 5 CCN certificata | Attivo — recepimento NIS2 in corso |
| BSI IT-Grundschutz | 🇩🇪 Germania | ✅ Infrastrutture critiche | ✅ Massima resistenza attacchi remoti | Attivo — NIS2 recepita |
| RGS / ANSSI | 🇫🇷 Francia | ✅ Livello RGS** | ✅ Standard raccomandato da ANSSI | Attivo — NIS2 recepita |
| Cyber Essentials v3.3 | 🇬🇧 Regno Unito | ✅ Obbligatorio dal 27/04/2026 | ✅ Raccomandato NCSC per admin | Attivo — termine scaduto |
Perché FIDO2 hardware e non un'app di autenticazione
Le app di autenticazione generano codici monouso basati su una chiave condivisa tra il server e il dispositivo. Questa chiave condivisa è il problema: può essere intercettata, trapelata o sottratta tramite phishing in tempo reale. È lo schema che tutti i quadri normativi stanno progressivamente abbandonando.
Una chiavetta FIDO2 funziona in modo radicalmente diverso. Utilizza la crittografia a chiave pubblica: la chiave privata non lascia mai il chip. Non c'è alcun codice da intercettare, nessun segreto condiviso da rubare. Inoltre, la chiavetta verifica il dominio del servizio: se il sito è falso, non autentica. Questo è ciò che rende FIDO2 resistente al phishing per progettazione, non per configurazione.
- Identificare quali sistemi richiedono l'MFA secondo la categoria ENS/BSI/RGS/Cyber Essentials applicabile
- Valutare se i sistemi attuali supportano FIDO2 / WebAuthn — Google Workspace, Microsoft 365, Okta, Azure AD lo supportano nativamente
- Registrare sempre due chiavette per utente — una principale e una di backup
- Documentare l'implementazione per gli audit: numero di chiavette, utenti assegnati, sistemi protetti
- Per la Spagna: valutare la YubiKey 5 CCN se il sistema richiede la certificazione ENS Alta
Prodotti raccomandati per ambienti regolamentati
⭐ Il più versatile
YubiKey 5 NFC
FIDO2, OTP, PIV, OpenPGP. Compatibile con Google Workspace, Microsoft 365 e la maggior parte degli IAM aziendali. USB-A + NFC.
USB-C + NFC
YubiKey 5C NFC
Stessi protocolli del modello USB-A ma con connettore USB-C. Per laptop e dispositivi moderni.
Domande frequenti
La YubiKey standard è conforme all'ENS o serve la versione CCN?
Per la maggior parte dei casi d'uso aziendali, la YubiKey 5 NFC standard soddisfa i requisiti tecnici di autenticazione forte dell'ENS. La versione CCN è specifica per gli organismi che necessitano di prodotti elencati nel catalogo CPSTIC del CCN — principalmente pubbliche amministrazioni e fornitori di sistemi classificati come ENS Alta.
La NIS2 obbliga all'uso di chiavette fisiche o va bene un'app?
La NIS2 esige l'autenticazione a più fattori per l'accesso ai sistemi critici ma non specifica il metodo concreto. Tuttavia, i quadri tecnici di riferimento — ENS, BSI, ANSSI — indicano l'hardware FIDO2 come l'opzione con la massima resistenza al phishing. Per gli accessi privilegiati, la chiavetta fisica è la raccomandazione standard delle autorità europee per la cybersicurezza.
Quante YubiKey servono a un organismo pubblico?
La regola generale è di due chiavette per ogni utente con accesso privilegiato: una principale e una di backup registrata in tutti i sistemi. Senza la seconda chiave, un utente bloccato non può recuperare l'accesso senza l'intervento dell'amministratore. Per implementazioni su larga scala, "YubiKey as a Service" di Yubico include la gestione centralizzata e la numerazione seriale per il controllo dell'inventario.
Cyber Essentials v3.3 obbliga tutti i dipendenti o solo gli amministratori?
La versione 3.3 rende l'MFA obbligatorio specificamente per tutti gli account di amministrazione e per l'accesso a qualsiasi servizio cloud che supporti l'MFA. Per gli utenti standard, l'MFA non è obbligatorio per ottenere la certificazione, sebbene il NCSC lo raccomandi per tutti.
Un fornitore TIC privato deve rispettare queste normative?
Dipende dalla catena di fornitura. Se fornisci servizi a un organismo pubblico o a un'entità essenziale NIS2 (energia, sanità, banche, trasporti), il tuo cliente è obbligato a verificare la sicurezza dei suoi fornitori. In pratica, sempre più capitolati tecnici includono requisiti di autenticazione forte come criterio di solvibilità. E nel Regno Unito, i fornitori di contratti governativi ad alto rischio devono dimostrare controlli avanzati da febbraio 2025.
Le normative convergono sullo stesso punto: l'hardware FIDO2 è lo standard.
ENS, BSI, RGS e Cyber Essentials partono da quadri diversi ma arrivano alla stessa conclusione: autenticazione forte resistente al phishing per gli accessi privilegiati. La YubiKey è conforme a tutti questi requisiti dal punto di vista tecnico e, in Spagna, vanta inoltre la certificazione ENS Alta nel catalogo CPSTIC — semplificando notevolmente il processo di acquisto nel settore pubblico.
Se gestisci la sicurezza di un organismo pubblico o sei un fornitore TIC di entità regolamentate, il 2026 non è l'anno per valutare se implementare l'MFA. È l'anno in cui documentare che lo hai già fatto.
