Formazione continua NIS2: obbligo strategico per le aziende

Gli organi di amministrazione e direzione delle organizzazioni classificate come soggetti NIS – sia essenziali che importanti – sono ora chiamati a sviluppare competenze specifiche, aggiornate e continuative in ambito cyber. Questo non solo per rispondere agli obblighi normativi, ma per poter assumere decisioni strategiche consapevoli in un contesto digitale sempre più esposto a minacce complesse e persistenti.

Non si tratta più di aderire a un corso formativo una tantum, ma di attivare un percorso sistematico e strutturato di aggiornamento, con un impatto diretto sulla governance aziendale. Il ruolo della formazione continua in ambito NIS2 è quindi duplice: da un lato garantisce la conformità normativa riducendo il rischio di sanzioni; dall’altro rafforza la resilienza dell’organizzazione, favorendo la prevenzione, la gestione e la risposta efficace agli incidenti cyber.

Ma per comprendere appieno il senso e la portata di questa trasformazione, è necessario ripercorrere i principali passaggi che stanno accompagnando l’attuazione della Direttiva NIS2 in Italia e analizzare le implicazioni operative previste per i soggetti coinvolti.

Introduzione alla direttiva NIS2 e obiettivi principali

I passi verso l’attuazione della Direttiva Europea NIS2 (Network and Information Security) si stanno facendo sempre più veloci.

Il Tavolo, costituito appositamente per rendere operativa la misura nel nostro paese, composto dai rappresentanti delle nove Autorità di settore e della Conferenza Permanente Stato Regioni, presieduto dal Direttore Generale di ACN, si è infatti riunito lo scorso 10 aprile per esaminare nello specifico cosa i diversi soggetti devono fare per adempiere ai numerosi obblighi in tema di sicurezza cyber.

La Direttiva, entrata in vigore lo scorso ottobre, è bene ricordarlo, rappresenta un’evoluzione delle misure di protezione informatica concepite a livello europeo.

Tra gli obiettivi principali vi è il potenziamento della resilienza delle infrastrutture critiche e la promozione della cooperazione tra gli Stati membri. La direttiva mira inoltre a garantire una risposta transfrontaliera coordinata alle minacce informatiche e ad aumentare la trasparenza e la responsabilità nelle organizzazioni considerate critiche.

Applicazione della NIS2 e classificazione dei soggetti coinvolti

Tra il primo dicembre 2024 e il 28 febbraio 2025, le medie e grandi imprese, alcune piccole e microimprese e le Pubbliche Amministrazioni coinvolte dalla normativa hanno dovuto registrarsi sul portale servizi dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Da aprile 2025 è iniziato il percorso di attuazione

La nuova direttiva NIS 2 amplia il campo di applicazione a 18 settori di cui 11 altamente critici (originariamente 8) e 7 critici (di nuova introduzione) per oltre 80 tipologie di soggetti, distinguendo i soggetti in essenziali e importanti.

A giocare un ruolo centrale nel determinare chi rientra tra le due tipologie di soggetti è l’Autorità Nazionale Competente per la NIS (ACN) e lo fa attraverso decisioni che coinvolgono le autorità di settore e il Tavolo.

Differenze tra soggetti essenziali e soggetti importanti

Soggetti essenziali: i settori essenziali comprendono quelle aree che, se compromesse, avrebbero un impatto grave sulla sicurezza e sull’economia di uno Stato. Si tratta di infrastrutture critiche per i servizi energetici, le telecomunicazioni, i trasporti e il settore bancario che, se interrotti, potrebbero provocare disagi significativi a livello nazionale e internazionale.

Soggetti importanti: in questa categoria rientrano i settori che, pur essendo rilevanti, non presentano lo stesso livello di rischio immediato per l’economia in caso di interruzione. Ad esempio, i servizi sanitari o il settore dell’approvvigionamento alimentare. Sebbene questi ambiti siano fondamentali per il benessere della società, la loro interruzione non comporta le stesse conseguenze gravi di quelli essenziali.

Nuovi settori critici e altamente critici secondo NIS2

I nuovi settori sono 25 (distinti in altri sottosettori) di cui 10 altamente critici ed altri 6 critici

Settori ad alta criticità

• Energia;
• Trasporti;
• Settore bancario;
• Infrastrutture dei mercati finanziari;
• Settore sanitario;
• Acqua potabile;
• Acque reflue;
• Infrastrutture digitali;
• Gestione dei servizi TIC;
• Spazio.

Settori critici

• Servizi postali e di corriere;
• Gestione dei rifiuti;
• Fabbricazione, produzione e distribuzione di sostanze chimiche;
• Produzione, trasformazione e distribuzione di alimenti;
• Fabbricazione;
• Ricerca.

Sanzioni previste per la mancata conformità alla NIS2

É importante ricordare che sono previste sanzioni importanti e di diversa tipologia per chi non si mette in regola con la direttiva: rimedi non monetari, multe amministrative e sanzioni penali che variano a seconda del tipo e della grandezza dell’organizzazione coinvolta e dello scarto tra l’attuazione prevista e quella effettiva.

Le autorità di vigilanza nazionali possono imporre, a chi non si adegua, sanzioni non monetarie, tra cui ordini di conformità, istruzioni vincolanti, ordini di esecuzione di audit di sicurezza e obblighi di notifica delle minacce ai clienti.

Avvio della fase attuativa e comunicazioni dell’ACN ai soggetti NIS

La riunione del 10 aprile ha segnato dunque un passo importante: l’inizio della fase di attuazione della direttiva, che proseguirà fino all’anno prossimo.

Durante l’incontro è stato esaminato anche l’elenco dei soggetti NIS in cui sono individuate oltre 20.000 organizzazioni, di cui oltre 5.000 soggetti essenziali, sulla base delle informazioni condivise da oltre 30.000 realtà. A partire dal 12 aprile ACN ha iniziato a comunicare ai soggetti interessati il loro inserimento o meno nell’elenco dei soggetti NIS, attraverso la piattaforma apposita.

Misure di sicurezza richieste ai soggetti NIS

Nel Tavolo si è dunque discusso degli adempimenti a carico degli organi di amministrazione e dei direttivi nonché delle specifiche in materia di misure di sicurezza informatica (ex articolo 24), la cui adozione è prevista entro ottobre 2026.

Questo passaggio richiede l’implementazione di 37 misure, declinate in 87 requisiti, per i soggetti importanti. I soggetti essenziali, inoltre, dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti.

Obblighi di notifica e monitoraggio degli incidenti significativi

Si è inoltre affrontata la questione della notifica degli incidenti significativi definendo le fattispecie che i soggetti dovranno comunicare a partire da gennaio 2026. Anche in questo caso si tratta di indicazioni più restrittive per i soggetti essenziali che saranno tenuti a monitorare la ricorrenza di quattro fattispecie a fronte delle tre previste per i soggetti importanti. Si è affrontato inoltre il tema della sicurezza, stabilità e resilienza dei sistemi di nomi di dominio.

Le prossime scadenze: obblighi informativi e adempimenti periodici per i soggetti NIS

A partire dal 15 aprile ed entro il 31 maggio, i soggetti NIS sono chiamati, oltre che a designare il sostituto punto di contatto, a fornire e aggiornare le informazioni previste dall’articolo 7, commi 4 e 5, del decreto NIS (Determina ACN nr. 136117/2025).

In particolare, sarà necessario segnalare all’Agenzia i componenti degli organi di amministrazione e direttivi, gli indirizzi IP (pubblici e statici), unitamente ai nomi di dominio, in uso o nella disponibilità del soggetto. Inoltre, come disciplinato dalla determina ACN nr. 136118/2025, i soggetti NIS dovranno notificare gli accordi di condivisione delle informazioni sulla sicurezza informatica sottoscritti su base volontaria a partire dall’entrata in vigore del decreto NIS.

L’obbligo di formazione continua per la governance aziendale

Tra le principali novità della Direttiva l’obbligo di formazione continua per i componenti degli organi di gestione, che dovranno acquisire competenze specifiche in materia di cybersecurity. Quindi non un semplice corso una tantum, ma aggiornamenti a cadenza regolare che vedranno i CDA coinvolti in prima linea.

Chiudiamo ricordando che la Direttiva NIS 2 introduce una svolta importante: la sicurezza informatica diventa un elemento essenziale per la Governance aziendale. Non è più possibile delegare completamente il tema ai reparti di Security, ma è necessario acquisire consapevolezza e strumenti per poter prendere decisioni strategiche e informate.

Formazione continua NIS2 come leva strategica per la sicurezza

Per rispondere a questa esigenza, è necessario sviluppare un programma di formazione innovativo progettato per fornire alle figure apicali, amministratori e dirigenti aziendali, le competenze necessarie per comprendere e mitigare i rischi cyber. Un percorso che necessariamente dovrà affiancare quello rivolto a tutti gli utenti, con l’obiettivo di innalzare la consapevolezza degli stessi nella gestione delle informazioni e degli strumenti digitali.

Rafforzare la postura cyber si trasforma in un’opportunità, da un lato, garantire la conformità normativa e ridurre il rischio di sanzioni; dall’altro, migliorare la capacità delle aziende di prevenire e rispondere agli attacchi informatici, proteggendo dati, infrastrutture e continuità operativa.