La formazione continua tra i punti centrali della Direttiva NIS 2
I passi verso l’attuazione della Direttiva Europea Nis 2 (Network and Information Security) si stanno facendo sempre più veloci.
Il Tavolo, costituito appositamente per rendere operativa la misura nel nostro paese, e composto dai rappresentanti delle nove Autorità di settore e della Conferenza Permanente Stato Regioni, presieduto dal Direttore Generale di ACN, si è infatti riunito lo scorso 10 aprile per esaminare nello specifico cosa i diversi soggetti devono fare per adempiere ai numerosi obblighi in tema di sicurezza cyber.
La Direttiva, entrata in vigore lo scorso ottobre, è bene ricordarlo, rappresenta un’evoluzione delle misure di protezione informatica concepite a livello europeo.
Tra gli obiettivi principali il potenziamento della resilienza delle infrastrutture critiche e la promozione della cooperazione tra gli Stati membri. La direttiva mira inoltre a garantire una risposta transfrontaliera coordinata alle minacce informatiche e ad aumentare la trasparenza e la responsabilità nelle organizzazioni considerate critiche.
Tra il 1° dicembre 2024 e il 28 febbraio 2025, le medie e grandi imprese, alcune piccole e microimprese e le Pubbliche Amministrazioni coinvolte dalla normativa hanno dovuto registrarsi sul portale servizi dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Da aprile 2025 è iniziato il percorso di attuazione
La nuova direttiva NIS 2 amplia il campo di applicazione a 18 settori di cui 11 altamente critici (originariamente 8) e 7 critici (di nuova introduzione) per oltre 80 tipologie di soggetti, distinguendo i soggetti in essenziali e importanti.
A giocare un ruolo centrale nel determinare chi rientra tra le due tipologie di soggetti è l’Autorità Nazionale Competente per la NIS (ACN) e lo fa attraverso decisioni che coinvolgono le autorità di settore e il Tavolo.
Soggetti essenziali: i settori essenziali comprendono quelle aree che, se compromesse, avrebbero un impatto grave sulla sicurezza e sull’economia di uno Stato. Si tratta di infrastrutture critiche per i servizi energetici, le telecomunicazioni, i trasporti e il settore bancario che, se interrotti, potrebbero provocare disagi significativi a livello nazionale e internazionale.
Soggetti importanti: in questa categoria rientrano i settori che, pur essendo critici, non presentano lo stesso livello di rischio immediato per l’economia in caso di interruzione. Ad esempio, i servizi sanitari o il settore dell’approvvigionamento alimentare. Sebbene questi ambiti siano fondamentali per il benessere della società, la loro interruzione non comporta le stesse conseguenze gravi di quelli essenziali.
I nuovi settori sono 25 (distinti in altri sottosettori) di cui 10 altamente critici ed altri 6 critici
Settori ad ALTA CRITICITÀ:
- Energia;
- Trasporti;
- Settore bancario;
- Infrastrutture dei mercati finanziari;
- Settore sanitario;
- Acqua potabile;
- Acque reflue;
- Infrastrutture digitali;
- Gestione dei servizi TIC;
- Spazio.
Settori CRITICI:
- Servizi postali e di corriere;
- Gestione dei rifiuti;
- Fabbricazione, produzione e distribuzione di sostanze chimiche;
- Produzione, trasformazione e distribuzione di alimenti;
- Fabbricazione;
- Ricerca.
É importante ricordare che per chi non si mette in regola con la direttiva sono previste sanzioni importanti e di diversa tipologia: rimedi non monetari, multe amministrative e sanzioni penali che variano a seconda del tipo e della grandezza dell’organizzazione coinvolta e dello scarto tra l’attuazione prevista e quella effettiva.
Le autorità di vigilanza nazionali possono imporre, a chi non si adegua, sanzioni non monetarie, tra cui ordini di conformità, istruzioni vincolanti, ordini di implementazione di audit di sicurezza e obblighi di notifica delle minacce ai clienti.
La riunione del 10 aprile ha segnato dunque un passo importante: l’inizio della fase di attuazione della direttiva, che proseguirà fino all’anno prossimo.
Durante l’incontro è stato esaminato anche l’elenco dei soggetti NIS in cui sono individuate oltre 20.000 organizzazioni, di cui oltre 5.000 soggetti essenziali, sulla base delle informazioni condivise da oltre 30.000 realtà. A partire dal 12 aprile ACN ha iniziato a comunicare ai soggetti interessati il loro inserimento o meno nell’elenco dei soggetti NIS, attraverso la piattaforma apposita.
Nel Tavolo si è dunque discusso degli adempimenti a carico degli organi di amministrazione e dei direttivi nonché delle specifiche in materia di misure di sicurezza informatica (ex articolo 24), la cui adozione è prevista entro ottobre 2026.
Questo passaggio richiede l’implementazione di 37 misure, declinate in 87 requisiti, per i soggetti importanti. I soggetti essenziali, inoltre, dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti.
Si è inoltre affrontata la questione della notifica degli incidenti significativi definendo le fattispecie che i soggetti dovranno comunicare a partire da gennaio 2026. Anche in questo caso si tratta di indicazioni più restrittive per i soggetti essenziali che saranno tenuti a monitorare la ricorrenza di quattro fattispecie a fronte delle tre previste per i soggetti importanti. Si è affrontato inoltre il tema della sicurezza, stabilità e resilienza dei sistemi di nomi di dominio.
Le prossime scadenze
A partire dal 15 aprile ed entro il 31 maggio, i soggetti NIS sono chiamati, oltre che a designare il sostituto punto di contatto, a fornire e aggiornare le informazioni previste dall’articolo 7, commi 4 e 5, del decreto NIS (Determina ACN nr. 136117/2025).
In particolare, sarà necessario segnalare all’Agenzia i componenti degli organi di amministrazione e direttivi, gli indirizzi IP (pubblici e statici), unitamente ai nomi di dominio, in uso o nella disponibilità del soggetto. Inoltre, come disciplinato dalla determina ACN nr. 136118/2025, i soggetti NIS dovranno notificare gli accordi di condivisione delle informazioni sulla sicurezza informatica sottoscritti su base volontaria a partire dall’entrata in vigore del decreto NIS.
Tra le principali novità della Direttiva l’obbligo di formazione continua per i componenti degli organi di gestione, che dovranno acquisire competenze specifiche in materia di cybersecurity. Quindi non un semplice corso una tantum, ma aggiornamenti a cadenza regolare che vedranno i CDA coinvolti in prima linea.
La formazione specifica lanciata da Cyber Guru
Per rispondere a questa esigenza, Cyber Guru, ha lanciato il Board Training NIS2, un programma di e-learning innovativo progettato per fornire ad amministratori e dirigenti aziendali le competenze necessarie per comprendere e mitigare i rischi cyber. L’obiettivo è duplice: da un lato, garantire la conformità normativa e ridurre il rischio di sanzioni; dall’altro, rafforzare la capacità delle aziende di prevenire e rispondere agli attacchi informatici, proteggendo dati, infrastrutture e continuità operativa.
Si tratta di un percorso formativo continuo, strutturato in sezioni tematiche erogate trimestralmente, realizzato su misura per i vertici aziendali. Ogni sezione è composta da micro-lezioni, della durata media di cinque minuti, la cui fruizione è infatti facilmente adattabile ai ritmi di lavoro dei dirigenti. Le lezioni affrontano un aspetto chiave della sicurezza informatica, dalla comprensione della Direttiva NIS 2 alla valutazione e mitigazione dei rischi, fino all’analisi delle principali tecniche di attacco e delle strategie per proteggere il perimetro aziendale e la supply chain. Il corso include anche approfondimenti sugli impatti del Cloud e dell’Intelligenza Artificiale sulla sicurezza informatica, oltre a case history reali con best practices applicabili.
Infine, il percorso formativo si conclude con un Executive Recap che sintetizza i concetti chiave, rendendo il processo di apprendimento più efficace e mirato.
“La Direttiva NIS 2 introduce una svolta importante: la sicurezza informatica diventa un elemento essenziale per la Governance aziendale. Amministratori e dirigenti apicali non possono più delegare completamente il tema ai reparti di Security, ma devono acquisire consapevolezza e strumenti per poter prendere decisioni strategiche e informate” – commenta Gianni Baroni, founder & CEO di Cyber Guru.
“Il nostro Board Training NIS 2 è stato progettato proprio per supportare questo passaggio culturale, fornendo ai Consiglieri di Amministrazione e ai Dirigenti della PA una formazione mirata, efficace e basata su un modello di apprendimento progressivo”.
