Torna alle notizie
NIS2FormazioneCybersecurityCompliance

Formazione NIS2: perché l'Art. 20 cambia le regole (e la responsabilità)

F

Fabio Vantaggiato

Autore

20 aprile 2026

La Direttiva NIS2 e il suo decreto di recepimento italiano (D.Lgs. 138/2024) hanno trasformato la cybersicurezza da tema tecnico a questione di governance. Il cuore di questo cambiamento è l'Art. 20: la formazione non è più un'opzione, è un obbligo personale e non delegabile dell'organo di gestione.

Per anni la sicurezza informatica è stata considerata un problema del reparto IT: un budget da negoziare, un progetto da delegare, una lista di controlli da spuntare. Con l'entrata in vigore della Direttiva (UE) 2022/2555 — la NIS2 — e del suo decreto di recepimento italiano (D.Lgs. 4 settembre 2024, n. 138), questo approccio non è più sostenibile. Il legislatore europeo e quello italiano hanno fatto una scelta netta: la cybersicurezza è una responsabilità di governance, e la formazione è lo strumento con cui questa responsabilità diventa concreta, documentabile e, se necessario, sanzionabile.

L'Art. 20: una responsabilità personale dell'organo di gestione

L'Art. 20 del D.Lgs. 138/2024 introduce due obblighi distinti ma complementari.

Il primo riguarda l'organo di gestione: CdA, Amministratori Delegati e dirigenti devono approvare le misure di gestione del rischio cybersecurity, supervisionarne l'implementazione e rispondere personalmente delle violazioni. Non si tratta di una responsabilità collettiva dell'azienda: è una responsabilità individuale, che accompagna il ruolo e non lo lascia nemmeno a seguito di dimissioni per i fatti avvenuti durante il mandato.

Il secondo obbligo riguarda tutto il personale: l'organizzazione deve garantire una formazione periodica in materia di sicurezza informatica a dipendenti e collaboratori, con contenuti proporzionati al ruolo e al livello di esposizione al rischio.

La conseguenza è chiara: la formazione NIS2 non è un corso "per il reparto IT". È un sistema formativo stratificato che coinvolge tutta l'organizzazione, dal vertice fino all'ultimo collaboratore.

Perché la responsabilità non è delegabile

Uno dei principi più discussi della NIS2 è l'impossibilità, per il Management, di trasferire a terzi la propria responsabilità in materia di cybersicurezza. Si può (e si deve) delegare l'esecuzione delle misure tecniche — al CISO, ai fornitori, al team IT — ma la decisione di approvare quelle misure, la loro supervisione e la comprensione dei rischi associati restano in capo all'organo di gestione.

Perché questa scelta funzioni, serve una cosa semplice: il Management deve capire di cosa sta parlando. Non per diventare esperto tecnico, ma per porre le domande giuste, leggere correttamente un incident report, valutare una proposta di remediation, decidere cosa notificare all'Agenzia per la Cybersicurezza Nazionale (ACN) e in quali tempi. Senza una formazione dedicata, la firma su un documento di approvazione non è governance: è un rischio.

Il 90% degli incidenti ha un'origine umana

La seconda metà dell'Art. 20 — la formazione del personale — nasce da un dato che le ricerche confermano da anni: la stragrande maggioranza degli incidenti informatici ha un'origine umana. Un'email di phishing aperta, una password riciclata, un allegato scaricato, un dispositivo lasciato incustodito in una sala d'attesa.

Ogni collaboratore è contemporaneamente il punto più esposto e la prima linea di difesa dell'organizzazione. Questo doppio ruolo non può essere gestito con una slide all'anno o un modulo di onboarding dimenticato. Richiede un percorso strutturato, aggiornato, misurabile — e soprattutto comprensibile, perché la sicurezza inizia a funzionare solo quando le persone capiscono perché un comportamento è rischioso, non solo che lo è.

Chi deve essere formato: quattro profili, quattro percorsi

La formazione NIS2 efficace non è un blocco monolitico. I contenuti devono essere calibrati sul ruolo, perché il rischio, le decisioni e le azioni richieste sono diverse.

1. Il Management

Per CdA, Amministratori Delegati e dirigenti servono contenuti di governance: riconoscere il perimetro NIS2 dell'azienda, interpretare indicatori di rischio, approvare le misure dell'Art. 21 con cognizione di causa, gestire strategicamente un incidente, supervisionare la supply chain e interloquire con ACN. Il taglio non è tecnico: è decisionale.

2. Il CISO

Il Chief Information Security Officer è la cerniera tra governance e operatività. Deve tradurre le decisioni del vertice in misure tecniche concrete e, nel senso opposto, riportare al Management KPI di sicurezza comprensibili. Il suo percorso formativo è più breve ma molto denso, perché presuppone competenze pre-esistenti: framework di risk management, supervisione di SIEM, IAM e PAM, gestione degli incidenti e reporting.

3. Il tecnico informatico

Chi mantiene i sistemi, configura i firewall, gestisce i backup e monitora le anomalie ha bisogno di contenuti operativi: configurazioni reali, playbook, checklist di evidenza per ACN. L'Art. 21 del D.Lgs. 138/2024 elenca le misure tecniche obbligatorie (analisi del rischio, identità e accessi privilegiati, crittografia, continuità operativa, vulnerability management, penetration testing) e chi le implementa deve saper documentare ciò che fa, non solo farlo.

4. I collaboratori non tecnici

La platea più ampia e, paradossalmente, la più strategica. Nessun prerequisito tecnico: linguaggio accessibile, scenari concreti, applicazione immediata. Obiettivo: trasformare ogni dipendente in un sensore attivo capace di riconoscere un'email sospetta, gestire correttamente una password, segnalare un incidente nei tempi giusti.

Il regime sanzionatorio e il valore della prova

Il D.Lgs. 138/2024 prevede sanzioni significative per inadempimento, che possono arrivare a 10 milioni di euro o al 2% del fatturato annuo mondiale per i soggetti essenziali (e importi proporzionalmente elevati per i soggetti importanti). Ma al di là dei numeri, il punto delicato è un altro: in caso di ispezione o incidente, l'organizzazione deve poter dimostrare di aver erogato la formazione prevista.

Questo significa che un buon percorso formativo NIS2 non si misura solo dalla qualità dei contenuti, ma anche dalla sua tracciabilità: registro delle ore erogate, evidenze del superamento delle verifiche, certificati di partecipazione, data di ultimo aggiornamento, documenti allegati consultati. È l'infrastruttura di prova che trasforma un corso in uno strumento di compliance.

Come strutturare un piano formativo NIS2 efficace

Dall'esperienza maturata con le organizzazioni che abbiamo accompagnato nel percorso di adeguamento, un piano formativo NIS2 che funziona ruota intorno a cinque elementi:

  • Mappatura dei ruoli: chi è nell'organo di gestione, chi è CISO o figura equivalente, chi è tecnico IT, chi è personale non tecnico. La stessa persona può comparire in più gruppi.
  • Contenuti stratificati: percorsi distinti per ciascun profilo, coerenti tra loro ma calibrati sul livello di responsabilità e competenza tecnica.
  • Modalità e-learning: per scalare sui grandi numeri, garantire tracciabilità automatica e permettere aggiornamenti frequenti in risposta all'evoluzione normativa.
  • Verifica dell'apprendimento: test di fine percorso con soglia di superamento (tipicamente 80%) e certificato nominale, perché "aver visto il corso" non equivale ad averlo compreso.
  • Aggiornamento periodico: la NIS2 non è un progetto, è un regime. Il piano formativo va rinfrescato almeno annualmente e ogni volta che ACN pubblica nuove indicazioni o che emergono minacce rilevanti per il settore.

L'approccio di Easy Health

In Easy Health abbiamo tradotto questi principi in quattro percorsi e-learning complementari: Corso NIS2 per il Management, Corso NIS2 per il CISO, Corso NIS2 per il Tecnico Informatico e Corso NIS2 per collaboratori non tecnici. Ogni percorso è articolato in moduli dedicati, con scenari decisionali reali, strumenti operativi pronti all'uso, documenti allegati per il lavoro quotidiano e certificato di partecipazione al superamento dell'80% delle domande di verifica.

I contenuti sono pensati per essere agnostici rispetto al settore: la Direttiva NIS2 si applica a energia, trasporti, sanità, pubblica amministrazione, infrastrutture digitali e molte altre filiere, e gli obblighi di governance e formazione sono gli stessi. Dove serve, affianchiamo i percorsi e-learning con consulenza su misura: gap analysis, remediation, audit continuo e supporto nell'interlocuzione con ACN.

Conclusioni: la formazione come asset di compliance

La NIS2 sta cambiando il modo in cui le organizzazioni italiane pensano la cybersicurezza. Il passaggio più importante non è tecnologico — firewall e backup esistono da decenni — ma culturale: la sicurezza informatica entra nelle agende del Board, diventa parte della due diligence, influenza la scelta dei fornitori e la struttura dei contratti.

In questo scenario la formazione smette di essere un costo e diventa un asset di compliance: è ciò che rende difendibile una decisione, credibile una policy, sostenibile un piano di investimento. Investire in formazione NIS2 oggi significa ridurre al minimo il rischio che, tra un anno, un'ispezione ACN o un incidente trovino l'organizzazione impreparata — con tutte le conseguenze reputazionali, operative e sanzionatorie che ne derivano.

Per approfondire i nostri percorsi e-learning dedicati alla conformità NIS2 visita la sezione Formazione NIS2 oppure contattaci per costruire insieme un piano su misura per la tua organizzazione.

Ti interessa approfondire?

Contattaci per scoprire come le nostre soluzioni possono supportare la tua organizzazione sanitaria.

Parla con un esperto

Parla con noi

Siamo pronti ad ascoltare le esigenze della tua struttura sanitaria. Compila il modulo per richiedere una demo o una consulenza specialistica.