In vigore dal 17 ott 2024·Giorno 575·

Governance22 mar. 20255 min

La formazione cybersecurity che ogni consiglio NIS2 deve ora ai propri azionisti

L’articolo 20(2) impone agli amministratori di seguire una formazione. Ecco com’è fatta una formazione seria — e cosa i regolatori accetteranno come prova.

La formazione cybersecurity che ogni consiglio NIS2 deve ora ai propri azionistiGovernance

L'articolo 20, paragrafo 2 della direttiva (UE) 2022/2555 è insolitamente diretto per una direttiva europea. Non dice dovrebbero, valutare o tenere conto. Dice, in forma operativa: i membri degli organi di direzione dei soggetti essenziali e importanti sono tenuti a seguire una formazione.

Lo stesso paragrafo estende l'obbligo di mezzo passo. Gli Stati membri incoraggiano i soggetti essenziali e importanti a offrire ai dipendenti, su base regolare, una formazione analoga. Il verbo si addolcisce — incoraggiano invece di impongono — ma il rinvio all'articolo 21, paragrafo 2, lettera g), che elenca «le pratiche di igiene informatica di base e la formazione in materia di cybersicurezza» tra le categorie di misure che i soggetti adottano, lo riindurisce. Nel complesso, la NIS2 rende obbligatoria la formazione del consiglio e attesa quella dei dipendenti.

È l'articolo che i consigli sottostimano in modo sistematico. Non perché rifiutino di formarsi — ma perché non sanno cosa il regolatore accetterà come prova che lo abbiano fatto.

Cosa la direttiva richiede davvero

Leggendo insieme l'articolo 20, paragrafo 2, e il considerando 81, i requisiti legali sono quattro:

  1. La formazione è seguita dai membri dell'organo di direzione stessi. Non il CISO. Non il team legale. Gli amministratori.
  2. La formazione li mette in grado di individuare i rischi. Una sensibilizzazione generica non basta — il contenuto deve agganciarsi al panorama delle minacce specifico del soggetto.
  3. La formazione li mette in grado di valutare le pratiche di gestione del rischio di cybersicurezza e il loro impatto sui servizi forniti. Gli amministratori devono poter leggere il registro dei rischi, porre domande sfidanti, valutare se le misure proposte siano proporzionate.
  4. Una formazione analoga è offerta ai dipendenti su base regolare. Ricorrente, con cadenza misurabile, tracciabile a un registro.

Questa è la soglia minima. Sotto è un rilievo. Sopra è una scelta del soggetto su quanto sovraingegnerizzare.

Il monte ore: cosa accetteranno i regolatori

La direttiva non specifica le ore. Le autorità nazionali competenti non si contraddicono sulla soglia difendibile. Dalle loro linee guida pubblicate, tre cifre ricorrono:

  • Onboarding nuovi amministratori: 6-12 ore. Coprendo la direttiva stessa, il panorama delle minacce del soggetto, il registro dei rischi e la procedura di risposta agli incidenti.
  • Aggiornamento annuale degli amministratori in carica: 2-4 ore. Coprendo i cambiamenti materiali dalla sessione precedente — nuove minacce, nuove misure, nuove linee guida regolatorie, eventuali incidenti dell'anno.
  • Programma dipendenti: 30-60 minuti per dipendente all'anno, con moduli specifici per i ruoli ad alto rischio (finanza, operazioni IT, segreteria di direzione).

Significativamente al di sotto di questi numeri diventa difficile difendere la postura davanti a un ispettore. Significativamente al di sopra è prassi nei settori regolati dove le aspettative di vigilanza erano già più alte (servizi finanziari, energia).

Cosa deve coprire il contenuto

Tre blocchi sono non negoziabili, indipendentemente dal settore:

Blocco 1 — La direttiva stessa e la classificazione del soggetto. Da cinque a quindici minuti di contenuto. Cos'è la NIS2, a chi si applica, perché il soggetto rientra nell'ambito, quali conseguenze in caso di inadempienza. Il considerando 81 inquadra questo blocco come la soglia minima delle conoscenze del consiglio.

Blocco 2 — Il modello di minaccia del soggetto, in linguaggio chiaro. Quali attacchi hanno colpito soggetti comparabili negli ultimi due anni. Qual è il bersaglio di alto valore del soggetto. Qual è lo scenario realistico del peggior giorno. Questo blocco distingue la formazione dalla sensibilizzazione — gli amministratori escono in grado di sfidare il loro CISO con le domande giuste, non di limitarsi ad annuire.

Blocco 3 — Le responsabilità specifiche del consiglio. Le cinque responsabilità dell'articolo 20 (approvare, vigilare, accettare la responsabilità personale, seguire la formazione, garantire la formazione a livello dell'intero soggetto), il cronometro delle 72 ore che il consiglio potrebbe dover alimentare, la traccia documentale che il regolatore cercherà. È il blocco operativo — cosa fa il consiglio, con quale cadenza.

Cosa passa come prova

Nelle note di ispezione pubblicate dalle autorità nazionali competenti europee, tre artefatti soddisfano in modo costante:

  • Un registro formativo datato che elenca il nome di ciascun amministratore, le sessioni seguite, la data e la durata. Vidimato dal segretario societario o equivalente, questo documento è la prova più importante.
  • I materiali di formazione conservati — slide, case study, eventuale test. Gli ispettori non chiedono che siano esaustivi; chiedono che siano reperibili e dimostrino i tre blocchi sopra.
  • Un breve verbale del consiglio che dà atto della chiusura del ciclo, idealmente con uno o due action item che gli amministratori si sono presi. Gli action item sono il segnale più forte che la formazione è stata sostanziale e non un mero spunta-casella.

Cosa non soddisfa, in termini regolatori:

  • Un video generico di sensibilizzazione inviato per e-mail, senza registro presenze.
  • Una presentazione del CISO in seduta di consiglio, trattata come la formazione. (Può integrare la formazione ma non la sostituisce. Il considerando 81 è esplicito sulla formazione dedicata dell'organo di direzione.)
  • Una certificazione delegata — ad esempio, l'amministratore che ha frequentato un corso terzo di governance nel 2023 e considera l'obbligo assolto.

Cadenza e titolarità

Il programma di formazione deve avere un titolare nominato. Il modello difendibile: il segretario societario o figura equivalente (responsabile governance, responsabile legale nei soggetti più piccoli) tiene il registro formativo, pianifica i cicli e riporta i tassi di completamento al comitato audit o rischi. Il CISO fornisce il contenuto; il segretario societario è titolare dell'artefatto.

Questa separazione conta. Un CISO che eroga e contemporaneamente certifica la formazione del consiglio si autocertifica — un segnale che i regolatori annotano sempre più nelle loro metodologie pubblicate.

Come si presenta quando è fatto bene

Nelle note di ispezione pubblicate dalle autorità nazionali competenti europee tornano quattro segnali:

  1. Il registro formativo mostra 100 % di completamento da parte di ciascun membro dell'organo di direzione, con il ciclo precedente datato negli ultimi dodici mesi.
  2. Il contenuto era adattato al soggetto — non un video generico — e un campione dei materiali è producibile su richiesta.
  3. L'onboarding avviene prima che il nuovo amministratore partecipi alla sua prima riunione rischio-cyber, non dopo.
  4. La formazione dei dipendenti ha un tasso di completamento misurabile che il consiglio rivede, con moduli specifici per le funzioni ad alto rischio.

Non è uno sforzo pesante. La barriera non è il budget — una formazione per amministratori nella fascia 6-12 ore costa da 5 000 a 15 000 € a coorte se fatta bene. La barriera è governare la cadenza e produrre i documenti. Entrambe sono attività di gestione — ed è esattamente ciò che il regolatore misura.

Fonti

  1. Direttiva (UE) 2022/2555, articolo 20, paragrafo 2 (formazione degli organi di direzione e incoraggiamento alla formazione dei dipendenti).
  2. Direttiva (UE) 2022/2555, articolo 21, paragrafo 2, lettera g) (pratiche di igiene informatica di base e formazione in materia di cybersicurezza).
  3. Direttiva (UE) 2022/2555, considerando 81 (motivazione dell'obbligo di formazione dell'organo di direzione).
  4. Direttiva (UE) 2022/2555, considerando 89 (promozione di una cultura della cybersicurezza e della relativa formazione nei soggetti).
  5. Linee guida pubblicate dalle autorità nazionali competenti sulle aspettative di formazione: ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE) e dall'ENISA.

Altri articoli

Autenticazione multifattore NIS2: 5 classi di accesso obbligateMisure tecniche

Autenticazione multifattore NIS2: 5 classi di accesso obbligate

11 mag. 2026·Leggere · 7 min
Decreto attuazione NIS2: dove stanno oggi i quattro mercatiEsecuzione nazionale

Decreto attuazione NIS2: dove stanno oggi i quattro mercati

6 mag. 2026·Leggere · 7 min
Incidente significativo NIS2: l’albero decisionale per la reperibilità delle 3 di notteGestione incidenti

Incidente significativo NIS2: l’albero decisionale per la reperibilità delle 3 di notte

6 mag. 2026·Leggere · 7 min