NIS2 e Cybersecurity awareness: approfondimento tecnico per i responsabili della conformità

Per un responsabile della conformità, sapere cosa sia la NIS2 non basta più. La direttiva è recepita o in fase di recepimento in tutti gli Stati membri, e i primi audit iniziano a valutare con attenzione anche il fattore umano nei programmi di cybersecurity, spesso con un livello di dettaglio che sorprende più di un CISO. L’articolo 21 della Direttiva (UE) 2022/2555 include la formazione in materia di cybersecurity e le pratiche di base di igiene informatica fra le misure minime obbligatorie. L’articolo 20 aggiunge un requisito che molti tendono a sottovalutare, perché anche i membri dell’organo di direzione devono ricevere una formazione specifica e possono rispondere personalmente della mancanza di misure adeguate.

Questo articolo non si sofferma a spiegare cos’è la NIS2: dà per acquisiti i concetti fondamentali. Si concentra invece sul livello successivo, quello che spesso determina se un programma di cybersecurity awareness supera davvero un audit. L’obiettivo è chiarire cosa richiede concretamente la direttiva in materia di formazione: a chi si applica, quali temi devono essere coperti, come dimostrarne l’efficacia e quali sono le criticità che emergono più spesso quando un audit inizia ad approfondire il programma nel dettaglio.

Se hai bisogno del quadro generale prima di andare avanti, abbiamo un articolo precedente su cos’è la NIS2 e come SMARTFENSE può aiutarti a rispettare la normativa europea che copre l’ambito di applicazione, i settori interessati e le scadenze formali.

Cosa richiede l’articolo 21 della NIS2 in materia di formazione e igiene informatica?

L’articolo 21 della Direttiva (UE) 2022/2555 elenca le misure tecniche, operative e organizzative che i soggetti essenziali e importanti sono tenuti ad adottare. Tra queste misure, il paragrafo 21.2 include espressamente le “pratiche di base di igiene informatica e formazione in materia di cybersecurity”. Il testo non le presenta come allegato facoltativo né come raccomandazione, le tratta come parte delle misure minime che il soggetto deve dimostrare.

A questo si aggiunge l’articolo 20, che introduce una dimensione più strategica e di governance: i membri dell’organo di direzione devono approvare le misure di gestione del rischio, supervisionare l’attuazione e ricevere una formazione specifica per poterlo fare. La direttiva abilita inoltre la responsabilità individuale della direzione in caso di inadempienze. Nella pratica, questo cambia profondamente la percezione interna dei programmi di cybersecurity awareness, che passano da iniziativa del CISO a responsabilità strutturale dell’organo decisionale.

In sintesi, il quadro normativo della NIS2 considera le persone un controllo di sicurezza di primo livello, richiede formazione diffusa per tutto il personale e formazione rafforzata per la direzione, e rende tale adempimento oggetto di verifica e potenziale sanzione. Il programma di cybersecurity awareness smette di essere comunicazione interna e diventa un elemento formalmente valutabile in sede di audit.

A chi si rivolge realmente la formazione prevista dalla NIS2?

Una delle prime criticità emerge quando si traduce la direttiva in un perimetro interno. “Tutto il personale” non significa la stessa cosa in un soggetto bancario rispetto a un operatore energetico con un organico industriale distribuito, e l’audit chiederà conto della logica di segmentazione. In pratica, è utile distinguere almeno quattro categorie di destinatari, con livelli di trattamento differenti.

Organo di direzione. Consiglio di amministrazione, comitato direttivo o equivalente. Deve ricevere una formazione mirata che consenta di approvare e supervisionare le misure di gestione del rischio. Il contenuto non è lo stesso che per un utente finale, perché non si tratta di riconoscere un phishing, ma di comprendere responsabilità, impatti e obblighi decisionali.

Personale tecnico con responsabilità operative. IT, sicurezza, ingegneria di piattaforma, amministratori di sistemi critici. Formazione specifica per ruolo, con contenuti su gestione delle vulnerabilità, configurazione sicura, risposta agli incidenti e ruolo concreto di ciascuna funzione all’interno del piano di continuità.

Resto dei collaboratori con accesso ai sistemi. Il blocco grande del programma. Formazione periodica su igiene informatica di base, riconoscimento dell’ingegneria sociale, gestione sicura dei dati, uso delle credenziali e segnalazione di incidenti. Una buona pratica è segmentare anche all’interno di questo gruppo per livello di esposizione, non per organigramma.

Terzi con accesso a sistemi critici. Fornitori, integratori, partner tecnici. La direttiva incorpora la sicurezza della catena di fornitura come misura obbligatoria nello stesso articolo 21, e questo include l’accesso umano dei terzi. Se un fornitore con un account attivo non è mai passato per il tuo programma, il rischio e la responsabilità restano tuoi.

Essere classificati come soggetti essenziali o importanti cambia il rigore della vigilanza, non la logica del perimetro. Le due categorie sono entrambe tenute a formare il proprio personale, ciò che cambia è l’intensità del controllo successivo da parte delle autorità competenti, in Italia l’ACN (Agenzia per la Cybersicurezza Nazionale).

Quali contenuti deve coprire un programma di cybersecurity awareness compatibile con la NIS2?

La direttiva non fornisce un curriculum dettagliato, e questo lascia al soggetto la responsabilità di dimostrare che il programma copre quanto necessario. La strategia più pulita è costruire il piano dei contenuti incrociando due assi, le misure tecniche elencate nell’articolo 21 e le minacce reali che riguardano il settore.

A partire da questo incrocio, un programma strutturato include almeno questi domini:

• Ingegneria sociale e phishing, con focus su email, messaggistica aziendale, voce e vettori recenti come il quishing tramite QR code.
• Gestione delle credenziali, password robuste, gestore di password e autenticazione multifattore realmente utilizzata.
• Uso sicuro di dispositivi e reti, comprensivo di lavoro remoto, reti domestiche, Wi-Fi pubblico e dispositivi personali (BYOD).
• Gestione dei dati sensibili, incluse classificazione, conservazione, condivisione ed eliminazione sicura delle informazioni.
• Segnalazione degli incidenti, con procedure chiare, canali definiti, tempistiche e una cultura che favorisca la segnalazione senza timore di conseguenze.
• Rischio della catena di fornitura a livello umano, ovvero come gestire richieste di accesso o documentazione da parte di fornitori e terze parti.
• Continuità operativa e risposta agli incidenti, con ruoli e responsabilità definiti per ciascuna funzione coinvolta.
• Privacy e protezione dei dati, in coerenza con il GDPR, perché gli ispettori tendono a guardare entrambi i quadri insieme.
• Formazione specifica per la direzione, che include comprensione del quadro normativo, responsabilità dell’organo di gestione e capacità di interpretare i report di rischio e le decisioni correlate.

Ogni dominio dovrebbe essere supportato da contenuti principali, momenti di rinforzo e almeno una forma di verifica dell’apprendimento. Tuttavia, per un audit, non è sufficiente dimostrare l’esistenza di corsi separati: ciò che la NIS2 misura è il carattere continuo del programma, non la sua esistenza puntuale.

Come si misura e si dimostra la conformità della cybersecurity awareness in fase di audit?

È proprio qui che molti programmi, pur apparendo completi sulla carta, iniziano a mostrare le loro fragilità. L’audit NIS2 chiede evidenze, e le evidenze si misurano per strati. Quando parliamo con i CISO che hanno già affrontato una revisione seria, tutti descrivono lo stesso problema: i corsi ci sono, manca la tracciabilità per utente.

Conviene tenere pronti quattro strati di evidenza.

Frequenza e completamento. Quale percentuale del personale ha completato ciascun modulo obbligatorio, in che tempi, con quanti solleciti. Questo include dirigenti e terzi, non solo i dipendenti interni.

Comprensione. Risultati di valutazioni, non soddisfazione del partecipante. La direttiva non chiede questionari di gradimento, chiede che il personale sia in grado di applicare quanto appreso. Una valutazione post-formazione con soglia di superamento è il pezzo standard.

Comportamento. Simulazioni controllate (phishing, ransomware, vishing) dove si misura la condotta reale di fronte a uno stimolo. Questo strato è ciò che distingue un programma formale da uno efficace, perché confronta conoscenza dichiarata e comportamento effettivo.

Reportistica esecutiva e tracciabilità per utente. L’auditor deve poter ricostruire il percorso completo di una singola persona: moduli assegnati, completati, valutazioni, simulazioni ricevute ed esiti. Se questa panoramica non è estraibile rapidamente, la solidità del programma viene messa in discussione.

Accanto a questi strati è fondamentale mantenere un registro documentale che riporti la logica del programma, con la policy approvata dalla direzione, la segmentazione dei destinatari, il calendario annuale, i criteri di successo e le revisioni periodiche. Quando l’audit chiede perché il programma è disegnato così, quel registro ne costituisce la risposta formale e documentata.

Quali errori tipici fanno fallire un programma di cybersecurity awareness durante un audit NIS2?

Dopo aver accompagnato l’implementazione di programmi di awareness per diversi anni, emerge un insieme ricorrente di criticità che si ripete con una frequenza difficile da ignorare. Vale la pena rivederle prima dell’audit, non una volta concluso.

Programma annuale in un’unica puntata. Una formazione obbligatoria a gennaio, nessun rinforzo, nessuna simulazione, non può essere considerata sufficiente. La NIS2 richiede un approccio continuo e un auditor esperto lo evidenzierà.

Stesso contenuto per la direzione e per il personale operativo. L’articolo 20 esige una formazione specifica per l’organo di direzione. Servire loro lo stesso modulo introduttivo del resto del personale non soddisfa l’obbligo, anche se la presenza è documentata.

Simulazioni di phishing senza analisi nel tempo. Eseguire campagne periodiche con risultati isolati non dimostra maturità del programma. Il dato confrontato nel tempo (per utente, gruppo e tipologia di attacco) è ciò che dimostra il miglioramento.

Assenza di evidenze per le terze parti. I fornitori con accesso ai sistemi critici spesso restano fuori dal perimetro, fino a quando l’audit chiede come si gestisce il rischio umano della catena di fornitura e non esiste una risposta documentata.

Mancanza di tracciabilità per utente. Report aggregati con percentuali globali fanno una buona impressione finché l’auditor non sceglie tre persone a caso e chiede il loro storico individuale. Se il sistema non lo restituisce, l’intero programma resta in dubbio.

Documentazione di governance debole. Policy non firmata, senza revisione periodica, senza verbale di approvazione dell’organo di direzione. Il componente formale pesa più di quanto molti si aspettino, perché l’audit si costruisce sulla carta prima ancora che sulla pratica.

Come SMARTFENSE aiuta a sostenere il componente umano della NIS2

A questo punto, la domanda operativa è come si sostiene nel tempo un programma che copre tutti questi requisiti senza sfinire il team di sicurezza informatica. La piattaforma di SMARTFENSE è progettata proprio per questo scenario e copre i punti che un auditor NIS2 tende a verificare in modo sistematico.

Il multicatalogo di contenuti permette di assegnare moduli diversi per ruolo, lingua e livello di esposizione, risolvendo la segmentazione tra direzione, personale tecnico, utenti e terze parti. I contenuti sono mappati ai principali framework normativi europei, NIS2 inclusa, e si aggiornano quando i regolatori pubblicano nuove linee guida. Per la formazione specifica dell’organo di direzione esiste materiale dedicato, costruito per rispondere al livello di responsabilità e profondità richiesto.

A questa segmentazione si aggiungono i programmi automatici, percorsi predefiniti dai nostri esperti che assegnano moduli, rinforzi e simulazioni in base al ruolo della persona, al suo livello di esposizione e alle normative applicabili. L’assegnazione dei contenuti non dipende più da fogli di calcolo o gestione manuale: il sistema si aggiorna quando cambia l’organico, quando entra un fornitore con accesso o quando emergono nuove indicazioni regolatorie, collegando ogni modulo al quadro normativo a cui risponde. Questo approccio riduce fino al settanta per cento lo sforzo operativo, mantenendo però la tracciabilità individuale richiesta in audit.

Il calendario delle campagne sostiene il carattere continuo che la direttiva richiede, alternando formazione attraverso moduli interattivi, rinforzi brevi, simulazioni di phishing e valutazioni nel corso dell’anno. La tracciabilità per utente è nativa, il che significa che quando un auditor richiede lo storico formativo di una persona, l’informazione è disponibile in modo immediato e completo.

SMARTFENSE è una piattaforma di cybersecurity awareness con presenza consolidata in Europa e America Latina, con contenuti disponibili in italiano, spagnolo, inglese e portoghese europeo, e con supporto per ambienti multicatalogo tipici di organizzazioni complesse e multinazionali. Per approfondire l’approccio alla conformità, è possibile consultare anche l’articolo sulla conformità normativa come impegno sostenuto per la cybersicurezza.

Il componente umano come controllo verificabile

La NIS2 finisce per consolidare un’idea che il settore chiedeva da anni. Il fattore umano è un controllo di sicurezza, con tutto ciò che comporta. Questo implica policy approvate dalla direzione, perimetro definito, contenuti giustificabili, valutazioni periodiche, evidenze individuali e revisione da parte della direzione. Ciò che in passato veniva affrontato con un corso annuale e un paio di email promemoria oggi richiede un’architettura. Per i responsabili della conformità che da tempo discutevano il budget del programma di awareness, la direttiva ha di fatto già risolto il dibattito. Ora si tratta di eseguirlo correttamente.