Sei in: Home / Cyber Security / Formazione obbligatoria NIS2: guida per aziende e HR
30 Giugno 2026

Formazione obbligatoria NIS2: guida per aziende e HR

La NIS2, in vigore dal 16 ottobre 2024, prevede la formazione obbligatoria di dipendenti e dirigenti dei soggetti essenziali e importanti. La formazione obbligatoria NIS sposta la sicurezza informatica dall’appannaggio esclusivo dei tecnici per farla diventare un processo aziendale governato e documentato.
È necessario superare il concetto di formazione una tantum erogata una volta all’anno: per essere in regola con la normativa serve un programma di sensibilizzazione e addestramento strutturato, progettato per proteggere le reti e i sistemi informativi aziendali. Parliamo di un processo continuo, misurabile e rigorosamente documentato.

L’obbligo di formare il personale è un requisito di legge introdotto sia a livello europeo, sia all’interno dell’ordinamento italiano. I riferimenti normativi principali che tracciano questo perimetro sono la Direttiva europea (UE) 2022/2555 (NIS2) e il decreto di recepimento nazionale, il D.Lgs. 4 settembre 2024, n. 138.

> Leggi anche: “NIS 2: per chi è obbligatoria e quali sono i requisiti per le aziende”

Che cosa prevede l’articolo 23 del D.Lgs. 138/2024 sulla formazione?

Nel decreto italiano, l’impianto normativo si divide in due parti principali

  • L’obbligo per i vertici (Articolo 23, comma 2): sancisce l’obbligo specifico per gli organi di amministrazione e direzione, ovvero i membri del Consiglio di Amministrazione e il management con poteri decisionali, di seguire una formazione dedicata in materia di cybersicurezza. L’obiettivo della formazione è sviluppare una consapevolezza pratica e reale dei rischi cyber, necessaria a supervisionare e approvare le misure di sicurezza aziendali.
  • L’obbligo per tutta l’organizzazione (Articolo 24, comma 2, lettera g): impone l’adozione di politiche scritte relative alle “pratiche di igiene di base e di formazione in materia di sicurezza informatica” per l’intera struttura aziendale. Questo passaggio si ricollega fedelmente all’articolo 21, paragrafo 2, lettera g) della Direttiva europea NIS2.

Che differenza c’è tra security awareness e formazione NIS2?

La differenza risiede nei requisiti di struttura, continuità e verifica richiesti dalle autorità regolatorie. Il Regolamento di Esecuzione 2024/2690 della Commissione Europea introduce l’obbligo per le aziende di programmare e testare questi programmi nel corso del tempo. Anche le linee guida tecniche ENISA chiariscono che non è possibile limitarsi a un intervento isolato. Un piano formativo conforme deve essere strutturato secondo i seguenti criteri:

  • Pianificazione: le attività vanno programmate per essere ripetute regolarmente, assicurando il coinvolgimento dei nuovi assunti fin dalle fasi di onboarding.
  • Aggiornamento: i contenuti devono essere erogati a intervalli pianificati per riflettere l’evoluzione delle minacce informatiche, le innovazioni tecnologiche e le modifiche alle procedure interne.
  • Integrazione nei processi: la formazione deve essere parte integrante della più ampia politica di sicurezza delle reti e dei sistemi informativi dell’organizzazione.
  • Tracciabilità: ogni singola attività deve essere rigorosamente documentata. La mancanza di prove scritte impedisce di considerare assolto l’obbligo di legge, esponendo l’azienda a sanzioni.

> Scarica la checklist per la progettazione della formazione NIS2

piramide formazione NIS2

Chi deve fare la formazione obbligatoria NIS2?

La normativa europea NIS e il decreto legislativo italiano richiedono di abbandonare l’idea che la sicurezza sia un tema di esclusiva competenza dei tecnici informatici. La normativa suddivide la popolazione aziendale in gruppi, stabilendo livelli di approfondimento e obiettivi differenti per ciascuna mansione. Il primo passo per adempiere alla formazione obbligatoria prevista dalla normativa è mappare l’organizzazione, individuando chi deve partecipare e definendo i relativi fabbisogni formativi.

I dirigenti e il CdA: formazione in cyber security governance

La risposta è sì e si tratta del cambiamento più importante introdotto dalla direttiva sul piano della governance aziendale. I membri del Consiglio di Amministrazione, gli Amministratori Delegati e i direttori generali con poteri decisionali sono soggetti a un preciso obbligo di legge.

  • L’obiettivo della formazione: i vertici aziendali devono acquisire le competenze necessarie a comprendere a fondo i rischi informatici. Questo serve a metterli nella condizione di valutare l’efficacia delle misure di sicurezza e assumersi la responsabilità diretta della governance della cybersecurity. La NIS2 impone che i manager non deleghino passivamente la sicurezza all’IT, ma che approvino le policy assicurando investimenti adeguati.
  • La responsabilità personale: la mancanza di formazione o l’assenza di documenti che ne dimostrino lo svolgimento espone la i vertici aziendali a gravi responsabilità personali in caso di incidente informatico.

Il personale aziendale e i partner esterni: la NIS2 per i dipendenti

L’obbligo di formazione si estende a cascata sull’intera organizzazione e in alcuni casi anche oltre i confini aziendali.

  • I dipendenti: l’azienda deve formare tutto il personale per sviluppare una consapevolezza diffusa dei rischi. Il percorso si focalizza sulle pratiche di igiene informatica di base (cyber hygiene). I dipendenti devono imparare a gestire le password, utilizzare l’autenticazione a più fattori (MFA), usare le email in sicurezza, riconoscere il phishing e seguire le procedure per segnalare eventi sospetti.
  • Personale con ruoli operativi e tecnici (IT e Security): chi gestisce direttamente i sistemi (ad esempio gli amministratori di sistema, gli sviluppatori software o i team di risposta agli incidenti) deve ricevere una formazione tecnica mirata e continua. La formazione specifica deve coprire la configurazione sicura delle reti, la gestione dei sistemi, il monitoraggio delle minacce note e le azioni da intraprendere durante un attacco.
  • Personale dei fornitori diretti e service provider: quando è previsto dagli accordi contrattuali, l’obbligo di rispettare le pratiche di igiene informatica e la partecipazione ai programmi di sensibilizzazione si applicano anche al personale dei fornitori diretti e dei prestatori di servizi di terze parti.

Quali argomenti deve coprire la formazione NIS2?

La normativa NIS2 e le relative linee guida tecniche pongono il focus della formazione sulle pratiche di igiene informatica di base e le politiche di sicurezza interne: i programmi che vanno modulati in base al ruolo e alle responsabilità specifiche di ogni persona.
Ecco l’elenco dettagliato dei temi obbligatori e delle pratiche chiave da inserire nel piano formativo.

Formazione di base per tutti i dipendenti

  • Gestione delle password e autenticazione: deve includere la spiegazione delle policy aziendali scritte che regolano la lunghezza, la complessità e la rotazione periodica delle password.
  • Riconoscimento delle minacce e ingegneria sociale: per imparare a riconoscere e a difendersi da attacchi diffusi come il phishing, il pre-texting e il tailgating.
  • Gestione e protezione dei dati sensibili: sensibilizzare i dipendenti sulle cause principali che portano all’esposizione accidentale dei dati, come l’invio di una e-mail al destinatario sbagliato o lo smarrimento di un dispositivo portatile.
  • Segnalazione degli incidenti: il piano deve fornire istruzioni operative chiare per riconoscere anomalie nei sistemi, come comportamenti insoliti dei software o traffico di rete sospetto. I dipendenti devono conoscere le procedure per segnalare questi eventi in modo tempestivo e accurato attraverso i canali aziendali designati.
  • Uso sicuro degli strumenti e telelavoro: è necessario stabilire e spiegare le regole per l’utilizzo sicuro della posta elettronica, la navigazione sul web e l’impiego di dispositivi mobili o veicoli aziendali connessi. Vanno inoltre illustrate le pratiche di sicurezza da adottare quando si lavora da remoto e ci si connette a reti non sicure.
  • Gestione del software: il corso deve chiarire i pericoli legati all’uso di software non aggiornati, dannosi o non autorizzati dall’azienda.
  • Regole di sicurezza fisica: i dipendenti devono abituarsi a non lasciare documenti sensibili incustoditi sulle scrivanie e a bloccare lo schermo del monitor quando si allontanano dalla propria postazione.
  • Policy di sicurezza aziendale: tutto il personale deve essere informato e formato sulla specifica politica di sicurezza delle reti e dei sistemi informativi che si adotta internamente.

> Abbiamo aggiornato il corso e-learning on demand “Cyber Security Awareness” con un modulo dedicato alla normativa NIS2, ideale per la formazione continua di tutto il personale e da inserire nei percorsi di onboarding.

Formazione specialistica per ruoli chiave

  • Team IT, Sviluppatori e Amministratori di Sistema: oltre alla formazione di base, queste figure devono ricevere un addestramento tecnico avanzato. I contenuti devono coprire la configurazione sicura dei sistemi e il funzionamento protetto delle reti, affiancati da briefing continui per rimanere aggiornati sulle ultime minacce informatiche. > Scopri la formazione specifica per i team tecnici
  • Management e Personale addetto alle emergenze: chi ricopre ruoli decisionali ha bisogno di una formazione specifica sulle procedure di gestione delle crisi e sui piani di Business continuity. Per garantire che i vertici aziendali sappiano come reagire in modo efficace durante un’emergenza reale, la normativa raccomanda fortemente l’integrazione di esercitazioni pratiche ed eventi simulati, come i tabletop exercise, all’interno del percorso formativo.

Entro quando bisogna fare la formazione NIS2?

Poiché la formazione e le pratiche di igiene informatica sono a tutti gli effetti misure di sicurezza di base (previste dall’Articolo 24 del Decreto NIS2), i termini per avviare i programmi formativi e istituire il Registro della Formazione coincidono con le scadenze previste per l’adeguamento generale a queste misure.
Le scadenze variano in base al momento in cui la tua organizzazione è entrata a far parte del perimetro NIS2.

Soggetti già identificati nel perimetro NIS2

Se la tua azienda fa già parte del perimetro NIS2, l’adozione delle misure di sicurezza di base deve essere completata entro il 31 ottobre 2026. Dal 1° novembre 2026, l’Agenzia per la Cybersicurezza Nazionale (ACN) potrà avviare ufficialmente le ispezioni per verificare l’adozione delle misure e controllare la documentazione formativa.

Nuovi soggetti NIS2 (inseriti nel perimetro dal 2026)

Per le organizzazioni che entrano nel perimetro a partire dal 2026, la Determina ACN 127434/2026 stabilisce che  l’obbligo di adozione delle misure di sicurezza di base, che include anche la formazione del personale, è posta al 31 luglio 2027.

NIS2 formazione obbligatoria

Quali sanzioni ci sono per chi non fa la formazione NIS2?

La mancata erogazione delle attività al personale e agli organi di vertice, insieme all’assenza dei documenti che ne provino lo svolgimento, rappresenta una violazione diretta dei doveri di sicurezza e governance stabiliti dagli articoli 23 e 24 del D.Lgs. 138/2024.

Ad esempio, la mancata presentazione dei registri formativi espone l’ente a sanzioni per inadempimento formale. Questo avviene anche se l’azienda non ha mai subito un attacco informatico o se i lavoratori dimostrano di possedere competenze individuali adeguate.

Le sanzioni sono regolate dall’Articolo 38 del decreto NIS e si sviluppano come segue.

Sanzioni amministrative e pecuniarie

Le sanzioni economiche colpiscono l’organizzazione in base alla sua classificazione all’interno del perimetro normativo:

  • Soggetti Essenziali: le multe possono raggiungere la cifra massima di 10 milioni di euro oppure il 2% del fatturato globale annuo dell’ente, applicando l’importo più elevato tra le due opzioni. Se l’azienda omette di formare i dipendenti, subisce le sanzioni amministrative previste per la mancata adozione delle misure di sicurezza obbligatorie.
  • Soggetti Importanti: in questo caso le sanzioni pecuniarie possono toccare un tetto massimo di 7 milioni di euro oppure l’1,4% del fatturato globale annuo dell’organizzazione.

Per i soggetti essenziali non conformi il mancato adempimento alla diffida di (art. 37, commi 6 e 7) può comportare la sospensione temporanea, parziale o totale, di attività o servizi.
Tale sospensione è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide.

Responsabilità e sanzioni per gli organi di amministrazioni e organi direttivi

L’art. 23 impone agli organi di amministrazione tre obblighi non delegabili:

  1. approvare le misure di sicurezza,
  2. sovrintenderne l’attuazione,
  3. seguire una formazione specifica e promuovere l’offerta periodica della formazione ai dipendenti.

L’art. 23, comma 2, prevede che le persone fisiche con funzioni dirigenziali possano essere ritenute personalmente responsabili delle violazioni. Per essere considerati responsabili non serve che i dirigenti abbiano personalmente disposto la misura carente: è sufficiente che ne non abbiano adeguatamente sorvegliato l’implementazione.

La sanzione a loro rivolta, probabilmente la più incisiva nell’ambito di questa normativa, è quella accessoria dell’incapacità a svolgere funzioni dirigenziali (artt. 23 e 38): l’ACN può sospendere l’amministratore dalle proprie funzioni fino all’adozione delle misure correttive.

La formazione obbligatoria NIS2 ridefinisce le regole della sicurezza informatica in azienda: l’idea è trasformare (finalmente) la cybersecurity in un processo aziendale governato, misurabile e documentato. Gestire questo adempimento significa attivare un programma di sensibilizzazione e formazione strutturato e ripetuto nel tempo.

Progettiamo insieme questo percorso

Mappiamo i ruoli e analizziamo i fabbisogni formativi , strutturando i programmi per i dipendenti, i tecnici e i vertici societari. Al termine delle attività, ti forniamo il supporto documentazione per raccogliere le evidenze scritte richieste dagli ispettori dell’ACN.
Contattaci per definire un piano formativo personalizzato e pienamente conforme ai requisiti di legge.

La checklist completa per la formazione obbligatoria NIS2

Compila il modulo per ricevere gratuitamente la checklist operativa di autovalutazione, uno strumento concreto per mappare i ruoli aziendali, verificare i programmi didattici obbligatori e organizzare l’inventario dei documenti probatori richiesti dalla normativa NIS2.

    FAQ: Le domande più frequenti sulla formazione NIS2

    Si, all’interno di bandi o avvisi specifici o utilizzando il Conto Formazione aziendale. Contattaci per una breve call per scoprire le possibilità di finanziamento della formazione obbligatoria NIS2.

    Il programma formativo coinvolge tutta l’azienda. L’obbligo riguarda la totalità dei dipendenti e si estende, laddove applicabile e disciplinato tramite accordi contrattuali, al personale dei fornitori diretti e dei prestatori di servizi di terze parti. Un livello di coinvolgimento specifico e prioritario è richiesto per gli organi di amministrazione e direzione, ovvero il management e i membri del Consiglio di Amministrazione.

    Sì. I membri del CdA, gli Amministratori Delegati e i direttori generali con poteri decisionali hanno un obbligo normativo non delegabile. La normativa stabilisce che i vertici non possono limitarsi a trasferire la gestione della sicurezza ai tecnici dell’IT. Devono sviluppare competenze adeguate per comprendere i rischi informatici, approvare le politiche di sicurezza, garantire i budget necessari e assumersi la responsabilità diretta della governance della cybersecurity.

    L’azienda e i suoi dirigenti sono comunque esposti a sanzioni. La normativa sanziona infatti l’insicurezza organizzativa e non soltanto il danno materiale causato da un attacco informatico. La mancata esibizione dei registri formativi aggiornati o degli attestati di partecipazione recenti costituisce un inadempimento formale. Questo significa che l’autorità applica le sanzioni anche se i dipendenti sono soggettivamente capaci o se l’organizzazione non ha mai subito un incidente informatico.

    KINETIKON S.R.L.

    Via Verolengo 29/9 – 10149 Torino
    Tel. +39 011 0122340
    Fax +39 011 19213523

    Via Asi Asse Attrezzato 11 – 03013 Ferentino (FR)
    Tel. +39 0775 1741757

    email: info@kinetikon.com
    pec: kinetikon@pec.it

    P. IVA 08061210012
    Rea: 944416

    La tua iscrizione non può essere convalidata.
    La tua iscrizione è avvenuta correttamente.

    Iscriviti alla newsletter

    Informative: 

    Privacy Policy
    Cookie Policy

    Politica per la Qualità

    Codice Etico

    Procedura Whistleblowing

    Whistleblowing

    Kinetikon è certificata ISO 9001

    Azienda certificata ISO 9001
    Certificato n° IT25-27302A

    Chi siamo

    Aiutiamo le aziende ad ottenere il meglio dal proprio ambiente IT. Attraverso lo sviluppo di competenze del personale e il potenziamento dei singoli componenti infrastrutturali, il tuo ambiente IT sarà pronto a scalare e ad innovare con te, a qualunque velocità o livello di complessità tu intenda andare.

    Fondimpresa: Avviso 3/2026 – Innovazione