Quando si parla di sicurezza informatica, l’attenzione tende a concentrarsi su strumenti, tecnologie e processi: firewall di nuova generazione, antivirus evoluti, sistemi di monitoraggio, procedure di backup e disaster recovery. Oggi, nel contesto di minacce sempre più complesse e attacchi che puntano con precisione sul fattore umano, questo approccio non è più sufficiente a garantire una solida posture di sicurezza. Nessuna tecnologia, per quanto sofisticata, può garantire la protezione di un’organizzazione se le persone che ne fanno parte non sono adeguatamente formate, consapevoli e coinvolte. Da qui nasce il tema della formazione in NIS 2.
Un semplice errore umano – come l’invio accidentale di un contratto riservato, l’apertura di un allegato pericoloso o la risposta a un’email di phishing camuffata da comunicazione interna – può compromettere anche il miglior sistema di sicurezza. E non si tratta di ipotesi teoriche: secondo ENISA, nei report ufficiali sugli incidenti di sicurezza nei servizi digitali europei, gli errori umani rappresentano oltre il 23% degli incidenti segnalati, una quota significativa che evidenzia la centralità del fattore umano nella prevenzione cyber.
Per questo, la cybersecurity moderna si fonda sempre più sulla cultura, oltre che sulla tecnologia. La sicurezza non può essere vista come una prerogativa esclusiva dei team IT o dei CISO: è un obiettivo aziendale condiviso, che deve attraversare orizzontalmente tutti i reparti, ruoli e livelli di responsabilità. Tutti devono sapere, almeno nelle linee essenziali, quali sono le minacce comuni, quali dati richiedono una protezione particolare e quali comportamenti possono esporre l’azienda a rischi critici.
Ecco perché negli ultimi anni si è iniziato a parlare diffusamente di security awareness, intesa come formazione continua e mirata per aumentare la consapevolezza del rischio e la capacità individuale di prevenire comportamenti pericolosi. Fino a ieri queste attività rientravano tra le buone pratiche volontarie, ma oggi lo scenario cambia radicalmente: con la Direttiva NIS 2, la formazione sulla sicurezza informatica diventa un obbligo normativo per tutte le organizzazioni rientranti nel perimetro della norma.
Come anticipato, con l’entrata in vigore della Direttiva NIS 2 e il relativo decreto di recepimento italiano, il D.lgs. 138/2024, l’adozione di programmi formativi diventa un obbligo per tutte le entità qualificate come essenziali o importanti in base ai criteri definiti dalla normativa stessa.
A sancirlo è l’articolo 21 della Direttiva europea, che include tra le misure minime di sicurezza le “pratiche di igiene informatica di base e formazione in materia di cibersicurezza”. Il legislatore europeo chiarisce che la formazione deve essere proporzionata e adeguata ai rischi, tenendo ovviamente conto dell’evoluzione delle minacce e delle esigenze specifiche dell’organizzazione.
Il recepimento italiano rafforza ulteriormente questo orientamento:
In altre parole, l’intera azienda – dai vertici agli utenti operativi – deve essere coinvolta in programmi di formazione continua, progettati in base ai reali livelli di esposizione al rischio.
Per rispondere agli obblighi introdotti dalla Direttiva NIS 2 in materia di formazione, le aziende non possono limitarsi a organizzare un corso sporadico o a inviare materiali via e-mail. La normativa richiede un approccio strutturato e proporzionato al livello di rischio: difficilmente un’ora in aula lo è. L’obiettivo non deve essere quello di fare formazione in senso astratto, ma di costruire una cultura della sicurezza informatica che coinvolga tutte le persone, a ogni livello.
Il primo passo è identificare correttamente i destinatari della formazione, distinguendo tra il personale tecnico, i dipendenti non IT, gli stakeholder di business e il top management. A ciascuno di questi gruppi dovrebbe essere indirizzata una formazione ad hoc:
In secondo luogo, è necessario definire contenuti e modalità di erogazione adeguati alla complessità dell’organizzazione. La formazione deve essere proporzionata al livello di rischio e coerente con il contesto operativo, con contenuti rilevanti rispetto alle mansioni svolte. Infine, la formazione deve essere integrata nella governance aziendale, prevedendo il coinvolgimento dei responsabili IT, HR e compliance, oltre alla supervisione del DPO e, ove presente, del CISO.
Adeguarsi formalmente agli obblighi della NIS 2 è necessario, ma non sufficiente. Bisogna fare in modo che la formazione sia efficace nel modificare comportamenti, aumentare la consapevolezza reale e ridurre il rischio.
Il primo requisito dell’efficacia è la continuità. In molte organizzazioni, la formazione in ambito cyber viene gestita come un’attività marginale, da attivare quando avanza budget o tempo. Il risultato è una formazione discontinua, svolta magari ogni due o tre anni, senza una programmazione organica. Questo approccio è inefficace e in contrasto con lo spirito della NIS 2, che richiede interventi formativi coerenti con l’evoluzione delle minacce. Meglio un’attività snella e mirata, ma costante, che un evento imponente e isolato.
In secondo luogo, la formazione deve essere moderna e aderente alla realtà aziendale. Non ha senso proporre corsi teorici, distanti dai reali comportamenti quotidiani degli utenti. Una formazione efficace è pratica, immersiva e coinvolgente. Deve prevedere esercitazioni guidate, strumenti di gamification e – soprattutto – simulazioni di attacco che aiutino a testare e migliorare concretamente la risposta delle persone a situazioni di pericolo. L’uso di contenuti on-demand, fruibili in autonomia, rappresenta una componente essenziale dei percorsi di maggiore successo.
Infine, l’efficacia passa anche da una buona integrazione con le dinamiche aziendali. Le attività di formazione devono dialogare con le policy di sicurezza interne e gli eventuali processi legati alle certificazioni in ambito ISO o privacy. Così facendo, la formazione non è più vista come un obbligo normativo ma come parte integrante della strategia di cyber resilience.