La nostra proposta per la formazione delle competenze in materia di cyber-sicurezza dell’intero organigramma NIS2 della vostra organizzazione

La Direttiva NIS2 Network and Information Security 2 è una recente normativa europea entrata in vigore il 16 ottobre scorso. Essa aggiorna e sostituisce la precedente Direttiva NIS del 2016, con l’obiettivo di rafforzare la resilienza e migliorare le capacità di risposta delle organizzazioni UE contro le minacce informatiche verso le reti ed i sistemi ICT per settori considerati essenziali o importanti, che porterebbero perturbazioni sulla società e – di riflesso – sull’intera economia UE.

Le organizzazioni impattate dalla Direttina NIS2 – già destinatarie della notifica di inclusione da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN) – sono ora tenute ad adottare le varie misure previste, tra le quali l’obbligo di formare adeguatamente il proprio personale.

In particolare, l’art. 23 del D.Lgs. 138/2024, comma 2, lettere a) e b), stabilisce che le entità soggette debbano:

  • promuovere la cultura della cybersicurezza a tutti i livelli dell’organizzazione;
  • formare in modo specifico il personale in tema di cyber-security.

Tale obbligo riguarda sia le entità essenziali che quelle importanti, senza differenze nei contenuti minimi richiesti. La distinzione tra le due categorie si riflette invece nei regimi di vigilanza operati da ACN, ovviamente più proattiva per le entità essenziali.

Come sempre ed in particolare nella Direttiva NIS2, la formazione non rappresenta un mero adempimento formale, ma un elemento strategico per ridurre il rischio di incidenti e migliorare la resilienza complessiva dell’organizzazione.

È pertanto essenziale che ogni ruolo – dal top management agli operatori – comprenda il proprio ruolo nella protezione delle infrastrutture digitali.

Per rispondere concretamente a questi obblighi, proponiamo tre percorsi formativi distinti, calibrati sulle responsabilità e le competenze dei diversi ambiti aziendali:

  • il primo dedicato al top management e ai ruoli dei responsabili di funzione;
  • il secondo pensato per il personale ICT, amministratori di sistema e responsabili tecnologici;
  • il terzo destinato al personale che utilizza abitualmente sistemi e dispositivi informatici.

Modalità di erogazione dei corsi

Per garantire la massima efficacia formativa e, al tempo stesso, adattarsi alle esigenze operative delle organizzazioni soggette alla Direttiva NIS2, i nostri percorsi sono disponibili in tre modalità:

  • Formazione frontale in presenza
    I corsi possono essere erogati presso la sede dell’azienda o in spazi dedicati, con sessioni guidate da un docente esperto. Questa modalità favorisce l’interazione diretta e l’analisi di casi concreti, adattando i contenuti alla realtà organizzativa dei partecipanti.
  • Formazione a distanza in videoconferenza (videopresenza)
    Le lezioni si svolgono in diretta su piattaforme di videocomunicazione (Zoom, Meet, Teams, ecc.) e mantengono un approccio interattivo. I partecipanti possono intervenire, porre domande e svolgere esercitazioni guidate, mantenendo alta l’attenzione anche da remoto.
  • Formazione asincrona tramite piattaforma LMS (FAD)
    I corsi sono disponibili anche in modalità asincrona su piattaforma e-learning, accessibile in qualsiasi momento. I partecipanti possono seguire i contenuti con flessibilità, completando i moduli secondo i propri tempi. Ogni attività è tracciata, compresi l’accesso ai materiali, le interazioni e il completamento delle prove di verifica.

Durata dei corsi

La durata dei percorsi formativi è modulata in funzione del ruolo e delle responsabilità dei partecipanti:

  • Top management e ruoli responsabili: 4 ore
  • Personale ICT, amministratori di sistema e responsabili tecnologici: 8 ore
  • Personale operativo che utilizza sistemi e dispositivi digitali: 4 ore

Questa struttura consente di trattare i contenuti in modo proporzionato alla complessità dei compiti e alla rilevanza delle responsabilità assegnate, come previsto dalla Direttiva NIS2.

In ogni percorso formativo è prevista una verifica finale delle competenze acquisite, tramite test a risposta multipla o esercitazioni mirate. Il superamento della verifica è condizione necessaria per il rilascio dell’attestato di partecipazione.

Gli attestati:

  • sono personalizzati in base al ruolo del partecipante (manageriale, tecnico, operativo),
  • riportano le ore svolte, la modalità del corso e l’esito della verifica finale,
  • sono tracciati e archiviati secondo criteri di conservazione documentale, per essere esibiti in caso di controlli da parte dell’ACN o di altri soggetti competenti.

Tutte le modalità formative sono progettate per fornire evidenze concrete e dimostrabili della conformità agli obblighi previsti dal D.Lgs. n. 138/2024, assicurando coerenza tra ciò che viene erogato e quanto richiesto dalla normativa.