Formazione dell'organo di gestione NIS 2 ai sensi dell'articolo 20(2)
La NIS 2 stabilisce che l'organo di gestione stesso debba essere formato sulla cybersicurezza. Non il CISO. Non il responsabile IT. Il consiglio, gli amministratori delegati, le persone che approvano le misure di gestione del rischio ai sensi dell'articolo 20(1).
La versione breve
L'articolo 20 NIS 2 è l'articolo sulla governance. Il paragrafo 1 stabilisce che l'organo di gestione debba approvare le misure di gestione del rischio, sorvegliarne l'attuazione e possa essere ritenuto personalmente responsabile in caso contrario. Il paragrafo 2 aggiunge la componente formativa: l'organo di gestione stesso segue una formazione e l'entità offre formazione regolare a tutto il personale.
La formazione non è delegabile. La direttiva nomina specificamente l'organo di gestione. Inviare il CISO a un corso non assolve l'obbligo. Le persone che approvano le misure dell'articolo 21 devono avere conoscenze sufficienti per comprendere ciò che stanno approvando.
La Germania recepisce questa norma nel diritto nazionale attraverso il §38(3) BSIG. La formulazione rispecchia la direttiva. Questa pagina ripercorre l'articolo 20(2), l'obbligo pratico e il recepimento tedesco in quest'ordine.
Articolo 20(2) della direttiva NIS 2 (2022/2555)
Gli Stati membri provvedono affinché i membri degli organi di gestione dei soggetti essenziali e importanti siano tenuti a seguire una formazione e impongono ai soggetti essenziali e importanti di offrire periodicamente una formazione analoga ai loro dipendenti, affinché acquisiscano conoscenze e competenze sufficienti per individuare i rischi e valutare le pratiche di gestione dei rischi di cybersicurezza e il loro impatto sui servizi offerti dal soggetto.
Questa è la norma fonte. Nomina espressamente l'organo di gestione e lega i contenuti della formazione all'individuazione dei rischi, alla valutazione dei rischi, alle pratiche di gestione della cybersicurezza e all'impatto sui servizi dell'entità. Crea inoltre l'obbligo di formazione del personale per i soggetti essenziali e importanti.
Regolamento di esecuzione (UE) 2024/2690 della Commissione
Il CIR stabilisce requisiti tecnici e metodologici per le misure di cui all'articolo 21(2). Non copre l'articolo 20.
A differenza dell'articolo 21, l'articolo 20 non ha un regolamento di esecuzione. Il testo della direttiva è lo standard. Le autorità nazionali ed ENISA completano i dettagli pratici; non esiste una sezione CIR a cui fare riferimento.
§38(3) BSIG (Germania)
Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
Il §38 BSIG è collocato all'interno della legge di attuazione della NIS2 (NIS2UmsuCG) ed è in vigore dal 2026. È l'ancoraggio operativo tedesco per l'obbligo di formazione personale. Il §38(1) e (2) BSIG aggiungono l'obbligo di approvazione e la componente della responsabilità personale. La registrazione ai sensi del §33 BSIG era dovuta entro il 6 marzo 2026.
L'organo di gestione stesso segue la formazione
I membri dell'organo di gestione devono essere formati. Personalmente. La direttiva usa il plurale ('membri'), quindi ogni amministratore delegato, ogni membro del consiglio con responsabilità operative rientra nell'ambito. La prova di iscrizione e di completamento è il livello minimo di legge. La piattaforma conserva entrambe.
L'entità offre formazione a tutto il personale
L'entità deve offrire formazione ai propri dipendenti su base periodica. 'Periodica' non è definito; il riferimento operativo è annuale ai sensi del Grundschutz ORP.3. Consapevolezza per tutti, formazione specifica per ruolo per il personale IT. L'obbligo si applica all'intera forza lavoro, non solo al team tecnico.
Il contenuto copre rischio, pratiche di gestione e impatto sui servizi
La direttiva nomina quattro blocchi di contenuto: individuare i rischi, valutare i rischi, comprendere le pratiche di gestione della cybersicurezza, comprendere l'impatto sui servizi offerti dall'entità. Una generica simulazione di phishing non copre tutti e quattro. Un corso di livello dirigenziale sì.
Obbligo personale dell'organo di gestione (articolo 20(1) e 20(2))
L'organo di gestione non può delegare questo al CISO, al responsabile IT o al responsabile della protezione dei dati. L'articolo 20(1) lega l'obbligo di approvazione all'organo di gestione. L'articolo 20(2) lega l'obbligo di formazione alle stesse persone. I due stanno insieme per progettazione. Il motivo: se approvi le misure di gestione del rischio, devi comprendere ciò che stai approvando.
La proporzionalità si applica tramite l'articolo 21(1)
L'articolo 21(1) stabilisce che le misure di cybersicurezza devono essere 'adeguate ai rischi esistenti', tenendo conto delle dimensioni, dell'esposizione, della probabilità, della gravità, dello stato dell'arte e dei costi. Il requisito di formazione si legge attraverso la stessa lente. Una Stadtwerk di 60 persone necessita di una formazione seria e documentata; non necessita di un programma esecutivo di più settimane. Ciò che la direttiva non consente è l'assenza di formazione.
BSI / §38(3) BSIG
La Germania copia la formulazione della direttiva quasi alla lettera nel §38(3) BSIG. La Handreichung del BSI per il §38 (aprile 2026) è solo materiale di ricerca non vincolante, non un programma formativo. Il BSI non gestisce uno schema di accreditamento per la formazione dell'articolo 20. La prova di iscrizione più completamento è il livello minimo di legge.
Guida tecnica di attuazione di ENISA
La TIG di ENISA copre le misure dell'articolo 21. L'articolo 20 è al di fuori dell'ambito della TIG perché qui non c'è un CIR da attuare. ENISA cita l'articolo 20 nel suo materiale NIS 2 più ampio, ma non ha emesso criteri di formazione formali.
Leggi nazionali di recepimento
Ogni Stato membro ha recepito l'articolo 20(2) (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet). Stesso obbligo, stessi blocchi di contenuto. Canali di segnalazione diversi e autorità di vigilanza diverse. Nessuno di essi gestisce un ente di accreditamento per la formazione dell'articolo 20.
Abbiamo delegato questo al nostro CISO.
Non è possibile. L'articolo 20(2) nomina esplicitamente 'i membri degli organi di gestione'. Inviare il CISO a un corso non assolve l'obbligo. Il CISO può gestire il programma, scegliere il fornitore, costruire il contenuto. La formazione che la direttiva richiede è destinata alle persone che approvano ai sensi dell'articolo 20(1).
Abbiamo svolto un modulo di sensibilizzazione alla sicurezza, quindi l'organo di gestione è coperto.
La formazione di sensibilizzazione degli utenti non è formazione dirigenziale. L'articolo 20(2) elenca quattro blocchi di contenuto: individuare i rischi, valutare i rischi, comprendere le pratiche di gestione della cybersicurezza, comprendere l'impatto sui servizi. 'Non cliccare sui link di phishing' non è in quell'elenco. L'organo di gestione necessita di formazione sulle pratiche di gestione, non sul comportamento degli utenti.
La nostra assicurazione D&O copre la responsabilità personale, quindi la formazione è facoltativa.
Non lo è. Il §38(2) BSIG crea una responsabilità personale per la violazione degli obblighi di gestione ai sensi del §38. L'assicurazione è qualcosa che si aggiunge in più. Non elimina l'obbligo sottostante, e la formazione stessa è ciò che riduce il rischio sottostante di violazione. Saltare la formazione aumenta la responsabilità, non la riduce.
Non esiste un ente di accreditamento per la formazione dell'articolo 20. Nessuno schema DAkkS, nessun marchio TÜV, nessuna certificazione delle Big Four richiesta. L'articolo 20(2) nomina iscrizione e completamento. Questo è il livello minimo di legge. Tutto ciò che va oltre è facoltativo e guidato dal rischio, non dalla legge.
Ciò che funziona nel Mittelstand tedesco: un corso strutturato che copre i quattro blocchi di contenuto (individuazione dei rischi, valutazione dei rischi, pratiche di gestione, impatto sui servizi), iscrizione registrata per ogni membro dell'organo di gestione per nome, prova di completamento conservata con l'audit trail, aggiornamento a cadenza periodica. Ciò regge ai sensi dell'articolo 20(2). Si allinea anche al §38(3) BSIG e all'impostazione del BSI stesso nella Handreichung sul §38.
Abbiamo costruito il corso per CEO esattamente per questo. Il corso copre i quattro blocchi di contenuto nominati dall'articolo 20(2): individuazione dei rischi, valutazione dei rischi, pratiche di gestione della cybersicurezza e impatto sui servizi offerti dall'entità. Ogni lezione è breve. Il corso è pensato per gli amministratori delegati, non per gli ingegneri della sicurezza.
La piattaforma registra l'iscrizione per ogni membro dell'organo di gestione per nome, acquisisce la prova di completamento e conserva entrambe nell'audit trail. Lo stesso record soddisfa l'aspettativa di documentazione del §38(3) BSIG. Il corso è gratuito, e lo è anche la piattaforma sottostante.
- Direttiva (UE) 2022/2555 (NIS 2), articolo 20 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Legge sul BSI (BSIG), §38 come modificato dalla legge di attuazione della NIS2 e di rafforzamento della cybersicurezza (NIS2UmsuCG)
- BSI Handreichung zur Geschäftsleitungsschulung nach §38(3) BSIG, v1.0, 17 aprile 2026 (non vincolante)
- Materiali NIS 2 di ENISA sulle responsabilità di gestione — enisa.europa.eu
- IT-Grundschutz ORP.3 (Sensibilizzazione e formazione)