compliance

GDPR e NIS2: la formazione chiave per una cyber sicurezza efficace

GDPR e Direttiva NIS2 convergono sull’importanza della formazione del personale. Gli enti devono implementare percorsi formativi integrati che coprano privacy, sicurezza informatica e gestione incidenti per garantire continuità operativa

Pubblicato il 18 giu 2025

Stefano Saglimbeni

Avvocato

Direttiva CER Cybersecurity Advanced Firewalls, Secure Logins, and Digital Protections Confidential Information. (1) formazione cybersecurity

Nell’era digitale, la sicurezza delle informazioni e la protezione dei dati personali costituiscono priorità fondamentali per le singole organizzazioni e per l’intero sistema, sia a livello nazionale e sia di Unione Europea.

Indice degli argomenti

L’importanza della formazione e della sensibilizzazione del personale per la sicurezza

C’è bisogno di esperti di cybersecurity: ecco le iniziative di formazione

Invero, la resilienza e la conformità delle singole unità produttive, in un contesto di capillare interconnessione tra gli operatori dell’economia, si riflette necessariamente a livello di sistema. In questo contesto, la formazione e la sensibilizzazione diffusa del personale e degli operatori, a tutti i livelli, rappresentano strumenti essenziali per promuovere la cultura della sicurezza.

Il GDPR (Regolamento UE 679/2016) e la Direttiva NIS2 (UE 2555/2022), recepita nel nostro ordinamento con il Decreto Legislativo 4 settembre 2024, n. 138, convergono nell’individuare nella formazione e nella sensibilizzazione le premesse imprescindibili per il conseguimento della massima resilienza attraverso il radicamento della – cosiddetta – cultura della sicurezza, quale elemento fondamentale per garantire la protezione dei dati personali e la sicurezza delle reti.

Le due discipline normative si pongono, d’altro canto, in stretta correlazione laddove la conformità del trattamento dei dati personali costituisce la conseguenza e, allo stesso tempo, la premessa della resilienza dei sistemi; invero, la sicurezza delle “infrastrutture” informative contribuisce alla tutela e dunque alla conformità del trattamento del dato personale mentre le buone prassi in materia Privacy (a titolo esemplificativo: la pseudonimizzazione, la cifratura dei dati e altre procedure volte a garantire la riservatezza, l’integrità, la minimizzazione, ecc.) costituiscono esse stesse misure di cybersicurezza o quantomeno concorrono ad elidere contesti di pericolo.

Non a caso, il Decreto Legislativo 4 settembre 2024, n. 138, sottolinea il legame sostanziale che caratterizza le due regolamentazioni; si pensi agli art. 3, comma 11 e 8, comma 2, nei quali si conferma la piena operatività della normativa di settore Privacy (giustappunto GDPR e seguenti) ai fini del decreto e agli art. 8, comma 1 e 14 in cui la cooperazione tra l’autorità nazionale NIS (ACN) e il Garante della Privacy è considerata di strategica rilevanza.

D’altro canto, le ridette regolamentazioni operano su piani differenti laddove la normativa per la protezione dei dati personali tutela l’interesse particolare della persona fisica mentre la NIS2 mira a garantire, al di là dei dati e della loro natura, la sicurezza e la resilienza dei sistemi informativi a protezione di interessi generali.

Come – infatti – premesso, in un contesto di stretta interconnessione tra gli operatori dell’economia, gli standard di sicurezza raggiunti (o viceversa non raggiunti) dal singolo ente si ripercuotono sull’intero sistema economico sia in senso orizzontale sia verticale.

Venendo al tema specifico della formazione, il GDPR (Regolamento UE 2016/679) stabilisce principi fondamentali per il trattamento dei dati personali, imponendo ai titolari e ai responsabili del trattamento l’adozione di misure tecniche e organizzative adeguate.

A livello generale, il carattere primario della formazione rappresenta un corollario dei principi della privacy by design e privacy by default, laddove le misure volte ad attuare la protezione del dato personale in tutti i suoi profili, a partire dalla progettazione del sistema e per impostazione predefinita, si traducono anche in procedure e conoscenze da trasmettere al soggetto che effettua il trattamento, incaricato dal titolare.

D’altro canto, la necessità di formare opportunamente i soggetti interessati dall’attività di trattamento ha fonte normativa reperibile, dapprima, nel codice Privacy (D.lgs. 30 giugno 2003, n. 196) e, in seguito, confermata nel paragrafo 29 del GDPR, laddove è previsto che l’incaricato del trattamento debba attenersi alle istruzioni impartite dal titolare. Ancora, il paragrafo 39 dello stesso GDPR individua in capo al DPO (Data Protecion Officer) espresse prerogative e poteri in tema di sensibilizzazione e formazione del personale.

Pertanto, nell’ottica di garantire la conformità al GDPR, gli enti titolari hanno l’onere e l’obbligo di implementare i programmi di formazione del personale, fornendo in via generale:

A. conoscenze generali in materia di privacy e protezione dei dati personali, anche con riferimento ai dati appartenenti a categorie particolari (ex dati sensibili);

B. misure e procedure di trattamento, dalla raccolta alla cancellazione del dato;

C. conoscenze e regole per la risposta agli incidenti di sicurezza.

Requisiti NIS2 per la formazione cybersecurity

In ambito NIS2, l’esigenza della formazione viene espressa con assoluto rigore quale elemento centrale dell’intero impianto normativo. L’art. 23 del Decreto impone agli organi apicali, amministrativi e direttivi, degli enti interessati dalla normativa, l’obbligo di formarsi e formare in materia di sicurezza informatica (comma 2, lettera A). L’ente/organizzazione, in persona della sua dirigenza, deve dunque organizzare e promuovere l’offerta formativa periodica del proprio personale assicurandosi della sua stessa sicurezza e affidabilità (art. 24, comma 2). Lo scopo è quello di diffondere, a tutti i livelli dell’organizzazione, conoscenze e competenze utili a garantire la sicurezza informatica e dunque la continuità produttiva dell’ente stesso.

Sotto il profilo dei contenuti, la formazione riguarda le misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi che “minacciano” la sicurezza dei sistemi informativi e di rete, per prevenire o ridurre al minimo l’impatto degli incidenti. Tali misure richiedono un approccio cosiddetto “multi-rischio”, per presidiare i sistemi informativi e di rete, incluso il relativo ambiente fisico e riguardano, a titolo esemplificativo: pratiche di igiene di base, politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura, politiche di controllo dell’accesso e gestione dei beni e degli assetti. (art. 24, comma 2).

Strategia nazionale e approccio diffuso alla formazione cybersecurity

D’altro canto, l’art. 9, rubricato “strategia nazionale di cybersicurezza”, conferma il carattere primario della formazione, indicando tra gli obiettivi strategici: “la promozione e lo sviluppo di attività di istruzione, formazione e sensibilizzazione, di competenze e di iniziative di ricerca e sviluppo in materia di sicurezza informatica, nonché orientamenti sulle buone pratiche e sui controlli concernenti l’igiene informatica, destinati ai cittadini, ai portatori di interessi e ai soggetti essenziali e importanti;”. Il legislatore va dunque al di là delle competenze della mera normativa di settore, estendendo le pratiche di formazione e sensibilizzazione persino ai cittadini e ai portatori di interessi, a testimonianza di un approccio orientato alla creazione di una cultura della sicurezza diffusa.

D’altronde, una parte consistente degli incidenti legati alla sicurezza deriva da errori umani, quali l’apertura di e-mail, fenomeni di phishing o l’utilizzo di password deboli: la formazione del personale è quindi cruciale per ridurre il rischio di violazioni.

Metodologie e fasi della formazione cybersecurity

Al fine di sensibilizzare e promuovere la cultura della sicurezza è necessario procedere per gradi, impartendo all’operatore, prima di tutto, principi generali di carattere normativo con l’obiettivo di ingenerare consapevolezza sulle finalità della disciplina e sugli interessi protetti. In questo modo, si forniscono all’incaricato strumenti utili a cogliere e/o prevedere profili di rischio del bene tutelato, affinché questi possa adottare, in autonomia, misure correttive adeguate.

Impartita la conoscenza di carattere teorico – generale, è opportuno redigere e illustrare misure e procedure di comportamento, ispirate agli standard (tecnici, pratici e normativi) condivisi, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia. La preventiva conoscenza dei principi teorici consente all’operatore di applicare la misura con cognizione e consapevolezza degli obiettivi. In tale ambito, è poi fondamentale il trasferimento di conoscenze e di misure procedurali di tipo tecnico informatico, profilo che – va da sé – richiede uno sforzo di continuo aggiornamento e rinnovamento, date le criticità comportante dallo sviluppo esponenziale che caratterizza il settore.

Approcci formativi differenziati per ruoli aziendali

Infine, fornite le conoscenze generali e impartite le misure specifiche, è raccomandabile una terza fase di verifica, non solo con riferimento alle nozioni apprese, ma di vera e propria organizzazione e interattività tra gli operatori interessati e l’ente stesso.

Per garantire l’efficacia della pratica sono opportuni approcci diversificati, con il fine di dotare il singolo operatore di conoscenze mirate e adeguate al relativo campo di competenza. Il Management sarà dunque interessato da una formazione focalizzata sulle responsabilità legali e sui profili strategici e organizzativi mentre il processo formativo del personale operativo sarà necessariamente caratterizzato dalla settorialità dell’attività/mansione specifica svolta. Discorso a parte per la formazione per il TEAM IT del quale debbono necessariamente fare parte, al di là degli aggiornamenti e della necessità formazione continua, soggetti specializzati e in possesso di conoscenze tecniche certificati.

Le metodologie didattiche sono quelle ricorrenti, dalla formazione sincrona (live, workshop interattivi), alla formazione asincrona (E-learning, video-pillole informative), sino alla fase di verifica (Simulazioni e test: simulazioni, esercitazioni pratiche).

Integrazione delle competenze nella formazione cybersecurity

La formazione e la sensibilizzazione in tema di sicurezza, nello scenario della protezione dei dati personali e della sicurezza/resilienza delle reti e dei sistemi, richiede dunque approfondimenti su argomenti eterogenei, quali conoscenze in materia privacy e in tema di reti e sistemi informativi, con un approccio problematico volto, prima di tutto, all’individuazione dei rischi e delle criticità. L’approccio integrato alla gestione dei dati e alla sicurezza (GDPR e NIS2) consente di ottimizzare le risorse e garantire una protezione più efficace.

Il fine ultimo è dunque la creazione di un profilo di consapevolezza in capo all’operatore, per aumentare la capacità di riconoscere e reagire alle minacce, assicurando che il rispetto degli obblighi legali previsti da GDPR e NIS2 diventi un modus operandi a tutti i livelli. Il personale formato, al pari dell’infrastruttura informativa, deve pertanto concorrere al conseguimento della resilienza, intesa come la capacità dell’organizzazione di prevenire e rispondere a incidenti di sicurezza.

Ruolo delle autorità nella promozione della formazione cybersecurity

Il Garante per la Protezione dei Dati Personali e l’Agenzia per la Cybersicurezza Nazionale (ACN), quali Autorità nei rispettivi settori, sono due enti fondamentali per la promozione della cultura della sicurezza e della protezione dei dati personali in Italia.

In particolare, il Garante per la Protezione dei Dati Personali ha implementato diverse iniziative per promuovere la cultura della sicurezza e supportare le aziende nella formazione e nell’adozione delle misure di sicurezza, quali: campagne di sensibilizzazione per informare i cittadini e le aziende sull’importanza della protezione dei dati personali; offerta di formazione, aggiornamento e supporto per le aziende e i professionisti; linee guida e raccomandazioni.

Dal canto proprio, anche la Agenzia per la Cybersicurezza Nazionale (ACN) ha implementato diverse iniziative per promuovere la cultura della sicurezza e supportare le aziende nella formazione e nell’adozione delle misure di sicurezza. Al riguardo, lo stesso decreto ricettivo della NIS2 attribuisce espresse competenze quali: l’elaborazione del Piano Nazionale di Cybersicurezza, che definisce le strategie e le azioni per migliorare la sicurezza cibernetica in Italia; prerogative e supporto in tema di formazione e sensibilizzazione per le aziende e i professionisti sulla sicurezza cibernetica e coadiuvare nella comprensione e applicazione delle norme sulla sicurezza cibernetica; competenza in materia di certificazioni.

Investimento strategico nella formazione cybersecurity

Al di là del profilo sull’obbligatorietà, la formazione rappresenta dunque un investimento strategico e necessario per garantire, attraverso gli strumenti della conformità, della resilienza e della sicurezza, la continuità dei servizi e la competitività delle singole organizzazioni con conseguenze positive sull’intero sistema.

@RIPRODUZIONE RISERVATA