NIS2, senza competenze la compliance resta sulla carta - Agenda Digitale

Ottobre 2026. È la scadenza entro cui migliaia di organizzazioni italiane — pubbliche e private — dovranno aver implementato le misure di sicurezza baseline previste dalla Direttiva NIS2, recepita in Italia con il Decreto Legislativo 138/2024. Una data che, sulla carta, sembra ancora raggiungibile. Nella pratica, per chi non ha ancora mosso un passo concreto, è già oggi.Il punto, però, non è solo il calendario. È un problema strutturale che il mondo della compliance e della sicurezza informatica conosce bene ma fatica a comunicare con la necessaria urgenza: in Italia mancano le persone. Non le norme, non i framework, non le tecnologie. Mancano i professionisti capaci di applicarli.Indice degli argomenti

NIS2 e competenze cybersecurity: il cambio di prospettivaIl deficit di professionisti cybersecurity in ItaliaFormazione certificata e standard riconoscibiliIl nodo della Pubblica AmministrazioneCosa significa davvero formare per la complianceAdeguarsi alla NIS2 entro il 2026Una questione di sistema per aziende e istituzioniNIS2 e competenze cybersecurity: il cambio di prospettivaPrima di affrontare il problema delle competenze, vale la pena capire cosa cambia davvero con la NIS2 rispetto al passato. Il salto non è solo quantitativo — più organizzazioni coinvolte, più requisiti, più controlli — ma qualitativo. La direttiva sposta il centro di gravità della sicurezza informatica dall’IT al management.L’articolo 20 del decreto italiano è esplicito: gli organi di amministrazione e di direzione devono approvare le misure di gestione dei rischi, supervisionarne l’attuazione e seguire percorsi di formazione specifica in materia di cybersecurity. Non è più sufficiente delegare al CISO o all’IT manager. Il Consiglio di Amministrazione è chiamato a rispondere in prima persona. E lo è davvero: le sanzioni per i soggetti essenziali possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo; per i soggetti importanti, fino a 7 milioni o all’1,4%.Ma c’è una conseguenza pratica di questo spostamento che sfugge spesso all’analisi: se la cybersecurity deve diventare una questione di governance, chi forma i dirigenti a comprenderla? Chi certifica i professionisti che li affiancheranno in questo percorso? Chi garantisce che le figure tecniche abbiano le competenze aggiornate che la norma richiede? Queste domande rimandano tutte allo stesso nodo: il gap di competenze.Il deficit di professionisti cybersecurity in ItaliaI numeri sul deficit di professionisti della cybersecurity in Italia sono noti agli addetti ai lavori, ma meritano di essere letti insieme, perché la loro somma è più allarmante delle singole cifre.Secondo l’ISC2 Workforce Study, il fabbisogno mondiale di specialisti della sicurezza informatica ha raggiunto i 4,76 milioni di unità, con una crescita del 19% su base annua. In Italia, il rapporto Experis “CIO 2025 Outlook” stima un gap di circa 100.000 specialisti. Altre stime indicano una necessità di almeno 50.000 professionisti aggiuntivi nei prossimi anni solo per rispondere alla domanda del mercato privato, senza contare la Pubblica Amministrazione.Il Cybersecurity Readiness Index 2025 di Cisco aggiunge un dato ancora più diretto: l’83% delle organizzazioni italiane intervistate considera la carenza di professionisti qualificati una sfida cruciale, e oltre la metà dichiara di avere più di dieci posizioni aperte in questo momento. Non stiamo parlando di una difficoltà prospettica. Stiamo parlando di posti vacanti, oggi, nelle strutture che la NIS2 chiama a garantire la sicurezza di infrastrutture critiche e servizi essenziali.A questo si aggiunge un paradosso di mercato segnalato dall’Osservatorio sulle Competenze Digitali 2025 (Anitec-Assinform, AICA, Assintel): su 222.000 annunci di lavoro ICT analizzati tra gennaio 2024 e settembre 2025, gli annunci per Cyber Security Engineer hanno registrato un aumento del 70%. Eppure, meno del 10% dei candidati censiti possiede effettivamente competenze in questo ambito. La domanda cresce, l’offerta non segue. E il sistema formativo, per come è strutturato oggi, non è in grado di colmare il divario in tempi compatibili con le scadenze normative.Formazione certificata e standard riconoscibiliA questo punto qualcuno potrebbe obiettare: di corsi di cybersecurity, in Italia, ce ne sono tanti. È vero. Ma il problema non è la quantità dell’offerta formativa, è la sua qualità certificabile e riconoscibile.La NIS2 non chiede generiche “competenze in cybersecurity”. Chiede, attraverso il framework nazionale FNCDP v2.1 definito dall’Agenzia per la Cybersicurezza Nazionale (ACN), capacità specifiche e verificabili: gestione del rischio secondo standard internazionali, audit dei sistemi di sicurezza, implementazione di sistemi di gestione conformi a ISO/IEC 27001, conoscenza dei processi di business continuity secondo ISO 22301, capacità di risposta agli incidenti con procedure documentate. Queste non sono competenze generiche. Sono discipline tecniche con certificazioni internazionali riconosciute: CISA, CISM, CRISC per l’area ISACA; CISSP e CCSP per ISC2; Lead Auditor per gli standard ISO; DPO qualificato per la data protection.Il punto che mi trovo a ribadire continuamente, parlando con responsabili IT, HR director e manager di aziende di ogni dimensione, è questo: la formazione non certificata non basta. Un corso, anche ben fatto, che non culmina in una credenziale riconosciuta internazionalmente non produce quello che la NIS2 richiede: professionisti verificabili, la cui competenza può essere dimostrata a un auditor, a un organismo di vigilanza, a un cliente che chiede garanzie sulla supply chain.E la supply chain è, non a caso, uno degli ambiti in cui la NIS2 è più esigente. L’articolo 21 impone alle organizzazioni soggette alla direttiva di valutare i rischi derivanti dai propri fornitori. In pratica, le grandi organizzazioni compliant inizieranno — e in alcuni casi hanno già iniziato — a richiedere ai propri fornitori la dimostrazione di standard di sicurezza adeguati. Chi non sarà in grado di documentarli rischia l’esclusione dalla catena di fornitura. Un rischio reputazionale e commerciale spesso più immediato delle sanzioni dell’ACN.Il nodo della Pubblica AmministrazioneSe la situazione nel privato è preoccupante, quella nella Pubblica Amministrazione lo è ancora di più. Gli enti pubblici rientrano tra i soggetti essenziali della NIS2 — PA centrale, sanità, università, enti locali di una certa dimensione — ma partono da un deficit di competenze strutturalmente più profondo.Le ragioni sono note: difficoltà nel reclutare profili tecnici qualificati a causa dei vincoli retributivi del pubblico impiego, turn-over dei funzionari IT, assenza storica di percorsi di certificazione professionale nei piani di formazione della PA. Il risultato è che molte amministrazioni che oggi devono adeguarsi alla NIS2 non hanno internamente le figure necessarie per farlo. Devono formarle o acquisirle dall’esterno — in un mercato dove, come abbiamo visto, la domanda supera già ampiamente l’offerta.La soluzione non è semplice, ma ha una direzione precisa: investire in percorsi di upskilling certificato per il personale esistente, costruendo progressivamente competenze interne riconoscibili e mantenibili nel tempo. Non acquistare consulenza spot per l’adeguamento normativo — che risolve il problema una tantum ma lascia l’organizzazione priva di autonomia — ma dotarsi di persone in grado di presidiarle in modo continuativo.Cosa significa davvero formare per la complianceHo fondato Profice con una convinzione che, a distanza di quasi dieci anni, mi pare ancora più valida: non si forma per superare un esame. Si forma per acquisire la capacità di affrontare problemi reali. La distinzione è importante, e nella cybersecurity è cruciale.I professionisti che le organizzazioni cercano — e di cui hanno bisogno per la NIS2 — non sono quelli che hanno memorizzato un framework. Sono quelli che sanno fare un risk assessment reale su un sistema informatico reale, che sanno condurre un audit interno con metodo, che sanno costruire un piano di business continuity che regga davvero sotto pressione, che sanno dialogare con il management spiegando il rischio in termini di impatto sul business, non di vulnerabilità tecniche.Questa è formazione executive. È diversa, per approccio e per risultati, dalla formazione di base. E richiede docenti che siano prima di tutto professionisti attivi, che portano in aula casi concreti, non slide teoriche. Richiede percorsi strutturati che preparino all’esame di certificazione ma vadano oltre: che costruiscano la capacità di applicare le competenze in contesti organizzativi complessi e in evoluzione normativa continua.Non è un caso che le grandi organizzazioni — banche, assicurazioni, grandi aziende IT, Pubblica Amministrazione centrale — abbiano storicamente investito su questo tipo di formazione. Il problema è che oggi, con la NIS2, questa necessità si estende a un universo molto più ampio di soggetti: aziende di medie dimensioni, enti pubblici locali, fornitori di servizi digitali che fino a ieri si consideravano fuori perimetro.Adeguarsi alla NIS2 entro il 2026Con le scadenze che si avvicinano, la domanda pratica che mi viene posta sempre più spesso è: da dove si comincia? La risposta onesta è: dipende da dove si è. Ma alcuni passaggi sono quasi sempre necessari, indipendentemente dalla dimensione e dal settore.Il primo è una mappatura realistica delle competenze esistenti all’interno dell’organizzazione. Non un inventario dei titoli, ma una valutazione effettiva di chi sa fare cosa, rispetto ai requisiti specifici della NIS2 e del framework ACN. Questa gap analysis sulle persone è spesso più rilevante — e più scomoda — di quella sulle tecnologie.Il secondo è la definizione di un piano di formazione strutturato, approvato formalmente dal management (come del resto richiede la stessa NIS2 al punto PR.AT-01 dell’Appendice C del decreto), che includa percorsi differenziati per ruolo: la formazione per il board è diversa da quella per il CISO, che è diversa da quella per l’IT security analyst, che è diversa da quella per il DPO. Ogni ruolo ha bisogni specifici, e una formazione indifferenziata non produce i risultati che la norma richiede.Il terzo è scegliere percorsi che culminino in certificazioni internazionali riconosciute. Non perché un pezzo di carta basti, ma perché la certificazione è l’unico modo per rendere la competenza verificabile — dall’esterno, da un auditor, da un potenziale cliente, da un organismo di vigilanza.Il quarto, spesso trascurato, è costruire un sistema di aggiornamento continuativo. La NIS2 non è un adeguamento una-tantum. Il panorama delle minacce evolve, gli standard si aggiornano, le prassi cambiano. Una certificazione conseguita oggi deve essere mantenuta nel tempo. Questo richiede un investimento strutturale nella formazione, non un acquisto episodico.Una questione di sistema per aziende e istituzioniChiudo con una considerazione che va oltre il perimetro delle singole organizzazioni. Il gap di competenze in cybersecurity non è un problema che si risolve azienda per azienda. È un problema di sistema, che richiede risposte sistemiche.Richiede che le università e gli ITS Academy integrino curricula più orientati alla certificazione professionale e al mercato del lavoro reale. Richiede che le istituzioni — a partire dall’ACN — continuino a sviluppare programmi nazionali di formazione e awareness, estendendo il presidio oltre le grandi organizzazioni. Richiede che le aziende smettano di considerare la formazione come un costo variabile da tagliare nei momenti di difficoltà, e inizino a trattarla come un investimento strategico con un ritorno misurabile.E richiede, infine, che chi lavora nella formazione professionale — come facciamo noi da quasi dieci anni — continui ad alzare gli standard, a mantenere relazioni solide con gli enti di certificazione internazionale, a portare in aula la qualità che il mercato oggi richiede e che le norme domani renderanno obbligatoria.La NIS2 è una scadenza. Ma il problema che mette in luce — la distanza tra il livello di competenze disponibile e quello necessario per un’Italia digitalmente sicura — è una sfida di lungo periodo. Che vale la pena affrontare adesso, prima che ottobre.