• Collegamento a LinkedIn
  • Collegamento a Instagram
  • Collegamento a Facebook
  • AREA RISERVATA
A Padova dal 1969.
Schiavon Sistemi
  • HOME
  • STAMPANTI MULTIFUNZIONE
  • SOLUZIONI VISUAL
    • MONITOR PER SALE RIUNIONI
      • PRENOTAZIONE DEMO MONITORI INTERATTIVI
  • HW & SERVIZI IT
  • TELEFONIA
    • VIANOVA
    • VOISPEED
  • CONSULENZA NIS2
  • SMALTIMENTO TONER
    • RITIRO GREENBOX
    • PREVENTIVO GREENBOX
  • NEWS
  • AZIENDA
    • LA STORIA DI SCHIAVON SISTEMI
    • LAVORA CON NOI
    • FAQ
  • CONTATTACI
  • Fare clic per aprire il campo di ricerca Fare clic per aprire il campo di ricerca Cerca
  • Menu Menu
Responsabilità cybersecurity aziendale: cosa cambia con la NIS2

Chi è davvero responsabile in azienda?

Con la nuova direttiva NIS2 la sicurezza informatica smette di essere un tema tecnico e diventa una questione di governance. In questo articolo vediamo chi risponde davvero della cybersecurity in azienda, cosa cambia con il D.Lgs. 138/2024 e come le imprese possono organizzarsi per essere in regola entro il 31 ottobre 2026.


Un ransomware blocca i server. I clienti aspettano una risposta. I dipendenti non sanno se possono lavorare. Nella riunione d’emergenza che segue, la domanda che tutti si pongono non è “come è successo?”, ma un’altra, più scomoda: chi risponde adesso?

Fino a poco tempo fa la risposta sarebbe stata quasi automatica: “l’IT”. Il responsabile informatico, o il consulente esterno che gestisce i sistemi. Con l’entrata in vigore della direttiva NIS2 – recepita in Italia con il D.Lgs. 138/2024 – questa risposta non basta più.

La responsabilità sale ai vertici

La responsabilità cybersecurity aziendale non è più solo un tema tecnico.

L’articolo 20 della direttiva è molto chiaro: la responsabilità di approvare le misure di gestione dei rischi di cybersecurity e di vigilarne l’attuazione ricade direttamente sugli organi di gestione. In una società di capitali significa il Consiglio di Amministrazione. In una PMI significa l’amministratore, il titolare, chi guida.

Non si tratta di una formalità. Il CdA non firma un documento e si mette a posto: deve approvare formalmente le misure, riceverne informative periodiche, garantire che il tema resti sul tavolo. La responsabilità è personale e non delegabile a livello di principio, anche se in pratica l’esecuzione tecnica viene affidata a chi di dovere.

E le sanzioni sono all’altezza del principio: fino a 10 milioni di euro o al 2% del fatturato globale annuo per i soggetti essenziali, fino a 7 milioni o all’1,4% per quelli importanti. Considerando che secondo AON solo il 58% delle aziende dell’area EMEA è oggi conforme alle misure NIS2, il margine di rischio è ampio.

La convinzione che frena molte aziende

C’è una convinzione ancora radicata in molte imprese: “la sicurezza informatica se la gestisce il tecnico”. È una semplificazione che oggi non regge più, e per due motivi.

Il primo, quello normativo, l’abbiamo appena visto: chi risponde davanti alla legge è il vertice, non il fornitore IT.

Il secondo è più sottile ma altrettanto importante. La sicurezza informatica non è solo un tema tecnico: è organizzativo, procedurale e culturale. Definire chi può accedere a cosa, come si gestisce un incidente, quali dati vanno protetti, come si formano i dipendenti, che regole valgono per i fornitori. Tutte scelte che il tecnico può eseguire, ma che deve prendere qualcun altro.

I quattro sguardi sulla cybersecurity

In un’azienda che affronta seriamente la conformità NIS2, la sicurezza non è responsabilità di una sola figura. È il risultato di quattro sguardi complementari.

Il CEO cerca una visione chiara e misurabile: la sicurezza deve proteggere il business e renderlo competitivo, non essere un peso.

Il CFO vuole proteggere l’azienda dai rischi finanziari — le sanzioni, il costo di un attacco, il mancato risarcimento di un’assicurazione se non si è in regola. Il suo compito è dimostrare che gli investimenti in sicurezza creano valore, non solo costi.

Il CTO garantisce che le tecnologie adottate siano efficienti, integrate, capaci di sostenere l’innovazione senza esporre l’azienda a nuovi rischi.

L’IT Manager ha il compito di mettere tutto questo in pratica, implementando soluzioni che funzionino davvero, senza sprechi o complessità inutili.

Nelle PMI questi ruoli spesso si sovrappongono su poche persone — a volte una sola. Va bene: quello che conta non è avere quattro figure distinte, ma avere in mente tutti e quattro gli sguardi e non tralasciarne nessuno.

La responsabilità non si ferma ai confini dell’azienda

Un aspetto che molti sottovalutano: la responsabilità NIS2 riguarda anche chi, formalmente, non è tra i soggetti obbligati.

Le aziende soggette alla direttiva devono garantire la sicurezza della propria filiera. Nel breve periodo (e in molti casi già oggi) i clienti chiedono ai fornitori evidenze documentali sulla conformità: policy, procedure, certificazioni. Chi non le ha rischia di uscire dalle gare, di perdere contratti, di essere sostituito da un fornitore più preparato.

Questo significa che anche una PMI “non obbligata” ha ottime ragioni per adeguarsi: essere in regola diventa un vantaggio competitivo, non solo un adempimento.

Cosa serve fare, in pratica

Adeguarsi alla NIS2 non è solo installare qualche software di sicurezza in più. Significa avere procedure organizzative che garantiscano continuità operativa nei momenti di crisi, una documentazione formale che dimostri la conformità, ruoli chiari con responsabilità definite e assunte.

In concreto, il pacchetto minimo di documenti e procedure include: una Policy IT che stabilisca come dipendenti e fornitori usano i sistemi aziendali; una Cyber Security Policy che formalizzi obiettivi, controlli e ruoli; una procedura di notifica degli incidenti che rispetti i tempi imposti dalla direttiva (24 e 72 ore); una procedura di Data Breach che definisca le azioni immediate in caso di violazione; un Incident Response Plan per reagire con ordine; politiche di Cyber Hygiene che formino i dipendenti sui comportamenti quotidiani; e infine le nomine formali dei ruoli di sicurezza — perché, come si dice, sicurezza senza responsabili non è sicurezza.

È un lavoro che poche aziende possono portare a termine solo con risorse interne, sia per competenze specifiche che per il tempo che richiede. Noi di Schiavon Sistemi affianchiamo le aziende in questo percorso con un team specializzato in cybersecurity con focus su NIS2, CRA e ISO/IEC 27001, e un approccio che parte sempre dall’analisi del contesto reale del cliente: mappatura degli asset, valutazione dei fornitori critici, definizione delle priorità di intervento e implementazione delle procedure lavorando insieme ai team interni, per ridurre al minimo l’impatto operativo. L’obiettivo non è consegnare un plico di documenti, ma costruire una struttura di sicurezza che regge davvero — e che il CdA può firmare con cognizione di causa.

Il tempo per muoversi è ora

Entro il 31 ottobre 2026 le procedure devono essere approvate dal CdA. Sembra una data lontana: non lo è, se si considera il tempo necessario per analizzare l’azienda, coinvolgere i team interni, formalizzare policy e procedure, informare i vertici, ricevere l’approvazione formale.

La domanda “chi è davvero responsabile?” oggi ha una risposta chiara: chi guida l’azienda. Ma la domanda successiva – “chi ci aiuta a essere in regola?” – è altrettanto importante. Vale la pena porsela mentre c’è ancora tempo per rispondere con calma.


Vuoi capire meglio cosa prevede la NIS2 e se la tua azienda è coinvolta? Scarica la guida gratuita: 6 pagine sintetiche, con una checklist di 5 domande per l’auto-verifica.

Articoli recenti

  • Responsabilità cybersecurity aziendale: cosa cambia con la NIS2
  • Sicurezza delle stampanti: come proteggere i dati aziendali
  • Telefonia fissa aziendale: scegli un partner affidabile.
  • Noleggio stampante multifunzione aziende: cosa include il servizio di Schiavon Sistemi
  • Workplace Pure Konica Minolta: la piattaforma cloud per semplificare il lavoro in ufficio
Search Search

DOVE SIAMO

La nostra sede è a Padova: operiamo principalmente nelle province di Padova, Vicenza, Venezia, Treviso, Rovigo, ed in tutto il Veneto.

SEDE

Via Silvio Pellico, 3A

35129 – PADOVA
Tel. 049 77 25 18
Fax 049 77 40 88
info@schiavonsistemi.it

i nostri uffici sono aperti
dal lunedì al venerdì
08:30 – 12:30
14:00 – 18:00

 

P.IVA e CF: 00272750282

CODICE SDI: T04ZHR3

Privacy Policy

Cookie Policy

© Copyright 2023 - Schiavon Sistemi S.r.l. - Tutti i diritti riservati - P.IVA e C.F. 00272750282 - R.E.A. 124017/PD - cap. soc. € 110.000 I.V.
  • Collegamento a LinkedIn
  • Collegamento a Instagram
  • Collegamento a Facebook
Collegamento a: Sicurezza delle stampanti: come proteggere i dati aziendali Collegamento a: Sicurezza delle stampanti: come proteggere i dati aziendali Sicurezza delle stampanti: come proteggere i dati aziendali
Scorrere verso l’alto Scorrere verso l’alto Scorrere verso l’alto