Board cyber literacy: quando il consiglio di amministrazione non capisce la sicurezza
La NIS2 ha spostato la responsabilità cyber ai vertici aziendali. Ma i consiglieri sono davvero pronti ad assumerla? Un’analisi del gap di cyber literacy e competenze nei board italiani, delle iniziative formative in campo, e dei modelli di reporting che possono colmare la distanza tra sala server e sala del consiglio.
Il paradosso della responsabilità senza comprensione
C’è una tensione strutturale al cuore della governance della cybersecurity nelle organizzazioni italiane, ed è una tensione che la normativa ha reso improvvisamente visibile: chi ha il potere di decidere non ha sempre gli strumenti per capire cosa sta decidendo.
Nel corso del 2025, migliaia di amministratori delegati e membri dei consigli di amministrazione hanno ricevuto richieste inusuali: registrarsi sulla piattaforma governativa NIS e prendere atto della loro designazione come soggetti potenzialmente responsabili dell’attuazione degli obblighi di cybersecurity della loro organizzazione. Le reazioni sono state spesso di sorpresa o scetticismo. Non è difficile capire perché: per decenni, la sicurezza informatica era stata considerata materia da tecnici, relegata agli uffici IT con budget residuali e visibilità minima nel dibattito strategico apicale.
La NIS2 ha rotto quel modello. Ma la rottura normativa non corrisponde automaticamente a una rottura culturale, e il divario tra ciò che la legge impone e ciò che i consiglieri sanno fare rimane uno dei nodi irrisolti della governance italiana.
Cosa impone la NIS2 ai vertici aziendali
Il D.Lgs. n. 138 del 4 settembre 2024, all’art. 23, stabilisce che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica, sovrintendono all’implementazione degli obblighi del decreto, sono responsabili delle violazioni del decreto stesso, sono tenuti a seguire una formazione specifica in materia di sicurezza informatica e a promuovere l’offerta periodica di una formazione analoga ai propri dipendenti.
La radice di questa scelta non è arbitraria. Il decreto non introduce una nuova responsabilità, ma esplicita come quelle già previste dal diritto civile si applichino alla cybersecurity, oggi riconosciuta come rischio strategico e non solo tecnico. Nel diritto italiano, il CdA ha responsabilità sull’allocazione delle risorse, sull’approvazione delle strategie e sulla supervisione dei rischi. La cybersecurity ricade pienamente in quest’ultimo ambito come tema di governance, non come attività tecnica.
Le conseguenze di una governance insufficiente sono concrete e personali. In caso di mancata osservanza degli obblighi relativi alla gestione del rischio e alla notifica degli incidenti, per i soggetti essenziali le sanzioni arrivano fino a 10.000.000 euro o al 2% del fatturato annuo mondiale dell’esercizio precedente; per i soggetti importanti fino a 7.000.000 euro o all’1,4% del fatturato. Nei confronti degli organi di amministrazione e direttivi, l’ACN può inoltre erogare la sanzione amministrativa accessoria dell’incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto.
Qualsiasi assetto in cui la sicurezza sia delegata esclusivamente al CISO, senza flussi informativi e decisionali verso il vertice, risulta strutturalmente non conforme. Le evidenze richieste dalla norma includono delibere formali, registri di formazione e flussi di reporting tracciabili.
La resistenza silenziosa dei board
Eppure, la risposta del mondo corporate italiano a questa chiamata di responsabilità è stata, nella migliore delle ipotesi, ambivalente. Il numero di richieste di chiarimento ricevute da ACN conferma la diffusione del tema: nel corso del 2025 sono arrivati circa mille ticket da parte di organizzazioni che cercavano di evitare o ridurre il coinvolgimento del CdA. L’obiezione ricorrente era la seguente: perché chiedere a soggetti così impegnati di entrare sulla piattaforma e prendere atto della loro presenza nell’elenco dei responsabili ai fini dell’applicazione delle sanzioni?
La risposta dell’ACN è stata netta: non si tratta di una formalità amministrativa, ma di un atto di consapevolezza con valore giuridico e organizzativo. La vigilanza richiesta al CdA non è operativa, perché i consiglieri non sono chiamati a valutare configurazioni firewall o a leggere log di sicurezza, ma è strategica nel senso più preciso: approvazione delle priorità, supervisione dei piani di attuazione, allocazione delle risorse.
La delibera del CdA deve riguardare la definizione del modello di gestione del rischio cyber adottato dall’organizzazione, l’individuazione delle responsabilità e delle linee di reporting, l’allocazione delle risorse economiche e umane necessarie, la definizione degli obiettivi di sicurezza e dei relativi indicatori di performance, l’approvazione delle politiche di sicurezza. Tale approvazione non può limitarsi a una mera ratifica formale di quanto predisposto dalle funzioni tecniche, ma richiede un’effettiva comprensione e valutazione delle scelte strategiche in materia di cybersecurity.
Il problema reale non è la volontà di delegare, ma la capacità di supervisionare con cognizione di causa. Un board che non comprende la differenza tra un incidente di disponibilità e una violazione di dati personali, che non sa distinguere tra un rischio residuo accettato e uno non gestito, che non riesce a valutare se la proposta del CISO è equilibrata rispetto al contesto di minaccia: quel board non è in grado di esercitare la supervisione strategica che la norma gli impone, indipendentemente dalla firma che appone sulle delibere.
Il gap di cyber literacy: un problema europeo con caratteristiche italiane
Il fenomeno non è esclusivamente italiano, ma il contesto nazionale lo acuisce. Il Fortinet Cybersecurity Skills Gap Report 2025 evidenzia che il 49% dei leader non ritiene che i membri del proprio board siano consapevoli dei rischi posti dall’uso dell’intelligenza artificiale. Si tratta di un dato globale, ma che risuona con particolare intensità in un Paese dove la trasformazione digitale delle imprese è storicamente più lenta e la cultura manageriale ha radici in settori tradizionali con scarsa esposizione al rischio cyber.
Secondo la ricerca presentata dall’Osservatorio Cybersecurity del Politecnico di Milano il 26 febbraio 2026, il mercato italiano della cybersecurity ha raggiunto nel 2025 un valore di 2,78 miliardi di euro, con una crescita del 12% rispetto all’anno precedente. Una crescita significativa, ma che non cancella il ritardo strutturale: l’Italia rimane ultima nel G7 per investimenti in sicurezza informatica rispetto al PIL, con un rapporto dello 0,12% ancora distante dallo 0,34% degli Stati Uniti e dallo 0,29% del Regno Unito.
Il Cyber Index PMI 2025, promosso da Confindustria e Generali con il contributo scientifico degli Osservatori Digital Innovation del Politecnico di Milano e la collaborazione istituzionale dell’ACN, rileva che le piccole e medie imprese italiane raggiungono un livello di maturità in materia di sicurezza digitale pari a 55 punti su 100. Un risultato a metà strada: sufficiente sulla carta, ma non abbastanza in un contesto in cui gli attacchi crescono per frequenza e sofisticazione, tanto che quasi una PMI su quattro ha subito una violazione informatica negli ultimi tre anni.
Il quadro nelle grandi organizzazioni è più maturo sul piano tecnico, ma il divario tra CISO e board rimane una costante. Secondo i dati del rapporto IANS/Artico Search 2026, solo il 30% dei board descrive il proprio rapporto con il CISO come forte e collaborativo. Il dato è tanto più significativo perché la struttura formale del reporting sembra funzionare: il 95% dei CISO consegna aggiornamenti regolari al proprio board, ma il coinvolgimento rimane per lo più limitato all’ascolto e alla ricezione delle informazioni, senza approfondimento strategico né dialogo sulle implicazioni per il business.
Il paradosso è evidente: più report, meno comprensione. La frequenza non compensa la qualità del dialogo.
La frattura comunicativa tra CISO e consiglieri
Esiste una difficoltà strutturale nella comunicazione tra chi gestisce la sicurezza e chi deve governarla. Mentre l’82% dei board si dichiara soddisfatto del reporting del CISO sui trend normativi, solo il 47% è soddisfatto della sua capacità di articolare l’impatto delle minacce in evoluzione. In altri termini: i consiglieri capiscono le regole, ma non capiscono i rischi. Sanno cosa dice la legge, non sanno cosa significa per la loro organizzazione.
Questo scollamento ha due cause. La prima è tecnica: il linguaggio della cybersecurity, fatto di acronimi, classificazioni e scenari di attacco, è accessibile ai professionisti del settore ma ermetico per chi proviene da formazioni giuridiche, economiche o industriali. La seconda è strutturale: i CISO tendono storicamente a presentare metriche operative, come vulnerabilità rilevate, ticket chiusi e patch applicate, piuttosto che indicatori di rischio aziendale comprensibili al board.
La strategia vincente consiste nel fornire una fotografia completa che includa la prioritizzazione dei rischi e le possibili alternative di gestione. È fondamentale che l’organo decisorio comprenda che un rischio lo si può tenere in casa, esternalizzare o gestire, e che in ultima analisi la decisione finale spetta a chi ha il potere di firma e di spesa.
Questa consapevolezza richiede che il CdA possa ragionare in termini di accettazione del rischio, non solo di conformità normativa. E per ragionare così, è necessario un livello minimo di alfabetizzazione cyber: non tecnica, ma strategica.
La formazione obbligatoria: opportunità o adempimento?
Per gli organi direttivi, la formazione prevista dalla NIS2 deve concentrarsi sul quadro normativo, sulla comprensione del contesto di minaccia, sul ruolo del board nella gestione degli incidenti e sulle responsabilità legali. Il piano formativo deve essere approvato formalmente dal Consiglio di Amministrazione, documentato in modo puntuale e integrato con la formazione obbligatoria prevista dal GDPR.
L’obbligo di formazione sarà pienamente operativo entro ottobre 2026, ma è fondamentale iniziare subito: strutturare un piano formativo richiede tempo. In caso di incidente, la mancanza di formazione documentata aggrava enormemente la posizione dell’organizzazione, anche prima della scadenza formale. Strutturare un piano formativo richiede tempo, dalla selezione dei contenuti all’approvazione del CdA, e l’ACN ha già avviato le attività di verifica.
Il rischio, però, è che la formazione venga vissuta come un adempimento da certificare piuttosto che come un’occasione di trasformazione culturale. Una sessione di quattro ore l’anno non cambia i modelli mentali con cui un consigliere affronta il rischio digitale. La vera sfida è costruire una cyber literacy duratura, capace di evolvere con il panorama delle minacce.
Alcune organizzazioni stanno sperimentando formati più efficaci: simulazioni di crisi (tabletop exercise) in cui il board viene messo di fronte a scenari reali e deve prendere decisioni sotto pressione; briefing periodici sugli incidenti più rilevanti del settore, tradotti in implicazioni strategiche; workshop con scenari ipotetici che forzano i consiglieri a ragionare sul trade-off tra continuità operativa, reputazione e spesa in sicurezza.
Agli amministratori non è richiesta una competenza tecnica approfondita, ma una digital literacy sufficiente per esercitare una supervisione efficace: saper interpretare correttamente i dati di sicurezza per tradurli in decisioni strategiche informate e riconoscere le implicazioni di business, collegando gli aspetti tecnici della sicurezza agli obiettivi strategici e operativi dell’azienda. Non si tratta di formare CISO onorari, ma di costruire interlocutori consapevoli.
Modelli di reporting efficace dal CISO al CdA
Il reporting al board è uno dei punti di attrito più frequenti nell’ecosistema della governance cyber. Troppo tecnico, e il board si spegne. Troppo generico, e il board approva senza capire. La ricerca di un equilibrio è al centro del dibattito tra i CISO più esperti.
I responsabili della sicurezza informatica devono sviluppare dashboard esecutive che traducano la complessità tecnica in indicatori comprensibili e azionabili, fornendo contesto e interpretazione ai dati presentati. È loro compito proporre opzioni decisionali chiare con relativi impatti e trade-off, comunicando in modo efficace il rapporto tra investimenti in sicurezza e riduzione del rischio. Dal canto loro, gli amministratori devono richiedere attivamente informazioni rilevanti e sviluppare la capacità di interpretare correttamente i dati forniti.
Alcuni principi emergono con chiarezza dalla pratica più avanzata. Il primo è la centralità del rischio di business, non del rischio tecnico: anziché presentare il numero di vulnerabilità rilevate, il CISO efficace presenta la probabilità che un incidente comprometta la continuità di un processo critico, con stima dell’impatto economico. Il secondo è la logica della decisione: ogni report dovrebbe concludersi con una o più opzioni che il board può scegliere, ciascuna con il suo profilo di rischio/costo. Il terzo è la contestualizzazione settoriale: citare incidenti analoghi avvenuti in organizzazioni simili fa sì che i consiglieri percepiscano il rischio come reale e prossimo, non come un’astrazione statistica.
La domanda più pratica che i board possono porsi nel 2026 non è “Abbiamo un CISO?” ma “Cosa è autorizzato a decidere il nostro CISO?“. Nelle organizzazioni più mature, il CISO ha acquisito diritti decisionali specifici che influenzano roadmap di prodotto e allocazione del capitale.
Best practice di governance cyber a livello apicale
Le organizzazioni che hanno affrontato con maggiore maturità la trasformazione imposta dalla NIS2 mostrano alcune caratteristiche comuni.
La prima è la presenza di un referente cyber nel board stesso: un consigliere con background digitale, o un comitato specifico per i rischi tecnologici, che funge da ponte tra le esigenze del CISO e il linguaggio del board. Non si tratta necessariamente di un esperto di cybersecurity: può essere un consigliere con forte formazione in risk management, capace di tradurre e contestualizzare.
La seconda è la distinzione chiara tra le responsabilità strategiche del CdA e quelle operative degli organi direttivi. Gli organi direttivi, che operano su delega degli organi di amministrazione, hanno responsabilità operative: attuazione concreta delle misure approvate, supervisione dell’implementazione tecnica, monitoraggio continuo dell’efficacia delle misure, reporting periodico al Consiglio di Amministrazione. Confondere questi livelli genera paralisi: o il board si occupa di dettagli tecnici che non gli competono, o delega senza criterio responsabilità che la legge gli attribuisce direttamente.
La terza è l’integrazione della cybersecurity nei processi di risk governance già esistenti. Anziché creare un canale separato per il rischio cyber, le organizzazioni più efficaci lo inseriscono nella mappa dei rischi aziendali, con la stessa metodologia utilizzata per il rischio operativo, legale o reputazionale. Questo permette al board di confrontare e bilanciare il rischio cyber con altri rischi strategici, invece di trattarlo come una categoria a parte, incomprensibile e perciò tendenzialmente sovrastimata o sottostimata.
La governance abilita il risk management; il risk management orienta le misure tecniche; le misure tecniche devono essere testate; i test devono generare evidenze; le evidenze devono alimentare un ciclo di miglioramento continuo. È questa la logica che la NIS2 vuole consolidare: non una fotografia statica di conformità, ma un sistema dinamico di accountability.
Conclusioni: responsabilità senza conoscenza è solo firma
La NIS2, recepita in Italia con il D.Lgs. 138/2024 entrato in vigore il 16 ottobre 2024, ha fatto qualcosa di storicamente significativo: ha reso la cybersecurity una questione di governance, non solo di tecnica. Ha spostato la firma da un documento IT a una delibera di consiglio. Ha assegnato al management apicale una responsabilità personale su un dominio che la maggior parte dei consiglieri italiani non ha mai dovuto padroneggiare.
Il rischio, ora, è che si risponda a questo cambiamento con un adeguamento formale: si firmano le delibere, si organizzano i corsi obbligatori, si produce la documentazione richiesta da ACN. E poi il board torna a non capire cosa il CISO sta davvero chiedendo, e il CISO torna a presentare slide incomprensibili in dieci minuti a fine agenda.
La vera trasformazione è più difficile, e più urgente. Richiede che i consiglieri costruiscano una literacy cyber sufficiente a porre le domande giuste: non a dare le risposte, ma a capire se le risposte che ricevono sono adeguate. Richiede che i CISO imparino a parlare il linguaggio del rischio aziendale prima ancora di quello della sicurezza tecnica. Richiede che le organizzazioni smettano di trattare la governance cyber come adempimento normativo e la riconoscano per quello che è: un presidio strategico in un contesto in cui gli attacchi informatici hanno effetti diretti su continuità operativa, reputazione e valore.
Come ha affermato Alessandro Piva, direttore dell’Osservatorio Cybersecurity & Data Protection, la NIS2 sta trasformando la cybersecurity da questione tecnica a priorità strategica per i board aziendali, e con tutta probabilità nei prossimi mesi si assisterà a un’ulteriore forte spinta degli investimenti, soprattutto per quelle realtà che negli anni hanno disposto di budget meno rilevanti e devono colmare un gap. Ma colmare il gap finanziario senza colmare quello culturale è una strategia incompleta. E ottobre 2026, con le sue scadenze e le sue ispezioni, non aspetta.
