Il Gruppo di Ricerca “AIEAforNIS2” è un Gruppo di Ricerca congiunto tra AIEA – ISACA Milan Chapter e CLUSIT che ha coinvolto 39 professionisti che, su pura base volontaria, hanno analizzato la Direttiva NIS2 e la sua adozione.
La Direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, introduce obblighi stringenti per la governance della cybersicurezza, imponendo alle organizzazioni essenziali e importanti l’adozione di misure tecniche, organizzative e procedurali proporzionate al rischio. Questo paper analizza un framework integrato per la conformità alla NIS2, articolato in tre macro-aree: modello di governance e management, gestione del rischio nella supply chain e incident management. Viene proposto un modello organizzativo che integra principi di accountability, segregazione dei ruoli e miglioramento continuo, allineato a standard internazionali (ISO/IEC 27001, GDPR, Modello 231). Sono dettagliate le policy chiave per la sicurezza dei sistemi, la gestione del rischio, la continuità operativa, la sicurezza della catena di fornitura e la formazione del personale. Il paper definisce processi di due diligence sui fornitori, clausole contrattuali per la resilienza della supply chain e metodologie di audit periodico. Viene presentato un modello di gestione degli incidenti conforme alle linee guida ACN ed ENISA, con procedure di notifica, piani di risposta e test di efficacia. L’approccio proposto consente di trasformare la compliance normativa in leva strategica, riducendo il rischio legale e reputazionale e rafforzando la resilienza operativa delle organizzazioni.
Il Gruppo di Ricerca è stato coordinato da:
- Giulia Palmarini, Internal Audit – Recordati.
- Luca Savoia, Partner Forvis Mazars.
- Arianna Pellati, Manager Forvis Mazars.
- Luca Verdolini, Senior Forvis Mazars.
- Claudio Telmon, Consigliere Clusit e Partner P4I.
La fase 1 di questo Gruppo di Ricerca, conclusasi a Febbraio 2026, ha prodotto il Paper “AIEAforNIS2: Network Information Security 2” liberamente scaricabile qui sotto, e che è distribuito secondo la licenza Common Creative CC-BY-SA.
Un secondo Gruppo di Ricerca “AIEAforNIS2: Fase 2” sta ora proseguendo l’analisi degli aggiornamenti alla Normativa.
Il Gruppo di Ricerca AIEAforNIS2 è contattabile all’indirizzo aieafornis2@isaca.mi.it.
AIEA FOR NIS2: Network and Information System 2 – Formato A4
AIEA FOR NIS2: Network and Information System 2 – Formato A5