ISO 27001 e NIS2:
la certificazione basta per essere conformi?

Negli ultimi mesi una domanda ricorrente arriva dai consigli di amministrazione di aziende mid-market: «siamo certificati ISO/IEC 27001:2022, basta per la NIS2?». La risposta breve è no, e merita di essere argomentata. La certificazione fornisce una macchina organizzativa — il sistema di gestione per la sicurezza delle informazioni — che si avvicina molto a quanto richiesto dalla normativa, ma diverse aree restano scoperte. Alcune di queste, come vedremo, ricadono direttamente sulle persone fisiche apicali, non sull’organizzazione.

Due nature normative diverse

ISO/IEC 27001:2022 è uno standard volontario internazionale che certifica un sistema di gestione (ISMS, Information Security Management System). L’organizzazione definisce il proprio scope nello Statement of Applicability, seleziona i controlli pertinenti dall’Annex A, dimostra in audit di gestirli con continuità e ottiene un certificato rilasciato da un ente accreditato.

La Direttiva (UE) 2022/2555 — recepita in Italia dal Decreto legislativo 4 settembre 2024, n. 138 — è invece una norma cogente settoriale. Si applica per criteri oggettivi di settore e dimensione (la cosiddetta size-cap rule estesa a 18 settori, di cui 11 ad alta criticità (Allegato I) e 7 altri settori critici (Allegato II)), impone obblighi tecnici e organizzativi minimi e prevede una vigilanza pubblica esercitata dall’ACN (Agenzia per la Cybersicurezza Nazionale), allineata per sistema sanzionatorio al GDPR. La Determinazione del Direttore generale ACN n. 379907 del 19 dicembre 2025 articola le specifiche di base per gli adempimenti di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS, organizzate secondo il Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP) edizione 2025.

Tradotto: ISO 27001 dimostra che l’organizzazione governa la propria sicurezza in un perimetro che ha scelto. La NIS2 stabilisce che, se un’azienda rientra nei settori coperti dal decreto e supera i massimali dimensionali, deve adottare misure specifiche, comunicare incidenti in tempi certi e renderne conto a un’autorità pubblica.

Dove la certificazione copre bene

Una ISO 27001:2022 ben implementata copre molto del lavoro che la NIS2 richiede. Il mapping ENISA pubblicato a giugno 2025 (Technical Implementation Guidance — Mapping table v1.0) mostra che la maggior parte dei controlli ISO/IEC 27001:2022 trova corrispondenza nei requisiti NIS2 declinati dal Regolamento di esecuzione (UE) 2024/2690: la sovrapposizione è ampia e riguarda politiche di sicurezza, gestione del rischio, gestione degli incidenti, sicurezza della catena di approvvigionamento ICT (controllo A.5.21), continuità operativa, crittografia, controllo degli accessi, formazione e igiene di base. Per l’organizzazione che già opera con un ISMS maturo, costruire la postura NIS2 significa in larga misura riallineare ciò che esiste, non ripartire da zero.

Resta un’area dove la sovrapposizione non è automatica: riguarda elementi di natura sostanzialmente diversa rispetto a uno standard di sistema di gestione. Sono i sette gap che esaminiamo nelle prossime pagine, prima di affrontare un equivoco frequente — quello fra soggetto NIS2 e fornitore di soggetto NIS2 — e la responsabilità personale dei vertici aziendali.

Sette gap reali tra ISO 27001 e NIS2

1. Perimetro applicativo

ISO 27001 certifica lo scope dichiarato dall’organizzazione. Una holding può scegliere di certificare solo la capogruppo, escludendo controllate; un’industria manifatturiera può limitare il perimetro alla sede centrale, escludendo stabilimenti periferici. È una scelta legittima dello standard: la certificazione vale per ciò che è stato sottoposto ad audit.

La NIS2, all’opposto, si applica al soggetto giuridico per intero, in funzione del settore e della dimensione. Se l’organizzazione rientra nel perimetro del decreto, gli obblighi valgono per tutto il soggetto: lo scope ISO non costituisce un argomento difensivo davanti all’ACN. È uno dei primi disallineamenti che emergono in fase di gap analysis, e impone una rilettura dello Statement of Applicability esistente alla luce dell’effettivo perimetro applicativo del decreto.

2. Responsabilità personale degli organi di amministrazione

L’articolo 23 del D.Lgs. 138/2024 introduce un cambio di paradigma rispetto alla logica certificatoria: assegna ai vertici aziendali — gli «organi di amministrazione e direttivi» — l’obbligo personale di approvare le modalità di implementazione delle misure di gestione del rischio, sovrintendere all’attuazione degli obblighi del Capo IV e seguire una formazione specifica in materia di sicurezza informatica. È formazione, non semplice sensibilizzazione: l’obbligo richiede l’acquisizione di competenze proprie della funzione, non un seminario di un’ora.

A questo si aggiunge il comma 5 dell’articolo 38, che stabilisce la responsabilità cumulativa: «qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale… può essere ritenuta responsabile dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui ha rappresentanza». Approfondiremo questa figura in una sezione dedicata, ma il punto va annotato qui: la NIS2 italiana segna la fine della delega senza vigilanza. ISO 27001 non contiene nulla di equivalente.

3. Notifica degli incidenti significativi

L’articolo 25 del decreto fissa tempi precisi: pre-notifica al CSIRT Italia entro 24 ore dall’evidenza dell’incidente, notifica completa con i dettagli tecnici entro 72 ore, relazione finale entro un mese. La parola chiave è evidenza: il termine decorre dal momento in cui il soggetto acquisisce evidenza oggettiva dell’incidente, non dal momento in cui l’incidente si è materialmente verificato. Su questo specifico punto ACN ha fornito un chiarimento all’evento Clusit del 29 aprile 2026, ricordando che l’organizzazione deve poter distinguere chiaramente cinque momenti: occorrenza, rilevazione, evidenza, valutazione di significatività, attivazione della pre-notifica.

La Determinazione 379907/2025 articola inoltre quattro categorie di incidente significativo (IS-1: perdita di riservatezza verso l’esterno; IS-2: perdita di integrità con impatto verso l’esterno; IS-3: violazione dei livelli di servizio attesi sulla base degli SL definiti dalla misura DE.CM-01 del Framework Nazionale, dedicata al monitoraggio continuo dei livelli di servizio; IS-4: accesso non autorizzato o con abuso dei privilegi). Le prime tre si applicano ai soggetti importanti ed essenziali, IS-4 ai soli essenziali. L’obbligo di notifica di base decorre da gennaio 2026 per i soggetti che hanno ricevuto la prima comunicazione di inserimento nell’elenco NIS lo scorso aprile, e da date successive per i soggetti aggiunti nel 2026 (Determinazione 127434/2026). ISO 27001 prescrive un processo di gestione degli incidenti, ma non impone questi tempi né questa tassonomia.

4. Misure tecniche minime obbligatorie

L’articolo 24 elenca dieci ambiti di misure cogenti che spaziano dall’analisi del rischio alla gestione degli incidenti, dalla continuità operativa alla sicurezza della catena di approvvigionamento, dallo sviluppo sicuro e dalla gestione delle vulnerabilità alle politiche di crittografia, dal controllo degli accessi all’autenticazione a più fattori, fino alle pratiche di igiene di base e alla formazione del personale. Sono obblighi assoluti, non controlli da selezionare in base allo scope come avviene nell’Annex A di ISO 27001.

La Determinazione 379907/2025 traduce i dieci ambiti in misure operative articolate secondo il FNCDP edizione 2025 — organizzate per funzioni, categorie, sottocategorie e requisiti — e differenziate per soggetti importanti (Allegato 1) e soggetti essenziali (Allegato 2), con il secondo più esteso. L’adozione completa è dovuta entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco — termine che, per i soggetti notificati nella prima ondata, scade in ottobre 2026. ISO 27001:2022 affronta gran parte di questi temi ma con un approccio diverso: i controlli dell’Annex A sono «pertinenti in funzione del SoA» e l’organizzazione li seleziona; l’art. 24 li impone tutti.

5. Sicurezza della supply chain

ISO 27001:2022 dedica alla supply chain i controlli A.5.19, A.5.20, A.5.21 e A.5.22 — gestione delle relazioni con i fornitori, accordi sulla sicurezza nelle clausole contrattuali, gestione della sicurezza nella catena di approvvigionamento ICT, monitoraggio dei servizi forniti. L’articolo 24, lettera d) del decreto NIS è più prescrittivo: include esplicitamente «gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi». L’obbligo non è scegliere il livello di profondità in base allo SoA, ma garantire la copertura.

ACN, all’evento Clusit del 29 aprile 2026, ha ulteriormente chiarito che la categoria di «fornitore rilevante» include anche fornitori non ICT non fungibili — un produttore di componente esclusivo, un servizio logistico critico — la cui assenza compromette la continuità delle attività NIS dell’organizzazione. È una lettura più ampia di quella tipicamente adottata nel governo delle relazioni con i fornitori in ambito ISO.

6. Registrazione e mantenimento dell’iscrizione presso ACN

L’articolo 7 del D.Lgs. 138/2024 obbliga i soggetti rientranti nel perimetro a registrarsi sulla piattaforma ACN, designare un punto di contatto e un sostituto, e mantenere aggiornate le informazioni. La Determinazione 127437/2026 disciplina termini, modalità e procedimenti di accesso alla piattaforma e di designazione dei rappresentanti NIS. La Determinazione 155238/2026 introduce inoltre il modello di categorizzazione delle attività e dei servizi: dieci macro-aree predefinite, quattro categorie di rilevanza (impatto minimo, basso, medio, alto), finestra di compilazione dal 1° maggio al 30 giugno 2026 per la prima ondata di soggetti.

Sono adempimenti che non hanno corrispondenza in ISO 27001: lo standard chiede che l’organizzazione gestisca i rapporti con autorità competenti, ma non impone un censimento pubblico, un punto di contatto formale verso un’agenzia statale, né una categorizzazione strutturata su modello prescritto.

7. Vigilanza pubblica e sanzioni

ACN esercita poteri di esecuzione, verifica e ispezione che il legislatore ha allineato a quelli previsti dal GDPR. Le sanzioni amministrative pecuniarie per la mancata osservanza degli obblighi di gestione del rischio e di notifica degli incidenti (artt. 23, 24, 25) arrivano fino a 10 milioni di euro o al 2% del fatturato annuo mondiale dell’esercizio precedente per i soggetti essenziali, e fino a 7 milioni o all’1,4% per i soggetti importanti, con minimi proporzionali.

È opportuno ricordare che ACN segue principi di proporzionalità: gli importi massimi rappresentano il tetto edittale, non la sanzione tipica. La modulazione caso per caso tiene conto di gravità, durata, eventuali precedenti, danno arrecato, intenzionalità o colpa, misure di mitigazione adottate, livello di collaborazione con l’autorità. Le prime contestazioni formali di rilievo sono attese tra fine 2026 e inizio 2027, ma l’attività di monitoraggio è in corso da mesi. Un audit ISO non irroga sanzioni amministrative: rileva non conformità che si chiudono con azioni correttive concordate con il certificatore.

Soggetto NIS2 o fornitore di soggetto NIS2?

Una distinzione che genera confusione frequente: essere fornitore di un soggetto NIS2 non rende automaticamente fornitori di servizi essenziali ai sensi del decreto. La qualificazione formale come soggetto NIS dipende da settore e dimensione propri, non dall’identità dei propri clienti.

Esiste però una cascade contrattuale che è bene non sottovalutare. L’articolo 24, lettera d) impone al soggetto NIS di gestire la sicurezza dei rapporti con i propri fornitori diretti, e ACN — nel modello di censimento dei fornitori rilevanti previsto dalla piattaforma — distingue fornitura ICT, fornitura non fungibile e fornitura ICT non fungibile. Nella pratica, questo significa che nei rinnovi contrattuali del 2026 e del 2027 i clienti NIS2 trasferiranno via contratto requisiti di sicurezza più stringenti: clausole su tempi di patch, segnalazione di vulnerabilità, durata del supporto, certificazioni richieste, audit a campione, riservatezza degli incidenti. Esempi tipici che già si vedono nei contratti del 2026: patching delle vulnerabilità critiche entro tempi predefiniti, diritto di audit periodico del fornitore, obbligo di segnalazione al cliente di incidenti che impattano il servizio entro 24 ore, mantenimento di certificazioni di sicurezza dichiarate al momento dell’aggiudicazione.

Per chi è fornitore di un soggetto NIS senza esserlo direttamente, la postura ISO 27001:2022 diventa un argomento commerciale rilevante e una base operativa più rapida da estendere alle nuove richieste contrattuali. Non è obbligo NIS, ma è una realtà di mercato che si sta consolidando rapidamente.

La responsabilità personale del board

Veniamo all’elemento che richiede più attenzione da parte dei vertici: la responsabilità personale degli organi di amministrazione e direttivi. L’articolo 23 del D.Lgs. 138/2024 — diretta trasposizione dell’articolo 20 della Direttiva NIS2 — non si limita a richiedere che l’organizzazione si organizzi: chiede che siano i vertici stessi ad approvare le modalità di implementazione delle misure, a sovrintendere all’attuazione, a ricevere informazione su base periodica o tempestiva degli incidenti notificati, a seguire formazione personale.

Il legislatore italiano ha rafforzato il quadro con l’articolo 38, comma 5, che istituisce la responsabilità cumulativa: l’organizzazione resta responsabile e l’autorità può, in aggiunta, ritenere responsabile la persona fisica apicale. Il parallelo più immediato, nella cultura giuridica italiana, è l’articolo 17 del D.Lgs. 81/2008 in materia di sicurezza sul lavoro: alcuni obblighi non sono delegabili. La delega tecnica al CISO o al provider esterno è ammissibile e necessaria, ma non esonera i vertici dall’obbligo di vigilanza, e implica che il delegato disponga di mezzi effettivi — risorse umane e materiali — per adempiere. Per i dipendenti pubblici apicali si aggiungono profili di responsabilità dirigenziale, disciplinare e amministrativo-contabile.

In sintesi: il vertice aziendale che approccia la NIS2 con la mentalità del «abbiamo l’IT, abbiamo l’ISO, dovremmo essere a posto» sta sottovalutando un aspetto che lo riguarda personalmente.

Roadmap di adeguamento a tre orizzonti

Per le organizzazioni già certificate ISO 27001:2022, il percorso di adeguamento alla NIS2 si articola ragionevolmente in tre orizzonti temporali:

• 1Immediato (entro 30 giorni) — verifica dell’iscrizione alla piattaforma ACN e completamento della categorizzazione delle attività e dei servizi entro il 30 giugno 2026 (la finestra utile è aperta dal 1° maggio 2026, Determinazione 155238/2026), termine vincolante e non differibile; programmazione della formazione cybersecurity per gli organi di amministrazione e direttivi ai sensi dell’articolo 23, con calendario realistico e contenuti che vadano oltre la sensibilizzazione, in coerenza con l’obbligo personale dei vertici; mappatura del perimetro effettivo di applicazione del decreto, confrontandolo con lo Statement of Applicability ISO esistente per evidenziare le aree fuori scope ISO ma dentro NIS.
• 2Breve termine (3-6 mesi) — definizione e test delle procedure di gestione e notifica degli incidenti, coerenti con i tempi di 24 ore, 72 ore e un mese e con le quattro tipologie IS della Determinazione 379907/2025; gap analysis tecnica fra controlli ISO 27001:2022 implementati e Allegato 1 (soggetti importanti) o Allegato 2 (soggetti essenziali) della stessa determinazione; mappatura strutturata dei fornitori rilevanti con distinzione tra fornitura ICT, non fungibile e ICT non fungibile, e progettazione delle clausole contrattuali per la cascade.
• 3Strategico (9-12 mesi) — implementazione completa delle misure di sicurezza di base entro ottobre 2026 per i soggetti notificati nella prima ondata, con tempistiche coerenti per chi è stato aggiunto nel 2026; integrazione del FNCDP edizione 2025 nel framework di gestione del rischio aziendale, evitando duplicazioni con l’ISMS esistente; predisposizione di evidenze documentate strutturate in vista delle attività di audit e ispezione ACN.

Un ecosistema complementare, non alternativo

ISO/IEC 27001:2022 e NIS2 non sono in competizione: sono pezzi diversi dello stesso quadro. La certificazione fornisce il sistema di gestione, la disciplina di processo, la cultura del miglioramento continuo, la verifica indipendente di terza parte. La NIS2 aggiunge il perimetro pubblico — i settori critici per la collettività, la categorizzazione strutturata su modello ACN, la responsabilità personale degli organi di vertice, la supervisione esterna con potere sanzionatorio. Per chi è già certificato, il vantaggio competitivo nel percorso esiste ed è significativo: la macchina organizzativa è già montata, va riallineata e completata. Per chi non lo è, la NIS2 diventa l’occasione per costruirla in modo strutturato, possibilmente cogliendo l’opportunità di ottenere la certificazione come effetto del lavoro di adeguamento.

In prospettiva, gli schemi europei di certificazione della cybersicurezza in costruzione presso ENISA — EUCC per i prodotti ICT e l’EUCS in via di adozione per i servizi cloud — potranno offrire strumenti aggiuntivi di dimostrazione della conformità, integrandosi con il quadro NIS2. Ma il principio resta quello: la certificazione non sostituisce l’adempimento normativo. È un ottimo presupposto, raramente un punto di arrivo.