8 aprile 2026 • NIS2
Le scuole e gli istituti scolastici di tutta Europa sono sempre più spesso nel mirino dei criminali informatici. All’inizio del 2025, alcuni hacker hanno avuto accesso ai sistemi informatici dell’Università Tecnica di Eindhoven (TU/e) per cinque giorni, utilizzando credenziali rubate e una VPN priva di autenticazione a due fattori. Le lezioni sono state sospese per un'intera settimana. Allo stesso tempo, la direttiva NIS2 impone a una parte del settore dell'istruzione europeo di migliorare in modo dimostrabile la propria sicurezza digitale. Ma a quali istituzioni si applica e cosa devono fare esattamente? Questo articolo lo spiega in dettaglio.
L'istruzione rientra nell'ambito di applicazione del NIS2?
La direttiva NIS2 si applica quando un'organizzazione soddisfa contemporaneamente due condizioni: deve operare in un settore designato (allegato I o II della direttiva) e superare le soglie dimensionali. La dimensione da sola non è sufficiente: la designazione del settore costituisce il criterio principale.
La direttiva NIS2 include l'istruzione superiore nel settore della ricerca (allegato II). Le università e le scuole universitarie professionali che svolgono attività di ricerca possono quindi essere classificate come entità importanti. L'istruzione secondaria e primaria non figurano negli allegati e non rientrano automaticamente nell'ambito di applicazione della direttiva NIS2, indipendentemente dalle loro dimensioni.
Detto questo, non è così semplice come dire che «i grandi istituti professionali sono sempre esenti». Esistono tre casi in cui gli istituti di istruzione secondaria e primaria possono comunque essere interessati.
Quali istituti di istruzione rientrano (potenzialmente) nell’ambito di applicazione della direttiva NIS2?
| Tipo di istituzione | Stato NIS2 | Note |
|---|---|---|
| Università | Entità probabilmente rilevante | Funzionalità di ricerca + dimensioni; soddisfare entrambe le condizioni |
| Scuole universitarie professionali | Entità potenzialmente rilevante | Dipende dalle dimensioni e dalle attività di ricerca |
| Istituti di formazione professionale (MBO) | Non rientra automaticamente nell'ambito di applicazione | Settore non specificato; la designazione nazionale o la struttura mista potrebbero modificare questa situazione |
| Istruzione secondaria | Non rientra automaticamente nell'ambito di applicazione | Settore non designato; i grandi gruppi scolastici possono rientrare nell’ambito del NIS2 in base a una designazione nazionale o a una struttura mista |
| Istruzione primaria | Non rientra automaticamente nell'ambito di applicazione | Settore non specificato; sono possibili requisiti indiretti tramite partner |
Soglie dimensionali: il NIS2 si applica alle organizzazioni con più di 50 dipendenti o con un fatturato annuo o un totale di bilancio superiore a 10 milioni di euro. Tuttavia, le dimensioni da sole non sono sufficienti a far rientrare un’organizzazione nel campo di applicazione: il requisito fondamentale è sempre l’appartenenza al settore.
Ma in fin dei conti, quando le scuole secondarie e primarie rientrano nell’ambito di applicazione del NIS2?
«Non rientrare automaticamente nell'ambito di applicazione» non significa «non essere rilevanti». Esistono tre situazioni in cui gli istituti di istruzione secondaria e primaria si trovano effettivamente a dover affrontare il NIS2:
1. Designazione nazionale
Gli Stati membri possono designare come entità critiche organizzazioni non incluse negli allegati europei. Il governo olandese può decidere che i grandi gruppi scolastici con un ruolo sociale significativo rientrino nell’ambito di applicazione della legge sulla sicurezza informatica. Sono particolarmente a rischio i gruppi di grandi dimensioni che gestiscono decine di scuole e migliaia di dipendenti.
2. Organizzazioni miste
Molti istituti scolastici offrono sia istruzione secondaria che formazione professionale, oppure sono affiliati a un istituto universitario di scienze applicate. Se la componente di formazione professionale o di istruzione superiore è sufficientemente ampia e svolge attività di ricerca, tale parte può rientrare nell’ambito di applicazione della direttiva NIS2. In pratica, ciò comporta l’estensione dei requisiti di sicurezza all’intera organizzazione.
3. Requisiti indiretti attraverso la catena di approvvigionamento
Le organizzazioni soggette alla direttiva NIS2 devono garantire la sicurezza della propria catena di fornitura. Se un ente scolastico fornisce software, condivide dati o collabora con istituzioni soggette alla direttiva NIS2, tali partner potrebbero imporre a loro volta requisiti di sicurezza. Anche gli enti erogatori di finanziamenti e i clienti pubblici stanno imponendo sempre più spesso questo tipo di requisiti.
Quali sono gli obblighi per gli istituti scolastici?
Quando un istituto scolastico rientra nell'ambito di applicazione della direttiva NIS2, si applicano gli stessi obblighi fondamentali previsti per gli altri settori. Quelli più rilevanti nel contesto dell'istruzione sono:
Analisi dei rischi e politica di sicurezza
È necessario effettuare una mappatura sistematica dei rischi che gravano sulle vostre reti, sui vostri sistemi e sui vostri dati, compresi i sistemi utilizzati dai fornitori, quali i fornitori di SIS, i servizi cloud per le piattaforme di apprendimento e gli strumenti di collaborazione.
Obbligo di segnalazione degli incidenti
Gli incidenti gravi, quali attacchi ransomware ai sistemi di gestione degli studenti o violazioni dei dati che coinvolgono i dati personali degli studenti, devono essere segnalati all'autorità competente entro 24 ore.
Sicurezza della catena di approvvigionamento
I fornitori di software e servizi devono dimostrare di soddisfare i vostri requisiti di sicurezza. Si pensi, ad esempio, ai fornitori di piattaforme didattiche, di sistemi informativi per gli studenti o di servizi di archiviazione cloud.
Gestione degli accessi e autenticazione
L'autenticazione a più fattori è obbligatoria per l'accesso ai sistemi che contengono dati sensibili. Nel contesto scolastico, ciò vale sicuramente per il personale che ha accesso alle cartelle degli studenti, ai sistemi finanziari e ai dati di ricerca. L'attacco subito dalla TU Eindhoven nel gennaio 2025 illustra chiaramente cosa può succedere in assenza dell'autenticazione a più fattori: gli hacker sono riusciti a introdursi tramite una VPN priva di verifica in due passaggi e hanno operato indisturbati per cinque giorni.
Formazione sulla sicurezza informatica per il personale
La direttiva NIS2 impone espressamente agli istituti di formare il personale in materia di sicurezza informatica. Ciò riguarda non solo il personale informatico, ma anche docenti, ricercatori e personale di supporto, ovvero chiunque abbia accesso ai sistemi e ai dati.
Perché la sicurezza informatica nel settore dell'istruzione merita un'attenzione particolare
Gli istituti scolastici rappresentano un bersaglio appetibile per i criminali informatici a causa della combinazione di dati di ricerca di grande valore, ingenti quantità di dati personali e una cultura informatica relativamente aperta. Alcune sfide specifiche:
- Grandi gruppi di utenti: decine di migliaia di studenti e membri del personale con diversi diritti di accesso.
- Elevato turnover: ogni anno gli studenti si iscrivono e si laureano; i conti devono essere gestiti attivamente.
- Cultura della rete aperta — la libertà accademica a volte entra in conflitto con rigide politiche di sicurezza.
- Budget IT limitati: soprattutto nelle istituzioni più piccole, lo spazio per gli investimenti nella sicurezza è limitato.
- Dati di ricerca di grande valore: la proprietà intellettuale e i risultati della ricerca sono oggetto di interesse da parte degli attori statali.
In che modo Guardey aiuta gli istituti scolastici
Guardey offre corsi di formazione sulla sicurezza informatica con contenuti pensati appositamente per il settore dell'istruzione. Il personale impara a riconoscere le tecniche di phishing, a gestire i dati in modo sicuro e a sapere come comportarsi quando individua qualcosa di sospetto. Il tutto in moduli brevi e di facile comprensione, che si adattano perfettamente a una settimana lavorativa intensa.
Grazie a una formazione costante del personale, gli istituti scolastici adempiono all'obbligo di sensibilizzazione previsto dalla direttiva NIS2 e, al contempo, rafforzano la propria resilienza contro gli attacchi che colpiscono quotidianamente il settore.
Vuoi sapere esattamente cosa comporta la direttiva NIS2 per il tuo ente? Consulta la guida alla direttiva NIS2 per il 2026, che riporta tutti gli obblighi, le soglie e una pratica lista di controllo.
Non tutti gli istituti scolastici rientrano formalmente nell'ambito di applicazione della direttiva NIS2, ma il confine non è così netto come sembra. Le università e le grandi scuole superiori professionali sono soggette alla direttiva NIS2 nella maggior parte dei casi. Per quanto riguarda l'istruzione professionale, secondaria e primaria, ciò dipende dalla designazione nazionale, dalla struttura organizzativa e dai partner con cui collaborano.
Iniziate con una chiara definizione dell'ambito di applicazione, effettuate un'analisi dei rischi e assicuratevi che il personale abbia ricevuto una formazione comprovata. Questi sono i passaggi che rispondono direttamente alla maggior parte degli obblighi previsti dalla direttiva NIS2 e che dimostrano, come istituzione, che la sicurezza informatica viene presa sul serio.
Formazione sulla sicurezza informatica: utile anche senza NIS2
La direttiva NIS2 potrebbe non essere applicabile a tutti gli istituti scolastici, ma le minacce a cui si rivolge lo sono. La formazione sulla sicurezza informatica aiuta il personale a riconoscere e reagire agli attacchi informatici, indipendentemente dall'obbligo di conformità.
Guardey per l'istruzione
Guardey ha sviluppato moduli formativi specifici per il personale scolastico. Scarica la brochure o scopri come potrebbe essere un programma su misura per il tuo istituto.
Guardey per l'istruzione