Primo piano Politica industriale PNRR Incentivi Opinioni Interviste Robotica Automazione industriale Appuntamenti Podcast Innovation Books

cyber security

Governance e responsabilità: ecco come il gruppo A2A ha interpretato la compliance alla NIS2

Home Tecnologie Industrial Security
Partecipa al dibattito
Indirizzo copiato

La compliance NIS2 ridefinisce la responsabilità della sicurezza informatica, spostandola dal perimetro tecnico alla governance. Il CISO del gruppo A2A Alessandro Marzi e l’avvocato Stefano Mele dello studio legale Gianni & Origoni mostrano come una struttura multisocietaria possa trasformare la norma in un modello di accountability diffusa

Pubblicato il 25 nov 2025
compliance_NIS2_innovationpost

La nuova direttiva europea sulla sicurezza delle reti e dei sistemi informativi, nota come NIS2, ridefinisce profondamente il concetto di responsabilità digitale. Non riguarda solo l’adeguamento tecnico, ma la capacità delle organizzazioni di integrare la sicurezza nella propria governance.

Durante una sessione organizzata dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, Alessandro Marzi, Chief Information Security Officer del gruppo A2A, e Stefano Mele, Partner e responsabile del Dipartimento “Cybersecurity & Space Economy Law” dello studio legale Gianni & Origoni, hanno analizzato come un grande gruppo multisocietario possa tradurre la compliance NIS2 in un modello di responsabilità condivisa e sostenibile.

Indice degli argomenti

Dal perimetro tecnologico alla responsabilità di governance

Il gruppo A2A rappresenta un caso emblematico per comprendere la portata della direttiva. Attivo nei settori energia, ambiente e servizi pubblici, A2A è una delle più grandi multiutility italiane, con oltre 13 mila dipendenti e una presenza che attraversa comparti strategici per il Paese.

L’eterogeneità delle attività e la complessità organizzativa rendono la gestione della sicurezza informatica una sfida di sistema. Come ha spiegato Alessandro Marzi, «il tema della NIS2 non è solo tecnico, ma riguarda il modo in cui le aziende governano la propria esposizione al rischio».

La direttiva introduce un principio chiaro: la responsabilità della sicurezza informatica non è più confinata ai team IT o ai CISO, ma coinvolge direttamente il top management e gli organi societari. «Il cambiamento principale», ha osservato Marzi, «è che la sicurezza diventa parte integrante della governance aziendale. Non si parla più di adempimenti, ma di responsabilità».

Un modello organizzativo multilivello

Per un gruppo complesso come A2A, la compliance NIS2 ha richiesto un ripensamento della struttura organizzativa e dei flussi di responsabilità. Marzi ha descritto un modello multilivello, in cui ogni società del gruppo conserva una propria funzione di sicurezza, ma è coordinata da una governance centrale che garantisce coerenza e standardizzazione.

«Non potevamo applicare un modello unico e rigido», ha spiegato. «Abbiamo costruito una cornice di riferimento condivisa, all’interno della quale ogni società può adattare le misure alla propria realtà operativa, mantenendo però gli stessi principi di gestione del rischio».

Il risultato è un equilibrio tra autonomia e coerenza: le strutture locali mantengono la capacità di gestire le operazioni quotidiane, mentre la funzione centrale assicura il controllo strategico e la conformità complessiva. Questo modello consente di diffondere la cultura della sicurezza e, allo stesso tempo, di evitare frammentazioni o approcci difformi.

La NIS2 come acceleratore culturale

Secondo Marzi, la direttiva ha avuto anche il merito di accelerare un cambiamento già in corso: «La NIS2 ci ha costretto a rivedere il modo in cui concepiamo la sicurezza. Ha portato il tema al tavolo dei consigli di amministrazione, creando consapevolezza sui rischi e sulle responsabilità personali».

Un passaggio che trova conferma anche nell’intervento di Stefano Mele, che ha definito la direttiva «una delle più significative evoluzioni normative degli ultimi anni». Mele ha sottolineato che «il legislatore europeo ha voluto chiarire che la sicurezza non è più un ambito delegabile. Gli amministratori devono poter dimostrare di aver adottato tutte le misure ragionevoli per prevenire e gestire gli incidenti».

La compliance NIS2, in questa prospettiva, non si limita a documentare procedure, ma implica una trasformazione del modo in cui l’azienda gestisce il rischio. «L’aspetto più interessante», ha spiegato Mele, «è che la norma non impone soluzioni tecnologiche specifiche, ma responsabilità di risultato: ciò che conta è dimostrare la capacità di prevenire e reagire».

Dalla norma alla pratica: il ruolo del CISO

Nel modello A2A, il CISO assume una funzione di cerniera tra governance e operatività. Marzi ha illustrato come il suo ruolo sia evoluto da “tecnico di sicurezza” a facilitatore del cambiamento organizzativo: «Il nostro compito è aiutare le funzioni di business a comprendere il rischio cyber e a integrarlo nei propri processi decisionali».

Per farlo, è stato introdotto un sistema di reporting strutturato, che traduce le informazioni tecniche in indicatori comprensibili anche ai livelli manageriali. Questo approccio favorisce una comunicazione più efficace tra i team operativi e il top management, rendendo la sicurezza parte integrante della pianificazione strategica.

«Non si tratta di chiedere budget o strumenti», ha precisato Marzi, «ma di far capire come la cybersecurity incide sul valore e sulla continuità del business».

Responsabilità discendenti e accountability

Uno dei punti centrali della compliance NIS2 riguarda la cosiddetta “catena di responsabilità discendente”. Ogni livello organizzativo, dal board ai responsabili di funzione, è chiamato a rendere conto delle proprie scelte in materia di sicurezza.

Mele ha spiegato che «la direttiva introduce una responsabilità personale degli amministratori e dei dirigenti, che possono essere sanzionati non solo in caso di omissione, ma anche per mancanza di supervisione».

Questo nuovo paradigma di accountability ha spinto A2A a definire un sistema di deleghe formalizzato, che chiarisce ruoli, obblighi e flussi informativi. La trasparenza organizzativa diventa così un fattore di protezione: sapere chi è responsabile di cosa non serve solo alla compliance, ma consente di reagire più rapidamente agli incidenti.

«La chiarezza delle responsabilità è una forma di sicurezza», ha osservato Mele. «Riduce le zone grigie e permette di agire con maggiore efficacia quando si verifica un evento critico».

Dalla compliance alla resilienza

Il percorso del gruppo A2A mostra come la compliance NIS2 possa diventare un volano di trasformazione culturale e organizzativa. L’obiettivo non è solo evitare sanzioni, ma costruire una resilienza sistemica, in cui governance, tecnologia e persone operano in modo coordinato.

Marzi ha sottolineato che il processo è ancora in evoluzione, ma ha già prodotto un risultato tangibile: «Abbiamo creato un linguaggio comune sulla sicurezza. Oggi i manager parlano di rischio cyber con la stessa naturalezza con cui parlano di rischi finanziari o ambientali».

Mele ha aggiunto che questa evoluzione è anche una questione di fiducia: «Le aziende che affrontano la NIS2 come opportunità, e non come obbligo, si posizionano meglio nel mercato e costruiscono un rapporto più solido con clienti e stakeholder».

Una lezione per il sistema industriale

Il caso A2A offre spunti applicabili anche ad altri settori. La compliance NIS2, se interpretata in chiave di governance, può diventare un modello per tutte le organizzazioni che gestiscono infrastrutture critiche o servizi essenziali. Non si tratta solo di adottare policy, ma di costruire un sistema di responsabilità distribuita, capace di integrare sicurezza, continuità operativa e trasparenza.

Come ha osservato Mele, «la direttiva è un’occasione per far dialogare finalmente le funzioni legali, tecniche e manageriali. È un passaggio culturale che porterà la cybersecurity dentro le decisioni strategiche delle imprese».

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Mattia Lanzarone
Appassionato di videogiochi, musica e cultura digitale, ho sempre vissuto la tecnologia prima di tutto come spazio di scoperta e immaginazione. Dopo la laurea in Scienze Umanistiche per la Comunicazione all’Università degli Studi di Milano e un master in Editoria e Produzione Musicale e Audiovisiva alla Scuola di Comunicazione IULM, mi sono dedicato alla creazione di contenuti e alla definizione del linguaggio di progetti innovativi. Ho lavorato su tone of voice e brand book per esperienze tecnologiche come Futura by Plenitude, affiancando brand e istituzioni nella narrazione di percorsi immersivi e digitali.

Leggi anche:

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Safety e security “by design”

  • CYBER SECURITY

    Tutto quello che c'è da sapere sulla direttiva NIS2

    03 Mag 2025

    di Redazione

    Condividi
  • compliance-nis-2-innovationpost

  • cyber security

    Supply chain globale e sicura attraverso la compliance NIS2: il modello Fincantieri

    07 Nov 2025

    di Mattia Lanzarone

    Condividi
  • nis2_innovationpost

  • cyber security

    Dal rischio alla strategia: il metodo Accenture per adeguarsi alla NIS2

    25 Nov 2025

    di Mattia Lanzarone

    Condividi
  • Tasca

  • politica industriale

    Tasca (A2A): "La competitività europea si costruisce con il debito comune e un approccio meno ideologico alla sostenibilità"

    08 Set 2025

    di Michelle Crisantemi

    Condividi