M01 · Gennaio~10 min
Prodotto · Formazione
Formazione NIS2, dieci minuti al mese.
Dodici moduli all'anno per i dipendenti, uno al mese, ~10 minuti l'uno. Sei moduli concentrati per l'organo direttivo nei primi sei mesi. Quiz, attestato PDF e prova archiviata in automatico. Uno degli otto moduli inclusi nella Piattaforma Comprova.
§01 · Il calendario dipendentiArt. 21.g NIS2
Un modulo al mese, dodici mesi all'anno.
Il calendario è fisso: ogni dipendente riceve un modulo nuovo all'inizio del mese e ha tempo per completarlo. Il contenuto è scritto per essere assimilato in dieci minuti, non per riempire un'ora di formazione obbligatoria. La cadenza serve a tenere viva la consapevolezza nel tempo, non a fare un picco annuale da archiviare.
M02 · Febbraio~10 min
Password sicure e gestione credenziali
M03 · Marzo~10 min
Dispositivi, schermo e sicurezza fisica
M04 · Aprile~10 min
Social engineering e pretexting
M05 · Maggio~10 min
Classificazione e protezione dei dati
M06 · Giugno~10 min
Aggiornamenti software e patch management
M07 · Luglio~10 min
Wi-Fi, reti e VPN
M08 · Agosto~10 min
Backup e continuità operativa
M09 · Settembre~10 min
Sicurezza cloud e SaaS aziendali
M10 · Ottobre~10 min
Segnalare un incidente: quando e come
M11 · Novembre~10 min
Supply chain: sicurezza con i fornitori
M12 · Dicembre~10 min
AI, deepfake e nuove minacce digitali
§02 · L'organo direttivoArt. 20 NIS2
Sei moduli concentrati per chi risponde personalmente.
L'Art. 20 NIS2 mette la responsabilità della gestione del rischio cibernetico sull'organo direttivo, non sull'IT manager. Per amministratori, dirigenti e membri del board abbiamo costruito un percorso autonomo: sei moduli da consumare nei primi sei mesi del contratto, poi un refresher annuale di allineamento normativo. Più denso, più strategico, ma sempre dieci-quindici minuti l'uno. Niente formazione tecnica: solo quello che serve a un decisore per supervisionare con cognizione di causa.
Il quadro normativo NIS2 e le responsabilità del management
Obblighi legali, ambito di applicazione, sanzioni e responsabilità personale dell'organo direttivo.
Governance della cibersicurezza: approvare e supervisionare
Cosa deve approvare il management, come esercitare la sorveglianza continua sulla politica di sicurezza.
Risk assessment: come leggere e decidere
Capire i report di rischio, decidere su tolleranza e investimenti senza diventare specialisti tecnici.
Supply chain e fornitori: obblighi dell'Art. 21
La sicurezza della catena di fornitura come obbligo NIS2 esplicito: contratti, audit, gestione incidenti.
Gestione degli incidenti: decisioni e notifiche
Il management durante una crisi: ruoli, comunicazione, obblighi di notifica all'ACN entro 24/72 ore.
Business Continuity: approvare il BCP e supervisionarne i test
Il piano di continuità operativa, i test annuali, il ruolo dell'organo direttivo nella resilienza.
§03 · Cosa succede ogni mese
Cinque passi automatici, dal modulo all'evidenza in archivio.
Quello che fa il dipendente sono i 10 minuti del modulo. Il resto — la notifica, il quiz, l'attestato firmato, l'archiviazione come prova d'audit — avviene da solo. È la differenza tra "abbiamo fatto la formazione" e "abbiamo la formazione documentata, datata e mostrabile".
- Step 1Giorno 1
Notifica al dipendente
Email automatica con il link al modulo del mese. Reminder dopo 7 giorni se non avviato, dopo 21 giorni se non completato. L'amministratore vede in dashboard chi è in ritardo.
- Step 2Tempo previsto
10 minuti di modulo
Tre micro-lezioni testuali con esempi reali italiani, navigabili anche da mobile durante una pausa caffè. Niente video lunghi, niente animazioni decorative.
- Step 3Soglia
Quiz finale ≥ 70%
Cinque-sette domande chiuse. Sotto soglia il modulo va rifatto: niente sconti. Il quiz tiene traccia dei tentativi nell'audit trail.
- Step 4Subito
Attestato PDF generato
PDF nominale con data, modulo, organizzazione, hash di integrità SHA-256, ID univoco. Pronto da scaricare per il dipendente, archiviato per l'azienda.
- Step 5Automatico
Evidenza in archivio
L'attestato entra automaticamente come EvidenceFile nel Vault, mappato al controllo Art. 21.g NIS2 (o Annex A.6 ISO 27001). Non c'è altro da fare: la prova c'è.
§04 · L'attestatoprova d'audit
L'attestato non è un foglio decorativo.
Quando un auditor NIS2 chiede la prova che i dipendenti hanno fatto formazione sulla cibersicurezza (Art. 21.g), non vuole sentirsi dire "abbiamo fatto un corso". Vuole vedere: chi ha completato cosa, quando, con che esito al quiz, e che il documento non sia stato manomesso dopo l'emissione.
Ogni attestato Comprova porta nome del dipendente, modulo completato, data, esito quiz, organizzazione, ID univoco, hash SHA-256 di integrità. È il tipo di documento che sopravvive al confronto con un Lead Auditor: ha tutti i campi che servono, ed è verificabile.
Lo stesso vale per ISO 27001: l'Annex A controllo 6 (Persone) richiede evidenza di awareness e formazione. Lo stesso attestato copre entrambe le norme — non c'è bisogno di un secondo corso.
§05 · Domande frequenti
Quello che ci chiedono di solito.
- Quanto dura davvero un modulo?
- Tempo medio di completamento misurato sui contenuti reali: 8-12 minuti, quiz incluso. Abbiamo costruito i moduli per essere consumati durante una pausa, non davanti a un PowerPoint da 90 minuti.
- Cosa succede se un dipendente non finisce nei tempi?
- Il modulo resta disponibile e l'amministratore vede chi è indietro. La cadenza è mensile ma non bloccante: nessun dipendente viene escluso. Quello che conta è la chiusura entro fine anno per generare l'evidenza annuale di copertura.
- L'attestato ha valore legale?
- L'attestato è una prova di completamento del corso, con timestamp, hash di integrità SHA-256 e ID univoco. Non è una certificazione di terza parte (quella la rilascia un ente accreditato). È il documento che porti in audit per dimostrare l'adempimento dell'obbligo formativo Art. 21.g NIS2 e Annex A.6 ISO 27001. Lo stesso oggetto che oggi produce un consulente esterno con un foglio firmato.
- I contenuti vengono aggiornati?
- Sì. I 12 moduli dipendenti e i 6 moduli organo direttivo sono curati internamente e revisionati almeno una volta all'anno per allinearli a normativa nuova, casi italiani recenti, tipologie di attacco emergenti. Quando un modulo cambia versione, lo storico delle precedenti resta tracciabile in audit trail.
- Funziona per il sub-fornitore che riceve un questionario di filiera?
- Sì, è uno dei casi d'uso pensati. Quando un cliente importante chiede al fornitore di dimostrare di aver formato i dipendenti sulla cibersicurezza (Art. 21.g NIS2 indiretto via supply chain), Comprova Formazione genera in pochi minuti la prova: lista dipendenti, attestati PDF firmati, copertura percentuale dell'organico. Si manda al cliente un link a tempo o si scarica un archivio.
- Si integra con il mio sistema HR esistente?
- Al lancio no: l'utenza si gestisce con invito email diretto dentro Comprova. L'integrazione con i sistemi HR (per popolare automaticamente i dipendenti) è prevista come fase successiva una volta che avremo i primi clienti che la richiedono in concreto. Fino ad allora, l'esperienza è: aggiungi i dipendenti via email, loro ricevono l'invito, partono.
- Lingue disponibili?
- Italiano, perché il target è la PMI italiana e i contenuti sono scritti per questo contesto (riferimenti normativi italiani, casi di cronaca italiana, registro linguistico professionale ma diretto). Le traduzioni in inglese e altre lingue UE sono in valutazione per Y2 in base alla domanda dei clienti reali.
§06 · Iniziare
Vuoi vedere la formazione viva, dentro la Piattaforma?
Trenta minuti di demo su un'organizzazione già popolata: vedi il calendario dipendenti, un quiz, un attestato già archiviato. La Formazione è uno degli otto moduli inclusi — la copertura completa NIS2 è la conversazione giusta.