NIS2 e Comuni italiani: la cybersecurity parte dalla mappa dei servizi al cittadino Anagrafe, tributi, protocollo, edilizia, welfare e fornitori ICT: per gli enti locali la sicurezza digitale è ormai continuità amministrativa
Pubblicato il 28/05/2026
Per un Comune italiano, parlare di NIS2 non significa soltanto parlare di server, firewall, password o antivirus. Significa chiedersi una cosa molto più concreta: quali servizi essenziali per cittadini, imprese e uffici comunali dipendono ormai da sistemi digitali?
Il recepimento italiano della Direttiva NIS2 è avvenuto con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024. La finalità dichiarata è innalzare il livello comune di cybersicurezza, coinvolgendo anche Pubbliche Amministrazioni e soggetti che erogano servizi rilevanti per il Paese.
Per i Comuni che rientrano nel perimetro NIS2, e anche per quelli che vogliono prepararsi in modo prudente, il primo passaggio non è acquistare una nuova tecnologia. È costruire una mappa chiara dei servizi, dei processi e dei sistemi ICT che li rendono possibili.
Il Comune come piattaforma digitale di servizi pubblici
Negli ultimi anni il Comune è diventato, di fatto, una piattaforma digitale territoriale. L’anagrafe dialoga con piattaforme nazionali, i pagamenti passano da canali digitali, il protocollo informatico è il punto di ingresso della documentazione, le pratiche edilizie transitano da portali online, i servizi scolastici e sociali sono gestiti tramite applicativi verticali, la PEC è strumento ordinario di comunicazione istituzionale.
A questo si aggiungono identità digitali, conservazione documentale, albo pretorio online, SUAP, SUE, tributi locali, gestione multe, app per il cittadino, sistemi cloud, fornitori esterni, software house, società in house, data center, servizi di backup e assistenza sistemistica.
In questo contesto, un incidente cyber non produce solo un danno informatico. Può bloccare certificati, protocolli, pagamenti, pratiche edilizie, servizi scolastici, assistenza ai cittadini fragili, comunicazioni istituzionali e attività degli uffici.
La vera domanda, quindi, diventa: quali servizi comunali non possono permettersi di fermarsi?
Dalla compliance alla continuità dei servizi pubblici
La categorizzazione delle attività e dei servizi richiesta nel quadro NIS2 serve proprio a collegare processi, sistemi ICT e funzioni organizzative alle macro-aree definite da ACN. Non è un elenco astratto: è la base per capire dove il Comune è più esposto e quali servizi devono essere protetti con maggiore priorità.
ACN ha previsto un modello articolato in dieci macro-aree, tra cui monitoraggio e controllo, gestione delle risorse umane, produzione di beni e servizi, logistica, ricerca sviluppo e progettazione, comunicazione e marketing, gestione finanziaria, gestione amministrativa, gestione dei clienti, altri servizi e attività.
Per un ente locale, però, queste macro-aree vanno lette con una lente pubblica. “Produzione di beni e servizi”, per esempio, non significa produzione industriale, ma erogazione di servizi amministrativi, demografici, sociali, educativi e territoriali. “Gestione dei clienti” può diventare gestione del rapporto con cittadini, imprese, professionisti e altri enti. “Gestione amministrativa” include protocollo, delibere, determine, documenti, albo, trasparenza e conservazione.
Le macro-aree ACN viste da un Comune
Nel caso di un Comune, alcune aree assumono una rilevanza particolare.
Produzione di beni e servizi riguarda l’erogazione dei servizi comunali: anagrafe, stato civile, elettorale, servizi sociali, scuola, edilizia privata, SUAP, SUE, polizia locale, tributi, ambiente, manutenzioni, cultura e sport. Se questi servizi si fermano, il problema non è solo interno: impatta direttamente cittadini, professionisti e imprese.
Gestione amministrativa è il cuore operativo dell’ente. Protocollo informatico, gestione documentale, delibere, determine, albo pretorio, accesso agli atti, conservazione digitale e flussi interni sono elementi senza i quali l’azione amministrativa rallenta o si blocca.
Gestione finanziaria comprende bilancio, pagamenti, incassi, tributi, economato, rapporti con tesoreria, rendicontazione e flussi contabili. Un attacco che compromette questi sistemi può incidere sulla capacità dell’ente di pagare fornitori, incassare tributi o rispettare scadenze contabili.
Comunicazione e marketing, nel contesto pubblico, va intesa come comunicazione istituzionale: sito web, avvisi alla cittadinanza, canali social, newsletter, comunicazioni di emergenza, relazioni con stampa e stakeholder territoriali.
Monitoraggio e controllo riguarda dashboard, sistemi di controllo accessi, videosorveglianza, reti comunali, eventuali sistemi smart city, sensori, controllo del traffico, gestione edifici pubblici e strumenti usati dalla polizia locale.
Gestione delle risorse umane include presenze, stipendi, fascicoli del personale, formazione, gestione incarichi, accessi ai sistemi e autorizzazioni.
Altri servizi e attività può essere utile per collocare funzioni particolari, come protezione civile, gestione emergenze territoriali, eventi pubblici o servizi digitali sperimentali.
Non basta sapere quali software usa il Comune
Uno degli errori più comuni è trasformare la mappatura NIS2 in un semplice inventario applicativo. Il Comune elenca il software del protocollo, il gestionale tributi, il portale edilizia, il sistema paghe, il sito web, il servizio cloud, il backup. Ma questo non basta.
Serve un passaggio in più: collegare ogni sistema al servizio pubblico che abilita.
Il protocollo non è solo un applicativo: è il punto di ingresso formale dei documenti dell’ente. Il gestionale anagrafe non è solo una banca dati: è il presupposto per certificati, residenze, iscrizioni, comunicazioni e diritti dei cittadini. Il portale edilizia non è solo uno sportello online: è lo strumento con cui tecnici, imprese e cittadini dialogano con il Comune su pratiche spesso economicamente rilevanti.
La mappatura corretta deve quindi tenere insieme tre livelli: servizio, processo, sistema ICT.
Metodo operativo per gli enti locali
Per un Comune, il lavoro dovrebbe partire da un gruppo trasversale, non solo dall’ufficio informatico. Devono essere coinvolti segreteria generale, responsabile transizione digitale, CED o fornitore IT, responsabili di area, protocollo, demografici, tributi, finanziario, lavori pubblici, edilizia privata, servizi sociali, polizia locale e, dove presente, DPO.
L’approccio più efficace è doppio.
Da un lato, si parte dai servizi erogati: quali attività svolge il Comune verso cittadini, imprese e altri enti? Quali sono critiche? Quali hanno scadenze di legge? Quali coinvolgono dati personali sensibili o categorie fragili?
Dall’altro lato, si parte dai sistemi: quali applicativi, infrastrutture, piattaforme cloud, credenziali, reti, backup, fornitori e integrazioni rendono possibile ogni servizio?
L’articolo di Agenda Digitale richiama proprio questa logica top-down e bottom-up: partire sia dalle funzioni organizzative sia dall’inventario tecnico dei sistemi, per arrivare a una catena chiara tra attività, strumenti ICT e responsabilità interne.
Il nodo dei fornitori: il Comune non gestisce tutto da solo
Nei Comuni, soprattutto medio-piccoli, molti servizi digitali sono gestiti da fornitori esterni: software house, società in house, cloud provider, consulenti sistemistici, gestori di piattaforme verticali, servizi di conservazione, assistenza hardware, manutentori di rete, provider PEC, servizi di sicurezza, partner per PagoPA, SPID, CIE, App IO e portali tematici.
Questo rende la mappatura ancora più importante. Il Comune può anche non gestire direttamente un’infrastruttura, ma resta responsabile della continuità del servizio pubblico che quella infrastruttura abilita.
Per questo, la categorizzazione NIS2 dovrebbe diventare anche uno strumento per rivedere i contratti ICT: livelli di servizio, tempi di ripristino, backup, gestione incidenti, tracciamento accessi, responsabilità del fornitore, subfornitori, localizzazione dei dati, procedure di escalation e supporto in caso di attacco.
Esempio pratico di mappatura per un Comune
Questa tabella non deve essere un documento statico. Deve diventare uno strumento di lavoro: ogni voce dovrebbe indicare chi è il responsabile del servizio, quale fornitore è coinvolto, quali dati vengono trattati, quale livello di criticità ha il servizio e quali misure di continuità sono già presenti.
Il rischio dell’eccesso di dettaglio
Un Comune può essere tentato di mappare ogni singola micro-attività: ogni sportello, ogni modulo, ogni procedimento, ogni sottofase amministrativa. Ma questo approccio rischia di produrre un documento ingestibile.
Il criterio migliore è aggregare ciò che ha lo stesso sistema, la stessa responsabilità organizzativa e lo stesso livello di rischio. Separare, invece, quando cambiano impatto, applicativo, fornitore o criticità del servizio.
Per esempio, il rilascio di certificati anagrafici, le pratiche di residenza e alcune attività di stato civile possono stare nella stessa area se usano lo stesso ecosistema digitale e hanno rischi simili. Al contrario, protocollo informatico e tributi dovrebbero essere distinti, perché rispondono a logiche, responsabilità e impatti diversi.
Perché conviene anche ai Comuni non ancora obbligati
Anche gli enti locali che non rientrano formalmente nel perimetro NIS2 possono trarre beneficio da questo approccio. La dipendenza digitale dei Comuni è ormai strutturale: un ransomware, una perdita di dati, il blocco della PEC o l’indisponibilità del gestionale documentale possono mettere in difficoltà anche un piccolo ente.
La mappa dei servizi digitali serve quindi a tre obiettivi concreti:
- capire quali servizi proteggere per primi;
- organizzare meglio il rapporto con fornitori e società in house;
- preparare piani di continuità e ripristino davvero aderenti alla realtà dell’ente.
La NIS2, letta dal punto di vista dei Comuni, non è soltanto una norma di cybersicurezza. È un invito a conoscere meglio la macchina amministrativa digitale e a proteggere i servizi che tengono in piedi il rapporto quotidiano tra ente, cittadini e territorio.
Conclusione
Per i Comuni italiani, la cybersecurity non è più un tema separato dall’amministrazione. È parte della capacità dell’ente di funzionare, rispondere ai cittadini, garantire trasparenza, gestire emergenze, incassare tributi, pagare fornitori e mantenere fiducia pubblica.
La mappatura delle attività e dei servizi richiesta dalla NIS2 può sembrare un adempimento complesso, ma se impostata bene diventa una fotografia preziosa dell’ente: mostra quali processi sono davvero critici, quali sistemi li sostengono, quali fornitori sono indispensabili e dove intervenire prima.
In un Comune digitale, proteggere i sistemi significa proteggere i servizi pubblici.