La direttiva NIS2 (D.Lgs. 138/2024) include le scuole di certe dimensioni tra i soggetti obbligati a misure di cybersecurity rafforzate. GDPR + AdS + framework AGID ABSC: cosa devi fare nel 2026.

NIS2: cosa cambia nel 2026 per le scuole

Il D.Lgs. 138/2024 recepisce la direttiva europea NIS2. Le PA — incluse le scuole — sono soggetti "essenziali" o "importanti" a seconda di dimensione e ruolo. Le scuole con servizi digitali rilevanti (registro elettronico, didattica a distanza, raccolta dati biometrici) ricadono spesso nella seconda categoria.

Cosa significa in pratica:

  • Devi identificare un Responsabile sicurezza informatica (può coincidere con AdS)
  • Misure tecniche e organizzative proporzionali al rischio documentate
  • Notifica incidenti significativi ad ACN entro 24h (early warning) e 72h (notifica completa)
  • Formazione cybersecurity per dirigenti e personale
  • Sanzioni fino a 7 milioni € (2% del fatturato annuo per soggetti privati)

L'Amministratore di Sistema (AdS) per le scuole

Il Provvedimento Garante 2008 (ancora vigente, integrato dal GDPR) impone la nomina formale dell'AdS per chi tratta dati personali in modo significativo. Per le scuole:

  • Atto di nomina con elenco mansioni e perimetro
  • Verifiche annuali dell'operato
  • Gestione log accessi sui sistemi (con conservazione minima 6 mesi)
  • Procedure di disaster recovery e backup

Spesso l'AdS è esterno (società IT) e funge anche da Responsabile esterno del trattamento (art. 28 GDPR) → serve contratto specifico.

Framework AGID ABSC

L'AGID pubblica le Misure Minime di Sicurezza ICT (ABSC: AgID Basic Security Controls). Sono 8 famiglie di controlli su tre livelli (Minimo, Standard, Alto). Per le scuole è obbligatorio almeno il livello Minimo.

Le 8 famiglie:

  1. Inventario di sistemi e dispositivi
  2. Inventario software autorizzati
  3. Configurazione sicura
  4. Protezione malware
  5. Gestione vulnerabilità
  6. Controllo accessi
  7. Difesa contro intrusioni
  8. Cifratura dati sensibili

Cosa serve concretamente in una scuola tipo

Istituto Comprensivo con 800 alunni e 100 docenti:

  • Firewall di nuova generazione con controllo applicativo e content filter scuole
  • Antivirus EDR centralizzato su tutti i PC (segreteria, presidenza, lab informatica)
  • Backup cloud automatico dei dati segreteria (registro elettronico, dati alunni, fascicoli)
  • WiFi separato tra rete didattica, rete amministrativa, rete ospiti (segmentazione)
  • Aggiornamenti Windows + applicativi gestiti e tracciati
  • Formazione annua di 4 ore al personale su phishing, password, dati sensibili
  • Privacy Impact Assessment aggiornato (DPIA) per registri elettronici e DAD

Costo medio annuo cybersecurity scuola tipo

  • Firewall + manutenzione: 1.500-2.500 €/anno
  • Antivirus EDR (100 endpoint): 2.000-3.500 €/anno
  • Backup cloud: 500-1.200 €/anno
  • AdS esterno: 1.500-3.000 €/anno
  • Formazione: 500-1.000 €/anno

Totale: 6.000-11.000 €/anno per cybersecurity completa di Istituto Comprensivo. Spesso finanziabile con fondi PNRR Scuola Digitale 4.0 o con MIM (Ministero Istruzione e Merito).

Come finanziare la cybersecurity scolastica

  • PNRR Scuola Digitale 4.0: misure 1.4.1 e 1.4.2
  • Fondi MIM dedicati a sicurezza ICT (annuali)
  • Bandi regionali sulle competenze digitali
  • Risorse del bilancio di funzionamento (categorie: P02, A01)

Vuoi una valutazione gratuita della cybersecurity della tua scuola? Contattaci: in 30 minuti mappiamo le criticità e ti mostriamo soluzioni MePA conformi NIS2.