Customer Stories

Customer Stories

Customer Stories

ISO 27001 e NIS2: cosa copre e cosa no — Intervista a Marco Cortinovis, Lead Auditor e Co-founder di Complaion

December 18, 2025

ISO 27001 e NIS2 sono spesso citate insieme, ma non sempre comprese fino in fondo. Molte aziende si chiedono se essere certificate ISO 27001 significhi già essere conformi alla Direttiva NIS2, soprattutto alla luce del D.lgs. 138/2024. Per fare chiarezza su differenze, sovrapposizioni e reali vantaggi operativi, abbiamo intervistato Marco Cortinovis, Co-Founder e Lead Auditor ISO 27001, che ogni giorno affianca imprese e responsabili IT nei percorsi di certificazione e adeguamento normativo. In questa intervista, Marco risponde alle domande più frequenti delle aziende, spiegando in modo concreto cosa copre la ISO 27001, cosa richiede in più la NIS2 e perché partire da un Sistema di Gestione già certificato può fare la differenza in termini di tempi, metodo e sostenibilità del percorso.

Se ho la ISO 27001, sono già conforme alla NIS2?

La risposta breve è no.

La certificazione ISO 27001 rappresenta una base molto solida: aiuta le aziende a costruire una buona postura di sicurezza e copre una parte significativa del lavoro necessario per affrontare la NIS2. In termini pratici, significa essere già a buon punto nel percorso.

Tuttavia, non è sufficiente da sola per dichiarare la conformità alla direttiva. La NIS2 introduce obblighi aggiuntivi, più prescrittivi e dettagliati, che vanno oltre quanto previsto dalla norma ISO.

Quali sono gli obblighi che la NIS2 introduce in più?

Il D.lgs. 138/2024 chiarisce in modo esplicito i requisiti aggiuntivi richiesti dalla NIS2, tra cui:

  • Governance e ruoli obbligatori

  • Procedure formali di notifica degli incidenti

  • Gestione della sicurezza della supply chain

  • Vigilanza da parte dell’ACN

  • Registrazioni e verifiche non previste dalla ISO 27001

La ISO 27001 fornisce una struttura robusta, ma non entra nel dettaglio delle misure tecniche e organizzative che la NIS2 richiede in modo esplicito.

Chi ha già la ISO 27001 è avvantaggiato?

Sì. Chi possiede già la ISO 27001 è molto avanti nel percorso di adeguamento. Non si ricomincia da zero.

Il lavoro consiste nel prendere il Sistema di Gestione esistente e completarlo con ciò che manca, come:

  • Procedure di notifica

  • Modelli e comunicazioni ACN

  • Designazioni formali dei ruoli

  • Registri richiesti

  • Valutazione del rischio della supply chain

  • Assetti di governance

La ISO 27001 crea la base. Il resto è un’integrazione mirata.

La ISO 27001 accelera la conformità alla NIS2?

Senza dubbio. La certificazione ISO 27001 è una leva molto forte per accelerare l’intero percorso di conformità alla NIS2.

Per quel 15% che manca, l’attività è di integrazione: documentale, organizzativa e procedurale. Un sistema ISO 27001 già certificato consente di non stravolgere quanto costruito e di innestare i requisiti NIS2 in modo ordinato.

Inoltre, presentarsi con un SGSI certificato può agevolare eventuali processi di verifica da parte dell’ACN.
Una ISO 27001 ben implementata significa avere già gran parte del lavoro alle spalle. Il resto richiede metodo, competenze e chiarezza normativa. Ed è proprio qui che oggi si gioca la partita della NIS2.


ISO 27001 e NIS2 sono spesso citate insieme, ma non sempre comprese fino in fondo. Molte aziende si chiedono se essere certificate ISO 27001 significhi già essere conformi alla Direttiva NIS2, soprattutto alla luce del D.lgs. 138/2024. Per fare chiarezza su differenze, sovrapposizioni e reali vantaggi operativi, abbiamo intervistato Marco Cortinovis, Co-Founder e Lead Auditor ISO 27001, che ogni giorno affianca imprese e responsabili IT nei percorsi di certificazione e adeguamento normativo. In questa intervista, Marco risponde alle domande più frequenti delle aziende, spiegando in modo concreto cosa copre la ISO 27001, cosa richiede in più la NIS2 e perché partire da un Sistema di Gestione già certificato può fare la differenza in termini di tempi, metodo e sostenibilità del percorso.

Se ho la ISO 27001, sono già conforme alla NIS2?

La risposta breve è no.

La certificazione ISO 27001 rappresenta una base molto solida: aiuta le aziende a costruire una buona postura di sicurezza e copre una parte significativa del lavoro necessario per affrontare la NIS2. In termini pratici, significa essere già a buon punto nel percorso.

Tuttavia, non è sufficiente da sola per dichiarare la conformità alla direttiva. La NIS2 introduce obblighi aggiuntivi, più prescrittivi e dettagliati, che vanno oltre quanto previsto dalla norma ISO.

Quali sono gli obblighi che la NIS2 introduce in più?

Il D.lgs. 138/2024 chiarisce in modo esplicito i requisiti aggiuntivi richiesti dalla NIS2, tra cui:

  • Governance e ruoli obbligatori

  • Procedure formali di notifica degli incidenti

  • Gestione della sicurezza della supply chain

  • Vigilanza da parte dell’ACN

  • Registrazioni e verifiche non previste dalla ISO 27001

La ISO 27001 fornisce una struttura robusta, ma non entra nel dettaglio delle misure tecniche e organizzative che la NIS2 richiede in modo esplicito.

Chi ha già la ISO 27001 è avvantaggiato?

Sì. Chi possiede già la ISO 27001 è molto avanti nel percorso di adeguamento. Non si ricomincia da zero.

Il lavoro consiste nel prendere il Sistema di Gestione esistente e completarlo con ciò che manca, come:

  • Procedure di notifica

  • Modelli e comunicazioni ACN

  • Designazioni formali dei ruoli

  • Registri richiesti

  • Valutazione del rischio della supply chain

  • Assetti di governance

La ISO 27001 crea la base. Il resto è un’integrazione mirata.

La ISO 27001 accelera la conformità alla NIS2?

Senza dubbio. La certificazione ISO 27001 è una leva molto forte per accelerare l’intero percorso di conformità alla NIS2.

Per quel 15% che manca, l’attività è di integrazione: documentale, organizzativa e procedurale. Un sistema ISO 27001 già certificato consente di non stravolgere quanto costruito e di innestare i requisiti NIS2 in modo ordinato.

Inoltre, presentarsi con un SGSI certificato può agevolare eventuali processi di verifica da parte dell’ACN.
Una ISO 27001 ben implementata significa avere già gran parte del lavoro alle spalle. Il resto richiede metodo, competenze e chiarezza normativa. Ed è proprio qui che oggi si gioca la partita della NIS2.


ISO 27001 e NIS2 sono spesso citate insieme, ma non sempre comprese fino in fondo. Molte aziende si chiedono se essere certificate ISO 27001 significhi già essere conformi alla Direttiva NIS2, soprattutto alla luce del D.lgs. 138/2024. Per fare chiarezza su differenze, sovrapposizioni e reali vantaggi operativi, abbiamo intervistato Marco Cortinovis, Co-Founder e Lead Auditor ISO 27001, che ogni giorno affianca imprese e responsabili IT nei percorsi di certificazione e adeguamento normativo. In questa intervista, Marco risponde alle domande più frequenti delle aziende, spiegando in modo concreto cosa copre la ISO 27001, cosa richiede in più la NIS2 e perché partire da un Sistema di Gestione già certificato può fare la differenza in termini di tempi, metodo e sostenibilità del percorso.

Se ho la ISO 27001, sono già conforme alla NIS2?

La risposta breve è no.

La certificazione ISO 27001 rappresenta una base molto solida: aiuta le aziende a costruire una buona postura di sicurezza e copre una parte significativa del lavoro necessario per affrontare la NIS2. In termini pratici, significa essere già a buon punto nel percorso.

Tuttavia, non è sufficiente da sola per dichiarare la conformità alla direttiva. La NIS2 introduce obblighi aggiuntivi, più prescrittivi e dettagliati, che vanno oltre quanto previsto dalla norma ISO.

Quali sono gli obblighi che la NIS2 introduce in più?

Il D.lgs. 138/2024 chiarisce in modo esplicito i requisiti aggiuntivi richiesti dalla NIS2, tra cui:

  • Governance e ruoli obbligatori

  • Procedure formali di notifica degli incidenti

  • Gestione della sicurezza della supply chain

  • Vigilanza da parte dell’ACN

  • Registrazioni e verifiche non previste dalla ISO 27001

La ISO 27001 fornisce una struttura robusta, ma non entra nel dettaglio delle misure tecniche e organizzative che la NIS2 richiede in modo esplicito.

Chi ha già la ISO 27001 è avvantaggiato?

Sì. Chi possiede già la ISO 27001 è molto avanti nel percorso di adeguamento. Non si ricomincia da zero.

Il lavoro consiste nel prendere il Sistema di Gestione esistente e completarlo con ciò che manca, come:

  • Procedure di notifica

  • Modelli e comunicazioni ACN

  • Designazioni formali dei ruoli

  • Registri richiesti

  • Valutazione del rischio della supply chain

  • Assetti di governance

La ISO 27001 crea la base. Il resto è un’integrazione mirata.

La ISO 27001 accelera la conformità alla NIS2?

Senza dubbio. La certificazione ISO 27001 è una leva molto forte per accelerare l’intero percorso di conformità alla NIS2.

Per quel 15% che manca, l’attività è di integrazione: documentale, organizzativa e procedurale. Un sistema ISO 27001 già certificato consente di non stravolgere quanto costruito e di innestare i requisiti NIS2 in modo ordinato.

Inoltre, presentarsi con un SGSI certificato può agevolare eventuali processi di verifica da parte dell’ACN.
Una ISO 27001 ben implementata significa avere già gran parte del lavoro alle spalle. Il resto richiede metodo, competenze e chiarezza normativa. Ed è proprio qui che oggi si gioca la partita della NIS2.


ISO 27001 e NIS2 sono spesso citate insieme, ma non sempre comprese fino in fondo. Molte aziende si chiedono se essere certificate ISO 27001 significhi già essere conformi alla Direttiva NIS2, soprattutto alla luce del D.lgs. 138/2024. Per fare chiarezza su differenze, sovrapposizioni e reali vantaggi operativi, abbiamo intervistato Marco Cortinovis, Co-Founder e Lead Auditor ISO 27001, che ogni giorno affianca imprese e responsabili IT nei percorsi di certificazione e adeguamento normativo. In questa intervista, Marco risponde alle domande più frequenti delle aziende, spiegando in modo concreto cosa copre la ISO 27001, cosa richiede in più la NIS2 e perché partire da un Sistema di Gestione già certificato può fare la differenza in termini di tempi, metodo e sostenibilità del percorso.

Se ho la ISO 27001, sono già conforme alla NIS2?

La risposta breve è no.

La certificazione ISO 27001 rappresenta una base molto solida: aiuta le aziende a costruire una buona postura di sicurezza e copre una parte significativa del lavoro necessario per affrontare la NIS2. In termini pratici, significa essere già a buon punto nel percorso.

Tuttavia, non è sufficiente da sola per dichiarare la conformità alla direttiva. La NIS2 introduce obblighi aggiuntivi, più prescrittivi e dettagliati, che vanno oltre quanto previsto dalla norma ISO.

Quali sono gli obblighi che la NIS2 introduce in più?

Il D.lgs. 138/2024 chiarisce in modo esplicito i requisiti aggiuntivi richiesti dalla NIS2, tra cui:

  • Governance e ruoli obbligatori

  • Procedure formali di notifica degli incidenti

  • Gestione della sicurezza della supply chain

  • Vigilanza da parte dell’ACN

  • Registrazioni e verifiche non previste dalla ISO 27001

La ISO 27001 fornisce una struttura robusta, ma non entra nel dettaglio delle misure tecniche e organizzative che la NIS2 richiede in modo esplicito.

Chi ha già la ISO 27001 è avvantaggiato?

Sì. Chi possiede già la ISO 27001 è molto avanti nel percorso di adeguamento. Non si ricomincia da zero.

Il lavoro consiste nel prendere il Sistema di Gestione esistente e completarlo con ciò che manca, come:

  • Procedure di notifica

  • Modelli e comunicazioni ACN

  • Designazioni formali dei ruoli

  • Registri richiesti

  • Valutazione del rischio della supply chain

  • Assetti di governance

La ISO 27001 crea la base. Il resto è un’integrazione mirata.

La ISO 27001 accelera la conformità alla NIS2?

Senza dubbio. La certificazione ISO 27001 è una leva molto forte per accelerare l’intero percorso di conformità alla NIS2.

Per quel 15% che manca, l’attività è di integrazione: documentale, organizzativa e procedurale. Un sistema ISO 27001 già certificato consente di non stravolgere quanto costruito e di innestare i requisiti NIS2 in modo ordinato.

Inoltre, presentarsi con un SGSI certificato può agevolare eventuali processi di verifica da parte dell’ACN.
Una ISO 27001 ben implementata significa avere già gran parte del lavoro alle spalle. Il resto richiede metodo, competenze e chiarezza normativa. Ed è proprio qui che oggi si gioca la partita della NIS2.


GET A DEMO

Ottieni, mantieni e valorizza le certificazioni ISO.

Chiedi Informazioni

GET A DEMO

Ottieni, mantieni e valorizza le certificazioni ISO.

Chiedi Informazioni

GET A DEMO

Ottieni, mantieni e valorizza le certificazioni ISO.

Chiedi Informazioni

GET A DEMO

Ottieni, mantieni e valorizza le certificazioni ISO.

Chiedi Informazioni

Achieve, maintain, and leverage ISO certifications.

Product

Achieve compliance

Maintain compliance

Unlock new business

Help Center

Customer Stories

Blog

About

Pricing

Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.

Management System Policy

Privacy Policy

Cookie Policy

Infosec Policy

Achieve, maintain, and leverage ISO certifications.

Product

Achieve compliance

Maintain compliance

Unlock new business

Help Center

Customer Stories

Blog

About

Pricing

Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.

Management System Policy

Privacy Policy

Cookie Policy

Infosec Policy

Achieve, maintain, and leverage ISO certifications.

Product

Achieve compliance

Maintain compliance

Unlock new business

Help Center

Customer Stories

Blog

About

Pricing

Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.

Management System Policy

Privacy Policy

Cookie Policy

Infosec Policy

Achieve, maintain, and leverage ISO certifications.

Product

Achieve compliance

Maintain compliance

Unlock new business

Help Center

Customer Stories

Blog

About

Pricing

Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.

Management System Policy

Privacy Policy

Cookie Policy

Infosec Policy