Oltre Magazine
PERIODICO DI INFORMAZIONE DELL'IMPRENDITORIA FUNERARIA E CIMITERIALE

Scacf spa - Cofani funebri italiani
  1. n. 1 - Gennaio/Febbraio 2026
  2. Legale, fiscale

NIS2 per la cybersicurezza

Digitalizzazione delle aziende, il nuovo decreto per la sicurezza coinvolge anche il settore funerario.

La digitalizzazione ha trasformato in profondità anche il settore funerario: software per la gestione dei defunti, agende condivise con i Comuni, sistemi di controllo dei forni crematori, piattaforme online per i servizi ai familiari.

Questa dipendenza dall’ICT rende oggi il comparto molto più esposto al rischio di attacchi informatici – e lo avvicina, per logica e per impatti, ai settori “critici” regolati dalla nuova Direttiva NIS2.
Con il decreto legislativo 4 settembre 2024 n. 138 (“decreto NIS”) l’Italia ha recepito la NIS2 e ha ridisegnato completamente il quadro degli obblighi di cybersicurezza per una vasta platea di soggetti pubblici e privati.

Di seguito vediamo, con un taglio pratico, cosa significa per imprese di pompe funebri, gestori di crematori e società miste o in house che operano nel settore.

1. In due righe: cos’è il nuovo decreto NIS

La NIS2 nasce per garantire un livello comune ed elevato di cybersicurezza in tutta l’Unione europea, imponendo misure minime di protezione e regole di notifica degli incidenti informatici.
Il decreto NIS italiano:
  • allarga il perimetro a 18 settori complessivi, con oltre 80 tipologie di soggetti, distinguendo tra settori altamente critici (es. energia, trasporti, sanitario) e settori critici (es. gestione rifiuti, produzione alimentare, servizi digitali);
  • applica le regole in via automatica alle medie e grandi imprese dei settori elencati, con possibilità per l’Autorità nazionale di includere anche altre realtà quando ritenute strategiche per il territorio;
  • distingue tra “entità essenziali” e “importanti”, con obblighi simili ma controlli più stretti per le prime;
  • non guarda più solo ai sistemi che erogano il “servizio essenziale”, ma all’intera infrastruttura ICT dell’organizzazione.

2. Il settore funerario rientra nella NIS2?

Negli allegati del decreto non compare un “settore funerario” esplicito. Tuttavia, diverse tipologie di operatori possono rientrare indirettamente nel campo di applicazione.
In particolare:
  1. Società in house, partecipate e a controllo pubblico
    Queste realtà sono elencate tra le “ulteriori tipologie di soggetti” (allegato IV) che possono essere identificate come soggetti NIS indipendentemente dalle dimensioni, quando il servizio è considerato critico a livello nazionale o regionale.
    Molte gestioni di crematori, cimiteri e servizi funebri comunali rientrano proprio in questo modello.
  2. Operatori che fanno parte di gruppi multiutility
    Se il gruppo è già soggetto NIS per altri settori (es. acqua potabile, rifiuti, energia), l’approccio “infrastruttura ICT complessiva” fa sì che le regole di sicurezza si riflettano anche sulle funzioni funerarie interne. Inoltre, il decreto include le “imprese collegate” a un soggetto NIS, quando: prendono decisioni sulle misure di sicurezza, gestiscono i sistemi da cui dipende il servizio, svolgono attività di sicurezza informatica o forniscono servizi ICT gestiti.
  3. Unico operatore essenziale su un territorio
    L’autorità può individuare come soggetti NIS anche realtà non entranti automaticamente negli allegati, se:
    • sono l’unico fornitore di un servizio essenziale per la comunità locale;
    • un’interruzione del servizio avrebbe impatti significativi sulla sicurezza pubblica o sulla continuità di attività sociali fondamentali.
In molti territori, il crematorio o il grande gruppo di pompe funebri svolgono di fatto questo ruolo.
Per una valutazione puntuale serve un’analisi caso per caso (assetto societario, dimensioni, altri servizi gestiti). Ma anche quando un’impresa non rientrasse formalmente nel perimetro, la logica NIS2 resta un buon riferimento di buone pratiche.

3. Gli obblighi chiave: cosa chiede la NIS2

Il cuore del decreto è l’obbligo, per i soggetti essenziali e importanti, di adottare misure di sicurezza in almeno dieci ambiti:
  1. Analisi dei rischi e politiche di sicurezza dei sistemi informativi
    • mappare dati, applicazioni e infrastrutture (gestionali funerari, sistemi dei forni, archivi documentali, PEC, portali online);
    • valutare quali scenari di attacco potrebbero bloccare o compromettere il servizio.
  2. Gestione degli incidenti
    • procedure per riconoscere rapidamente un attacco (es. ransomware);
    ruoli e contatti interni;
    • piani di comunicazione con Autorità, partner e familiari.
  3. Continuità operativa e disaster recovery
    backup affidabili dei sistemi gestionali;
    • piani per garantire la continuità del servizio (es. funzionamento manuale in emergenza, ridondanza dei sistemi di controllo dei forni).
  4. Sicurezza della catena di fornitura
    • verifiche su fornitori ICT, software gestionali, manutentori dei forni crematori, provider cloud;
    • clausole contrattuali sulla cybersicurezza.
  5. Sicurezza nell’acquisizione e sviluppo dei sistemi
    • criteri di sicurezza nella scelta di nuovi software e impianti;
    • gestione strutturata delle vulnerabilità.
  6. Verifica periodica dell’efficacia delle misure
    • audit interni, test tecnici, controlli sui log.
  7. Igiene informatica di base e formazione
    • aggiornamenti, antivirus, gestione corretta delle password;
    • campagne di sensibilizzazione per tutto il personale, inclusi operatori di camera mortuaria e personale amministrativo.
  8. Crittografia
    • cifratura dei dati sensibili e delle comunicazioni, soprattutto per archivi di pratica funeraria e dati dei congiunti.
  9. Sicurezza delle risorse umane e controllo accessi
    • definizione dei profili di accesso (chi vede cosa);
    • gestione delle uscite del personale.
  10. Autenticazione forte e comunicazioni protette
    • uso di autenticazione a più fattori;
    • protezione delle connessioni remote (VPN, protocolli sicuri).

In più, gli organi di amministrazione e direzione devono approvare le modalità di implementazione, vigilare e possono essere responsabili in caso di violazioni; sono tenuti anche a formarsi in materia di cybersicurezza.

4. Registrazione e “punto di contatto”: cosa deve fare l’azienda

I soggetti che rientrano nel perimetro NIS2 devono registrarsi tramite il Portale dell’Agenzia per la Cybersicurezza Nazionale (ACN) e nominare un Punto di contatto:
  • il punto di contatto è una persona fisica che cura l’attuazione del decreto in nome e per conto dell’ente;
  • può essere il legale rappresentante, un procuratore generale o un dipendente con specifica delega formale;
  • può appoggiarsi a consulenti esterni e può essere lo stesso per più società del gruppo.
La procedura prevede:
  1. accesso con SPID/CIE e completamento dei dati anagrafici;
  2. associazione all’organizzazione e dichiarazione del ruolo (rappresentante legale / delegato);
  3. compilazione della scheda di registrazione con:
    • settore e tipologia di soggetto;
    • dati sull’organizzazione e sui servizi;
    • autovalutazione sul livello di maturità;
  4. invio della dichiarazione, che sarà poi verificata dall’Autorità di settore.
Il decreto prevede una gradualità degli obblighi: prima l’adempimento degli obblighi di base (registrazione, governance, notifiche), poi l’applicazione di misure più avanzate in funzione della categorizzazione dei servizi (obblighi “a lungo termine”).

5. Rischi cyber tipici per pompe funebri e crematori

Per capire dove intervenire, è utile tradurre la normativa nella realtà operativa:
Blocco dei sistemi di agenda e gestione pratiche
Un ransomware che cifra il gestionale potrebbe impedire la programmazione di funerali e cremazione, con forti ripercussioni sui familiari e sull’ordine pubblico locale.

Manomissione dei sistemi di controllo dei forni
Un attacco ai sistemi industriali (OT) dei crematori può causare fermi impianto o problemi di conformità ambientale.

Furto di dati sensibili
Le pratiche funerarie contengono dati particolarmente delicati su defunti e familiari; una violazione genererebbe danni reputazionali e sanzioni privacy.

Compromissione della posta elettronica e delle PEC
Email e PEC sono l’ossatura dei rapporti con Comuni, ASL, Prefetture: un attacco può creare confusione amministrativa o frodi.

6. Una mini roadmap per il settore funerario

Che siate già nel perimetro NIS2 o semplicemente vogliate allinearvi alle migliori pratiche, una possibile roadmap è:
  1. Verificare se rientrate formalmente nel decreto
    – dimensioni dell’impresa;
    – natura pubblica / privata / in house;
    – appartenenza a gruppi multiutility già soggetti NIS.
  2. Nominare un responsabile interno della cybersicurezza
    Non necessariamente un CISO strutturato: può essere una figura interna con un mandato chiaro, affiancata da consulenti specializzati.
  3. Mappare i sistemi critici
    – gestionali;
    – sistemi OT dei forni;
    – archivi documentali;
    – PEC e portali istituzionali.
  4. Definire policy minime e piani di emergenza
    – password, backup, aggiornamenti, gestione fornitori;
    – piano per continuare ad erogare il servizio in caso di blocco ICT.
  5. Formare il personale
    – focus su phishing, uso corretto di credenziali, gestione dei dati dei familiari;
    coinvolgimento anche del personale operativo non “informatizzato”.

In conclusione

La NIS2 è “l’ennesimo adempimento”? Solo l’adozione della disciplina e il trascorrere di un primo periodo di rodaggio potrà rispondere a questo interrogativo.
 
Avv. Alice Merletti

SCACF

PAOLOIMERI

Bertelli

Biemme Special Cars

Radiv - Produzione di arredi funebri

Abbattitore Salme - Coccato e Mezzetti

Rotastyle - L'arte del prezioso ricordo

MEMORIAE

Infortunistica Tossani

Alfero Merletti - Studio Legale

FIAT_IFTA

Funeral GLobe

Oltre Facebook