Cybersecurity, il 31 ottobre è la prova del nove per le imprese: la difesa deve funzionare

La normativa NIS2 impone alle aziende scadenze precise per proteggersi dagli attacchi informatici: notifica degli incidenti, censimento dei fornitori a rischio, misure di sicurezza operative entro fine ottobre. E la responsabilità ricade sul consiglio di amministrazione.

image 1

Il 31 ottobre 2026 chiude la prima fase di attuazione della direttiva NIS2 in Italia: da quella data i soggetti già iscritti nell’elenco ACN dal 2025 dovranno avere le misure di sicurezza di base non solo scritte in una policy, ma operative e dimostrabili. Dopo quella scadenza, l’Agenzia per la Cybersicurezza Nazionale potrà avviare le verifiche.

È il segnale che la NIS2 sta cambiando natura. Per due anni è stata soprattutto un tema da convegno; nel 2026 diventa un calendario di adempimenti concreti, con scadenze che si sono già succedute nei primi mesi dell’anno e che riguardano un numero crescente di imprese della Pianura, specie nei settori manifatturiero, logistico e dei servizi essenziali.

Cosa è già scattato

image

Dal 15 gennaio 2026 è attivo l’obbligo di notifica degli incidenti significativi al CSIRT Italia: una pre-notifica entro 24 ore dall’evento, seguita dalla notifica completa entro 72 ore. Tra il 1° maggio e il 30 giugno le imprese soggette hanno dovuto categorizzare, tramite il portale ACN, tutte le attività e i servizi erogati attraverso i propri sistemi informativi, riconducendoli a una delle dieci macro-categorie individuate dall’Agenzia. Entro il 31 maggio, invece, è scattato l’obbligo – introdotto dalla Determinazione ACN n. 127437/2026 – di censire sulla piattaforma i fornitori “rilevanti”: quelli la cui interruzione, in assenza di alternative reali, comprometterebbe la continuità del servizio. Il perimetro non riguarda solo l’IT: rientrano anche le dipendenze critiche su energia, connettività e logistica.

Le imprese entrate nell’elenco NIS solo nel 2026 hanno un percorso più graduale: referente CSIRT da designare entro il 31 dicembre, obbligo di notifica degli incidenti dal 1° gennaio 2027, misure di sicurezza di base da completare entro il 31 luglio 2027.

Perchè riguarda anche il consiglio di amministrazione

image 3

L’articolo 23 del D.Lgs. 138/2024 attribuisce la responsabilità della compliance direttamente agli organi di amministrazione e direzione, non al reparto IT. È una responsabilità non delegabile: si può affidare la parte operativa a un referente interno o a un partner esterno, ma non la responsabilità formale in caso di verifica o di incidente. Le sanzioni previste dalla norma per la negligenza dei vertici possono arrivare a 10 milioni di euro o al 2% del fatturato globale annuo.

Cosa significa in pratica per una PMI della Pianura

Al di là delle scadenze, il punto che l’Agenzia ripete con insistenza è che la conformità non si misura sulla carta, ma sulla capacità di dimostrare – con evidenze verificabili – che le misure sono attive: autenticazione a più fattori, backup testati, segmentazione delle reti, un piano di continuità operativa che funzioni davvero se serve. Sarà proprio questo il cuore del confronto al convegno “Sotto Attacco”, il 1° ottobre, organizzato da Pianura Network a Treviglio Fiera in collaborazione con Trust Data Solution, Halley Lombardia e Zucchetti, con il patrocinio di Regione Lombardia: un’occasione per capire, con il contributo di alti profili scientifici del Politecnico di Milano e non solo, come tradurre in pratica questi obblighi. Un appuntamento pensato per dare alle imprese della Pianura indicazioni operative su governance, compliance NIS2 e gestione degli incidenti, non solo un aggiornamento normativo, ma un percorso concreto verso la scadenza di ottobre.

Screenshot 2026 07 01 154058
Federica
Federica Bonassi
Nata nel 2002, sono laureata in Economia e attualmente frequento la facoltà di International management and marketing. Fin da giovane, ho sviluppato un forte interesse per il mondo della comunicazione nell’ambito economico. Il mio obiettivo professionale è continuare a lavorare nel campo della comunicazione perché mi appassiona e anche perché lo ritengo fondamentale per creare connessioni efficaci e valorizzare al meglio ogni progetto. Il mio hobby preferito? Il volley che pratico a livello agonistico. Sono un’alzatrice, mi piace fare squadra. L’alzatrice mantiene la squadra unita, comunica con tutti e crea sintonia, proprio come un facilitatore in un team aziendale che assicura che la comunicazione interna sia fluida e produttiva.
Articoli correlati

Regione Lombardia stanzia 255 milioni per l’innovazione. E nella ZIS agricola c’è anche Pianura Network

Il Pacchetto Innovazione presentato dall'assessore Guidesi include le Zone di Innovazione e Sviluppo (ZIS) come fulcro della politica industriale territoriale. Una delle quattro candidature...

Report Banca d’Italia: la Lombardia cresce. E la Pianura è parte attiva di questa storia

Il rapporto annuale della Banca d’Italia certifica un 2025 positivo per l’economia regionale: manifattura in ripresa, occupazione ai massimi storici, imprese che investono in...

Il formaggio made in Italy sfida dazi e geopolitica: record a 6,7 miliardi di export

All’assemblea di Assolatte a Milano – con il presidente bergamasco Paolo Zanetti riconfermato alla guida – emerge la forza di una filiera che sa...
- adv -300x250

I più letti