La normativa NIS2 impone alle aziende scadenze precise per proteggersi dagli attacchi informatici: notifica degli incidenti, censimento dei fornitori a rischio, misure di sicurezza operative entro fine ottobre. E la responsabilità ricade sul consiglio di amministrazione.

Il 31 ottobre 2026 chiude la prima fase di attuazione della direttiva NIS2 in Italia: da quella data i soggetti già iscritti nell’elenco ACN dal 2025 dovranno avere le misure di sicurezza di base non solo scritte in una policy, ma operative e dimostrabili. Dopo quella scadenza, l’Agenzia per la Cybersicurezza Nazionale potrà avviare le verifiche.
È il segnale che la NIS2 sta cambiando natura. Per due anni è stata soprattutto un tema da convegno; nel 2026 diventa un calendario di adempimenti concreti, con scadenze che si sono già succedute nei primi mesi dell’anno e che riguardano un numero crescente di imprese della Pianura, specie nei settori manifatturiero, logistico e dei servizi essenziali.
Cosa è già scattato

Dal 15 gennaio 2026 è attivo l’obbligo di notifica degli incidenti significativi al CSIRT Italia: una pre-notifica entro 24 ore dall’evento, seguita dalla notifica completa entro 72 ore. Tra il 1° maggio e il 30 giugno le imprese soggette hanno dovuto categorizzare, tramite il portale ACN, tutte le attività e i servizi erogati attraverso i propri sistemi informativi, riconducendoli a una delle dieci macro-categorie individuate dall’Agenzia. Entro il 31 maggio, invece, è scattato l’obbligo – introdotto dalla Determinazione ACN n. 127437/2026 – di censire sulla piattaforma i fornitori “rilevanti”: quelli la cui interruzione, in assenza di alternative reali, comprometterebbe la continuità del servizio. Il perimetro non riguarda solo l’IT: rientrano anche le dipendenze critiche su energia, connettività e logistica.
Le imprese entrate nell’elenco NIS solo nel 2026 hanno un percorso più graduale: referente CSIRT da designare entro il 31 dicembre, obbligo di notifica degli incidenti dal 1° gennaio 2027, misure di sicurezza di base da completare entro il 31 luglio 2027.
Perchè riguarda anche il consiglio di amministrazione

L’articolo 23 del D.Lgs. 138/2024 attribuisce la responsabilità della compliance direttamente agli organi di amministrazione e direzione, non al reparto IT. È una responsabilità non delegabile: si può affidare la parte operativa a un referente interno o a un partner esterno, ma non la responsabilità formale in caso di verifica o di incidente. Le sanzioni previste dalla norma per la negligenza dei vertici possono arrivare a 10 milioni di euro o al 2% del fatturato globale annuo.
Cosa significa in pratica per una PMI della Pianura
Al di là delle scadenze, il punto che l’Agenzia ripete con insistenza è che la conformità non si misura sulla carta, ma sulla capacità di dimostrare – con evidenze verificabili – che le misure sono attive: autenticazione a più fattori, backup testati, segmentazione delle reti, un piano di continuità operativa che funzioni davvero se serve. Sarà proprio questo il cuore del confronto al convegno “Sotto Attacco”, il 1° ottobre, organizzato da Pianura Network a Treviglio Fiera in collaborazione con Trust Data Solution, Halley Lombardia e Zucchetti, con il patrocinio di Regione Lombardia: un’occasione per capire, con il contributo di alti profili scientifici del Politecnico di Milano e non solo, come tradurre in pratica questi obblighi. Un appuntamento pensato per dare alle imprese della Pianura indicazioni operative su governance, compliance NIS2 e gestione degli incidenti, non solo un aggiornamento normativo, ma un percorso concreto verso la scadenza di ottobre.


















