Quasi 200 professionisti tra manager, esperti di sicurezza informatica e rappresentanti delle Istituzioni si sono confrontati a Roma in occasione del Security Summit 2026, l'appuntamento organizzato da Clusit – Associazione Italiana per la Sicurezza Informatica – insieme ad Astrea. La tappa capitolina ha confermato il ruolo dell'evento come punto di incontro tra imprese e settore pubblico sui principali temi della cybersecurity: dalla compliance alla direttiva NIS2 alla resilienza operativa, fino alla protezione delle infrastrutture critiche e del patrimonio culturale.
La giornata si è aperta con una sessione dedicata allo scenario nazionale del cybercrime e si è conclusa con il confronto diretto tra i soggetti NIS e l'Agenzia per la Cybersicurezza Nazionale (ACN), che ha risposto ai quesiti delle organizzazioni coinvolte negli adempimenti previsti per il 2026.
Un confronto tra pubblico e privato sulla cybersicurezza
Secondo Luca Becchelli, membro del Comitato Direttivo di Clusit, il valore del Summit risiede soprattutto nel dialogo continuo tra istituzioni e imprese. "ACN ha costruito negli ultimi anni un canale di confronto stabile con il settore e questo rappresenta un asset strategico per il Sistema Paese", ha sottolineato.
Becchelli ha inoltre illustrato i primi risultati di una survey condotta tra i partecipanti ai Security Summit. L'indagine evidenzia come gli incontri tecnici con ACN siano tra i momenti più apprezzati, mentre le maggiori preoccupazioni riguardano ancora la gestione procedurale degli adempimenti NIS2, soprattutto per le piccole e piccolissime imprese. Tra gli aspetti più complessi emergono la definizione di ruoli e responsabilità e la predisposizione della documentazione richiesta.
Rizzi: "Ora i protagonisti sono i soggetti NIS"
L'intervento di Milena Rizzi, dell'Agenzia per la Cybersicurezza Nazionale, ha fatto il punto sullo stato di avanzamento della direttiva NIS2. "L'attuazione della direttiva procede per fasi e oggi siamo nella terza fase, quella in cui i protagonisti diventano i soggetti coinvolti, mentre l'Agenzia ha già realizzato circa l'80% dell'impianto regolatorio", ha spiegato.
Il primo adempimento di questa fase è la categorizzazione delle attività e dei servizi, passaggio fondamentale per applicare il principio di proporzionalità degli obblighi in funzione dell'esposizione al rischio. La valutazione dell'impatto si articola su quattro livelli e consentirà di definire nel tempo misure di sicurezza adeguate alle diverse tipologie di servizi.

Più consapevolezza tra le organizzazioni
Relativamente alla survey, Rizzi ha evidenziato anche un'evoluzione positiva nella consapevolezza delle organizzazioni. Se lo scorso anno il dubbio principale riguardava l'autovalutazione per stabilire l'appartenenza al perimetro NIS, oggi questa preoccupazione è scesa al 14% delle risposte raccolte. Restano invece particolarmente sentiti gli obblighi di notifica verso il CSIRT e la corretta individuazione degli incidenti da segnalare.
Un altro dato significativo riguarda la supply chain: l'88% dei partecipanti ritiene che la NIS2 rappresenti un'opportunità per rafforzare la sicurezza della filiera. "Si sta affermando la consapevolezza che investire in misure di cybersicurezza per proteggere la propria organizzazione e quella dei clienti costituisce una leva competitiva e un investimento che produce valore nel tempo", ha affermato Rizzi.

I numeri confermano la dimensione del percorso avviato: ad oggi risultano censite circa 30 mila organizzazioni, di cui oltre 20 mila soggetti NIS e più di 5 mila classificati come soggetti essenziali. Dopo le tappe di Milano, Napoli e Roma, il Security Summit proseguirà a Verona il prossimo 28 ottobre.
