L’Agenzia per la Cybersicurezza Nazionale ha pubblicato il 13 aprile due provvedimenti che aggiornano le regole della NIS2 per le imprese. La Determina n. 127434/2026, applicabile dal 30 aprile, fissa il calendario degli adempimenti per i soggetti inseriti per la prima volta nell’elenco NIS nel 2026. La Determina n. 127437/2026 introduce per tutti i soggetti NIS l’obbligo di elencare i fornitori rilevanti all’interno della piattaforma ACN. A breve ne seguirà una terza dedicata alle analisi di impatto che i soggetti NIS dovranno svolgere nei mesi di maggio e giugno.
Nuovi soggetti NIS 2026, tre scadenze in calendario
La direttiva europea prevede una serie di obblighi di sicurezza informatica per le aziende che appartengono a determinati settori considerati critici: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, tlc, aerospazio, servizi postali, gestione rifiuti, chimica, alimentari, manifattura, fornitori di servizi digitali, ricerca, pubbliche amministrazioni.
All’interno di questi settori, le aziende hanno obblighi se sono classificate come essenziali o importanti, in base alle dimensioni. Le piccole e micro imprese, per esempio, non hanno obblighi se non nel settore digitale.
I nuovi soggetti NIS sono le imprese che nel 2026 entrano per la prima volta nell’elenco dei soggetti chiamati al rispetto della direttiva NIS2, perché cresciute dimensionalmente, cambiate di settore o inserite a seguito della mappatura annuale dell’ACN.
Per questi soggetti, conclusa il 31 dicembre 2025 la fase di prima applicazione prevista dall’art. 42 del DLgs 138/2024, la Determina 127434/2026 fissa un calendario con tre scadenze progressive:
- entro il 31 dicembre 2026 designazione del referente CSIRT, la figura interna responsabile della gestione degli incidenti informatici e del contatto con l’autorità nazionale;
- dal 1° gennaio 2027 decorre l’obbligo di notifica degli incidenti significativi di base all’ACN, secondo le specifiche della Determinazione 379907/2025;
- entro il 31 luglio 2027 adozione delle misure di sicurezza di base previste dagli allegati 1 e 2 della stessa Determinazione 379907/2025.
I soggetti già inclusi nell’elenco NIS nel 2025 non beneficiano di questo calendario differito: per loro rimangono ferme le scadenze già previste.
La determinazione introduce anche un regime specifico per le entità finanziarie già soggette al Regolamento DORA: queste sono esentate da alcuni obblighi NIS, tra cui la nomina del referente CSIRT e la trasmissione dell’elenco degli organi di amministrazione. In caso di registrazione tardiva, il soggetto ha 30 giorni dalla comunicazione di inserimento nell’elenco per completare l’aggiornamento del proprio profilo sulla piattaforma.
Fornitori rilevanti nella supply chain su piattaforma ACN
La Determinazione 127437/2026, che aggiorna e sostituisce la precedente n. 379887/2025, introduce per tutti i soggetti NIS un nuovo obbligo informativo: l’elenco dei fornitori rilevanti (art. 18). Si tratta dell’obbligo di identificare, all’interno della piattaforma ACN, i fornitori della propria catena di approvvigionamento che per le caratteristiche dei servizi erogati devono essere classificati come soggetti importanti o essenziali ai fini della sicurezza informatica della filiera. L’adempimento si svolge nell’ambito del processo di aggiornamento annuale delle informazioni già previsto dalla normativa NIS2 e non costituisce quindi una procedura straordinaria.
La stessa determinazione definisce anche le modalità procedurali per la categorizzazione delle attività e dei servizi (artt. 20 e 21 della nuova determina). La logica sottostante è quella di estendere la cultura della cybersicurezza lungo tutta la supply chain, evitando che i soggetti NIS espongano le proprie infrastrutture a vulnerabilità derivanti da fornitori terzi non adeguatamente presidiati.
Analisi di impatto a maggio e giugno
L’ACN ha annunciato la prossima pubblicazione di una terza determinazione, dedicata al modello di categorizzazione e alle analisi di impatto — Business Impact Analysis (BIA) — che i soggetti NIS dovranno svolgere nei mesi di maggio e giugno 2026. Si tratta della valutazione con cui ciascuna organizzazione identifica le proprie vulnerabilità e i punti critici, stima le conseguenze di un eventuale incidente informatico e definisce le priorità di intervento per la protezione delle infrastrutture digitali.
Contestualmente alla determinazione, l’ACN renderà disponibile materiale informativo di supporto per accompagnare le imprese nello svolgimento di questa analisi, elaborato nell’ambito dei tavoli settoriali già attivi.
