Con tre recenti Determinazioni (n. 127437/2026, n. 127434/2026 e n. 155238/2026) l’Agenzia per la Cybersicurezza Nazionale (l’ACN) ha introdotto importanti chiarimenti e nuovi adempimenti operativi nell’attuazione della disciplina NIS, incidendo in particolare sugli obblighi informativi e di aggiornamento a carico dei soggetti rientranti nel perimetro NIS.
Le novità di maggiore rilievo riguardano, da un lato, l’elencazione dei fornitori rilevanti NIS e, dall’altro, la comunicazione e la categorizzazione annuale delle attività e dei servizi, entrambe funzionali a rafforzare la sicurezza informatica lungo la catena del valore e a migliorare la qualità delle informazioni trasmesse all’ACN.
Obbligo di elencazione dei fornitori rilevanti NIS
La prima Determinazione ACN introduce un nuovo obbligo informativo in capo ai soggetti NIS, i quali sono ora tenuti a elencare i propri fornitori rilevanti NIS mediante l’apposito servizio disponibile sul portale.
Come chiarito dall’ACN, dovranno essere indicati i fornitori rilevanti in ambito ICT ovvero quelli la cui interruzione o compromissione della fornitura possa comportare un impatto significativo sulla capacità del soggetto NIS di erogare le proprie attività o servizi.
L’obbligo è finalizzato a promuovere un adeguato livello di sicurezza informatica lungo l’intera catena di approvvigionamento, in linea con l’attenzione crescente alla gestione dei rischi derivanti da terze parti. In concreto, i soggetti NIS sono chiamati a identificare e comunicare i fornitori che, per natura delle prestazioni rese o per grado di integrazione nei sistemi informativi, risultano rilevanti ai fini della sicurezza informatica.
Elencazione e categorizzazione delle attività e dei servizi
La medesima Determinazione ACN disciplina inoltre in modo puntuale gli aspetti procedurali relativi all’elencazione e alla categorizzazione delle attività e dei servizi svolti dai soggetti NIS, che gli stessi devono comunicare sul portale ACN nell’arco temporale dal 1° maggio al 30 giugno di ogni anno.
Tale finestra temporale è ricorrente e predeterminata e l’omesso o incompleto adempimento degli obblighi previsti può esporre i soggetti interessati a rilievi in sede di vigilanza, anche nell’ambito di controlli a campione svolti dall’ACN. L’obiettivo perseguito dall’ACN è pertanto quello di disporre di una mappatura costantemente aggiornata delle attività e dei servizi essenziali o importanti, quale presupposto per una vigilanza mirata e proporzionata.
Inoltre, la terza Determinazione ACN definisce i modelli da utilizzare per la categorizzazione delle attività e dei servizi comunicati dai soggetti NIS. Le attività e i servizi devono essere ricondotti a dieci macro‑aree funzionali e classificati secondo un livello di rilevanza (impatto alto, medio, basso o minimo), determinato sulla base dell’impatto che un eventuale incidente cyber potrebbe avere sulla continuità operativa del soggetto interessato.
L’obbligo di categorizzazione si applica a partire dal 1° maggio 2026 e si inserisce nel più ampio obiettivo dell’ACN di disporre di informazioni strutturate e omogenee, funzionali a un’attività di vigilanza mirata e proporzionata.
Scadenze per i nuovi soggetti NIS
Con la seconda Determinazione ACN vengono infine precisati i profili temporali degli adempimenti NIS applicabili ai soggetti che procedono all’iscrizione per la prima volta al portale ACN nel corso dell’anno 2026.
In particolare, mentre per i soggetti già inclusi nell’elenco NIS le scadenze degli obblighi restano invariate, per i soggetti inseriti nell’elenco nel corso del 2026 sono previste queste scadenze:
- l’obbligo di notifica degli incidenti significativi dal 1° gennaio 2027;
- l’adozione delle misure di sicurezza entro il 31 luglio 2027.
