Sono online sul sito web istituzionale dell’Agenzia per la cybersicurezza nazionale le determine sui termini per gli adempimenti dei nuovi soggetti NIS e sull’aggiornamento delle modalità di utilizzo e accesso alla piattaforma ACN, con particolare riferimento all’elenco dei fornitori rilevanti, esaminate nell’ottava riunione del Tavolo NIS.

In particolare, la Determina 127434/2026, stabilisce i nuovi termini che i soggetti inseriti per la prima volta nel 2026 nell’elenco dei soggetti NIS devono rispettare per adempiere agli obblighi della determinazione recante le specifiche di base (379907/2025).
Conclusasi con la fine del 2025 la fase di prima applicazione (articolo 42 del decreto NIS), pertanto, per i nuovi soggetti NIS registratisi nel 2026 l’obbligo di notifica degli incidenti significativi di base decorre a partire dal primo gennaio 2027 (ed è quindi necessario designare il referente CSIRT entro fine 2026) e le misure di sicurezza di base devono essere adottate entro luglio 2027.

La Determinazione 127437/2026, invece, nell’aggiornare le modalità di utilizzo e accesso alla piattaforma digitale, introduce l’articolo 18 relativo all’elencazione dei fornitori rilevanti. Questo esercizio è necessario per selezionare, tra i fornitori, coloro i quali dovranno essere individuati quali soggetti importanti o essenziali al fine di promuovere un adeguato livello di sicurezza informatica lungo la catena di approvvigionamento dei soggetti NIS (articolo 3, comma 9, lettera f) del decreto NIS). La determina introduce anche, agli articoli 20 e 21, la regolazione degli aspetti procedurali dell’elencazione e categorizzazione delle attività e dei servizi (articolo 30 del decreto NIS).

La settimana prossima sarà pubblicata la determinazione recante il modello di categorizzazione, unitamente al materiale informativo per supportare i soggetti nello svolgimento, nei mesi di maggio e giugno, di questa analisi di impatto (BIA), semplificata e condivisa nei Tavoli settoriali. Alla luce delle novità introdotte nei prossimi giorni verrà aggiornata l’area web dedicata alla NIS sul sito istituzionale di ACN.

Consulta le domande frequenti NIS

Le informazioni sopra riportate sono state ricavate dal sito di ACN  https://www.acn.gov.it/portale/w/nis-online-le-determine-sugli-adempimenti-per-i-nuovi-soggetti-e-sulle-modalita-di-accesso-alla-piattaforma-acn

Quali sono gli aspetti più rilevanti da considerare nella determinazione ACN di aprile 2026?

Il primo punto è capire se il soggetto è già entrato nell’elenco NIS nel 2025 oppure vi entra per la prima volta nel 2026. La Determinazione ACN n. 127434/2026 serve infatti soprattutto a fissare il calendario dei nuovi soggetti NIS 2026; per i soggetti già inclusi nel 2025 restano fermi i termini già previsti dalla disciplina precedente.

Per i neo-inseriti nel 2026, i due snodi temporali più importanti sono questi:

  • obbligo di notifica degli incidenti significativi di base dal 1° gennaio 2027 e
  • adozione delle misure di sicurezza di base entro il 31 luglio 2027.

Inoltre va considerata la designazione del referente CSIRT entro fine 2026. Sono le tre scadenze operative che incidono di più sulla pianificazione aziendale.

Il secondo aspetto davvero centrale è che la determinazione non è solo uno slittamento di date, ma impone una programmazione interna immediata: bisogna attivare governance, ruoli, processo di incident handling, raccolta evidenze e piano di adeguamento tecnico-organizzativo con anticipo, perché gli obblighi poi decorrono in modo pieno e verificabile. Questo è coerente con il quadro delle “specifiche di base” ACN già fissate con la Determinazione 379907/2025, cui la 127434/2026 rinvia espressamente.

Il terzo profilo da non sottovalutare è la piattaforma ACN. In parallelo, la Determinazione ACN n. 127437/2026 aggiorna le modalità di accesso e utilizzo della piattaforma e introduce una novità molto rilevante sulla supply chain: l’elencazione dei fornitori rilevanti. Questo significa che non basta più guardare solo ai sistemi interni, ma occorre mappare i fornitori critici, specialmente ICT e cloud, e capire quali abbiano impatto sulla sicurezza dei servizi NIS.

Sul piano pratico, quindi, le verifiche più importanti sono cinque:

  • qualifica del soggetto (2025 o 2026),
  • nomina e continuità del referente CSIRT,
  • processo di notifica incidenti,
  • gap analysis rispetto alle misure di base,
  • mappatura dei fornitori rilevanti e della catena di approvvigionamento. È qui che si concentra il rischio di non conformità organizzativa, più ancora che nella sola lettura della scadenza finale.