1. Premessa

L’Agenzia per la Cybersicurezza Nazionale (di seguito, “ACN”) ha pubblicato 3 nuove Determinazioni: la n. 127434/2026, la n. 127437/2026 e la n. 155238/2026.

Tali provvedimenti introducono novità significative nonché importanti indicazioni operative per tutte le imprese qualificate come “soggetti NIS” e si inseriscono nel percorso di attuazione della normativa.

Di seguito riportiamo un’analisi dei principali aspetti di interesse.

2. Termini per l’adozione delle misure di sicurezza e per la notifica degli incidenti significativi

La Determinazione n. 127434/2026 (di seguito, anche, “Prima Determinazione”) detta una serie di termini che devono essere considerati da coloro che sono stati inseriti nell’elenco dei soggetti NIS nel 2026. In particolare, tali soggetti dovranno:

• adottare le misure di sicurezza – meglio precisate negli allegati 1 e 2 alla Determinazione n. 379907/2025 – entro il 31 luglio 2027;
• adempiere all’obbligo di notifica degli incidenti significativi – di cui agli allegati 3 e 4 alla Determinazione n. 379907/2025 – a decorrere dal 1° gennaio 2027.

Per i soggetti già inseriti nell’elenco dei soggetti NIS nel 2025, che vi permangono nel 2026, rimangono fermi i termini già fissati in precedenza da ACN e, rispettivamente, per gli adempimenti sopra riportati, (i) 18 mesi e (ii) 9 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS.

Attenzione invece ai gestori di registri dei nomi di dominio di primo livello e ai fornitori di servizi di registrazione dei nomi di dominio inseriti nell’elenco dei soggetti NIS nel 2026, i quali devono adempiere alle previsioni di cui all’art. 29, c. 1, 2 e 3 del D. Lgs. 138/2024 (di seguito, “Decreto NIS2”), entro il 31 luglio 2027. Per tali categorie di soggetti che erano già presenti nell’elenco dei soggetti NIS nel 2025 e vi permangono nel 2026, rimane fermo il termine di 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS.

3. Principali aggiornamenti introdotti e indicazioni operative

La Determinazione n. 127437/2026 (di seguito, anche, “Seconda Determinazione”) – la quale aggiorna e sostituisce la Determinazione ACN n. 379887/2025 – stabilisce termini, modalità e procedimenti di utilizzo e accesso al Portale dei Servizi (di seguito, “Portale ACN”), le ulteriori informazioni richieste ai soggetti NIS, nonché i termini, le modalità e i procedimenti di designazione di alcune figure chiave.

Si riportano quindi di seguito gli aspetti più rilevanti contenuti nella predetta determinazione.

1. Registrazione dei soggetti NIS, aggiornamento annuale delle informazioni e categorizzazione di attività e servizi

Riportiamo di seguito alcune finestre temporali – e le relative attività correlate – a cui i soggetti NIS2 devono sempre prestare attenzione.

• Dal 1° gennaio al 28 febbraio di ogni anno: registrazione.

Durante questo periodo, gli utenti dovranno compilare sul Portale ACN la dichiarazione per il soggetto NIS per cui operano, al fine della sua registrazione e, in particolare, assicurandosi che le informazioni fornite siano complete e corrette.

Anche i soggetti che sono già presenti nell’elenco dovranno procedere con tale registrazione e, per agevolarli, il sistema metterà a loro disposizione una bozza di dichiarazione precompilata sulla base delle informazioni precedentemente trasmesse.

Un elemento di particolare interesse è rappresentato dai controlli automatici del Portale ACN: qualora durante la compilazione il sistema rilevi delle incongruenze, le stesse verranno segnalate all’utente, fornendogli la possibilità di correggere le informazioni incomplete e/o non corrette o fornire informazioni ulteriori per giustificare l’incongruenza rilevata.

Attenzione, inoltre, perché le dichiarazioni trasmesse oltre il termine indicato verranno considerate tardive, salvo che il ritardo sia giustificato da documentate impossibilità tecniche-operative.

In ogni caso, decorsi 10 (dieci) giorni dalla sottomissione della dichiarazione, la stessa si intenderà automaticamente acquisita e non modificabile.

• Dal 15 aprile al 31 maggio di ogni anno: aggiornamento.

In questa fase, vi è la possibilità di procedere con l’aggiornamento delle informazioni inserite all’interno del Portale ACN, assicurandosi che i dati inseriti siano corretti e aggiornati. Anche in questo caso, per agevolare i soggetti già inseriti nell’elenco, il sistema presenta le informazioni precompilate sulla base di quelle trasmesse fino a quel momento tramite i Servizi NIS.

A seguito dell’aggiornamento annuale, laddove siano sopravvenute delle modifiche alle informazioni trasmesse, sarà comunque possibile procedere con il loro inserimento nel Portale ACN.

• Dal 1° maggio al 30 giugno di ogni anno: categorizzazione delle attività e dei servizi.

Parzialmente sovrapposta alla fase precedente, vi è una fase ulteriore, durante la quale i soggetti NIS, dopo un’attenta analisi, sono tenuti a comunicare e aggiornare l’elenco delle proprie attività e servizi, includendo tutti gli elementi necessari alla loro caratterizzazione, assegnando altresì una “categoria di rilevanza”.

La finalità perseguita è quella di aggregare attività e servizi in funzione della categoria di rilevanza assegnata dal modello di categorizzazione adottato da ACN (di cui si dirà meglio nel successivo paragrafo C) e così prevedere misure di sicurezza differenziate in relazione alle categorie di rilevanza delle attività e dei servizi che i sistemi informativi e di rete supportano, svolgono o erogano.

Ad oggi, infatti, sono state definite le c.d. misure di sicurezza di base. Tali misure saranno integrate, entro la fine del 2026, da misure di sicurezza aggiuntive – caratterizzate da requisiti di livello avanzato rispetto a quelle di base – che confluiranno nelle c.d. misure di sicurezza a lungo termine, per la realizzazione delle quali verrà stabilito anche l’arco temporale entro il quale questa attività dovrà essere completata.

La Determinazione n. 155238/2026 (di seguito, la “Terza Determinazione”) e i relativi allegati intervengono proprio definendo il processo, le modalità e i criteri per procedere con la elencazione e la categorizzazione. Vedremo più nel dettaglio il suo contenuto nel successivo paragrafo C).

2. Elencazione dei c.d. Fornitori rilevanti NIS

Tra le novità più interessanti introdotte dalla Seconda Determinazione vi è l’obbligo individuare e comunicare i c.d. “Fornitori rilevanti NIS”, indicando la denominazione, il codice fiscale, il Paese in cui hanno sede legale, i codici CPV (Common Procurement Vocabulary) relativi alle forniture di cui fruisce il soggetto NIS e il criterio di rilevanza utilizzato per attribuirgli tale qualificazione di “Fornitore rilevante NIS”.

Non si tratta di una semplice attività di censimento, ma di un passaggio che richiede una valutazione sostanziale delle dipendenze operative dell’organizzazione. Rientrano infatti tra i Fornitori rilevanti NIS i soggetti che assicurano la fornitura di servizi e di prodotti a un soggetto NIS e soddisfano almeno uno dei seguenti criteri di rilevanza:

1. la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del Decreto NIS2 (fornitura ICT);
2. l’interruzione o la compromissione della fornitura comporta un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del Decreto NIS2 (fornitura non fungibile).

All’interno delle FAQ accessibili tramite il Portale ACN, alla voce “FRN.4” sono riportati alcuni esempi concreti.

La FAQ chiarisce che tra i Fornitori rilevanti NIS rientrano tutte le dipendenze digitali del soggetto NIS, nonché le dipendenze non digitali che non possono essere sostituite senza determinare un impatto significativo sulle attività e sui servizi NIS.

In particolare:

1. tra i fornitori dei servizi ICT rientrano i fornitori (i) delle infrastrutture digitali (quali punti di interscambio internet, servizi di sistema dei nomi di dominio, servizi di cloud computing, servizi di data center, reti di distribuzione dei contenuti, servizi fiduciari, reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica accessibili al pubblico) e (ii) dei servizi gestiti e servizi gestiti di sicurezza (quali servizi informatici, servizi di gestione connessi all’informatica, servizi di manutenzione e assistenza sistemi, servizi di consulenza e assistenza informatica e servizi di audit e collaudo informatico);
2. tra i fornitori di servizi non fungibili rientrano, invece, i fornitori (i) di connettività (dati e voce, fissa e mobile), qualora non ridondata e (ii) di corrente elettrica.

Più che un semplice adempimento formale, questa novità rappresenta un passaggio chiave: richiede alle organizzazioni di interrogarsi sulle proprie reali dipendenze operative e di individuare i fornitori che incidono concretamente sulla continuità dei loro servizi NIS.

3. Modalità per l’elencazione e la categorizzazione delle attività e dei servizi

Come anticipato, la Terza Determinazione ha definito quelle che sono le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi dei soggetti NIS. Non solo, ACN ha adottato delle Linee Guida relative al modello di categorizzazione, particolarmente utili per gli operatori.

In particolare, il c.d. modello di categorizzazione viene indicato all’interno degli Allegati 1 e 2 al provvedimento e reca 10 macro-aree per le quali sono indicate la denominazione, la descrizione nonché la categoria di rilevanza preassegnata.

Sono state definite 4 categorie di rilevanza con livello di impatto crescente: “impatto minimo”, “impatto basso”, “impatto medio” e “impatto alto”.

Operativamente i soggetti NIS dovranno dunque indicare e “categorizzare” nel Portale ACN tutte le attività svolte e i servizi erogati, internamente ed esternamente, suddivisi nelle macro-aree indicate da ACN.

Ma come avviene nel concreto tale processo?

Il soggetto NIS può adottare un processo articolato nelle seguenti fasi:

• identificazione attività/servizi: consiste nell’individuare tutte le attività svolte e tutti i servizi prestati dall’organizzazione che risultano supportati, svolti o erogati da sistemi informativi e di rete. Per un approfondimento sulle possibili metodologie a riguardo, si può fare riferimento a quanto indicato dalle Linee Guida citate sopra;
• mappatura attività/servizi in macro-aree: le attività e i servizi individuati sono associati alle macro-aree definite dal modello di categorizzazione che meglio ne rappresenta le finalità e le caratteristiche. Poiché ogni attività o servizio devono essere associati a una sola macro-area, qualora siano riconducibili a più macro-aree, è necessario procedere a una loro ulteriore scomposizione, al fine di associarli a una specifica macro-area;
• attribuzione categoria di rilevanza: per ogni attività o servizio individuato ACN ha assegnato una specifica categoria di rilevanza. Tuttavia, sulla base della valutazione dell’impatto di una possibile compromissione dell’attività o del servizio sulla capacità del soggetto di svolgere correttamente le attività e i servizi per i quali è stato censito come soggetto NIS e conservando la documentazione recante tale analisi, è possibile indicare una categoria di rilevanza differente. Di conseguenza, una stessa macro-area potrà avere al suo interno attività e servizi con differenti categorie di rilevanza.

4. Verifiche di conformità a campione

ACN si riserva di effettuare delle verifiche a campione volte a verificare la coerenza delle informazioni contenute nelle dichiarazioni trasmesse, con tempistiche definite e possibilità di richiedere integrazioni o chiarimenti.

Un aspetto interessante riguarda i termini procedurali introdotti. ACN è infatti tenuta a fornire un riscontro entro 30 (trenta) giorni dalla presentazione della dichiarazione; tale termine può essere prorogato, una sola volta e per un massimo di 20 (venti) giorni, qualora siano necessari ulteriori approfondimenti.

I termini sono inoltre sospesi nel caso in cui l’Autorità richieda integrazioni, informazioni aggiuntive o modifiche all’elenco. In questa ipotesi, il termine ricomincia a decorrere dalla data di ricevimento delle risposte, che dovranno essere fornite entro 30 (trenta) giorni dalla richiesta. Il mancato o tardivo riscontro può comportare il rigetto della dichiarazione. Concluse le verifiche, ACN comunica l’esito, positivo o negativo.

Accanto a questo primo livello di controllo, è previsto che ACN effettui ulteriori verifiche a campione finalizzate a valutare la conformità degli elenchi categorizzati, anche in un’ottica comparativa tra soggetti NIS comparabili.

In tali casi, il termine per il riscontro è fissato in 90 (novanta) giorni, prorogabile una sola volta fino a un massimo di 60 (sessanta) giorni. Anche in questo secondo scenario, si applica la sospensione dei termini in caso di richieste istruttorie, con le medesime modalità sopra descritte. Tuttavia, qualora l’Autorità non si pronunci entro i termini previsti, l’elenco categorizzato si intende automaticamente convalidato.

4. Conclusione

Le Determinazioni pubblicate da ACN confermano l’evoluzione del “sistema NIS2” verso un modello sempre più strutturato, nel quale la compliance normativa si intreccia in modo sempre più stretto con la governance operativa e la gestione del rischio.

I soggetti NIS non sono chiamati soltanto a rispettare obblighi formali, ma a dimostrare una concreta capacità organizzativa nel presidiare la sicurezza informatica.

In questa prospettiva, adempimenti quali la mappatura dei c.d. fornitori rilevanti e l’individuazione delle categorie di rilevanza, assumono un valore strategico, contribuendo a costruire una visione integrata delle vulnerabilità e delle dipendenze aziendali.

Adeguarsi tempestivamente significa non solo ridurre il rischio di esposizione a possibili sanzioni, ma anche rafforzare la resilienza complessiva dell’organizzazione in un contesto sempre più esposto a cyber attacchi.

La sfida, dunque, non è solo normativa, ma anche – e soprattutto – organizzativa.