Il 13 aprile 2026 l’Agenzia per la Cybersicurezza Nazionale ha adottato due Determinazioni (127434/2026 e 127437/2026) in aggiornamento al quadro attuativo del decreto legislativo n. 138/2024, con cui l’Italia ha recepito la Direttiva NIS2. Le due Determinazioni introducono ulteriori adempimenti da gestire mediante il portale ACN e avviano un processo di categorizzazione che cambierà il modo in cui i soggetti NIS documentano le proprie attività critiche. Per le imprese già registrate o prossime all’iscrizione, il tempo per adeguarsi è definito e non comprimibile.
I nuovi soggetti NIS 2026: le scadenze operative
La Determinazione 127434/2026, in vigore dal 30 aprile 2026, riguarda i soggetti inseriti per la prima volta nell’elenco NIS nel corso del 2026. Per questi, il quadro delle scadenze è il seguente: le misure di sicurezza previste dagli allegati alla Determinazione del 19 dicembre 2025 dovranno essere adottate entro il 31 luglio 2027; l’obbligo di notifica degli incidenti significativi decorre dal 1° gennaio 2027; gli eventuali obblighi specifici in materia di sicurezza e resilienza dei sistemi di nomi di dominio seguono anch’essi la scadenza del 31 luglio 2027.
La scelta di concedere un periodo di adeguamento fino al 2027 riflette la consapevolezza che costruire un sistema di gestione della cybersicurezza conforme alla NIS2 non è un adempimento documentale, ma un investimento organizzativo che richiede tempo, risorse e revisione dei processi interni. Non è, però, un lasciapassare per l’inerzia: il percorso va avviato adesso.
La novità strutturale: la categorizzazione delle attività e dei servizi
La Determinazione 127437/2026 – in vigore dal 15 aprile 2026, con il Capo V sulla categorizzazione che scatta dal 1° maggio – predispone le modifiche al portale ACN per quello che è probabilmente l’obbligo più rilevante dal punto di vista operativo: ogni anno, dal 1° maggio al 30 giugno, i soggetti NIS dovranno comunicare tramite il nuovo Servizio NIS/Categorizzazione l’elenco categorizzato delle proprie attività e servizi, attribuendo a ciascuno le categorie di rilevanza stabilite dall’ACN.
Il meccanismo è chiaro: l’ACN vuole una mappatura strutturata delle funzioni critiche dei soggetti NIS, e si aspetta che venga prodotta con puntualità e precisione.
I fornitori rilevanti: un nuovo censimento obbligatorio
La stessa Determinazione introduce la struttura che nel portale ACN consentirà di adempiere all’obbligo di censire i fornitori rilevanti NIS: i soggetti che forniscono prodotti o servizi ICT al soggetto NIS, oppure la cui interruzione avrebbe un impatto significativo sulla continuità operativa. Per ciascun fornitore rilevante dovranno essere indicati denominazione, codice fiscale, paese di sede legale, codici CPV relativi alle forniture e il criterio di rilevanza applicato.
Si tratta di un obbligo che impone una revisione della catena di approvvigionamento con occhi diversi rispetto al passato: non più solo contrattuale o commerciale, ma sistemica e orientata al rischio cyber. Le imprese che non hanno mai mappato le proprie dipendenze critiche da fornitori tecnologici dovranno farlo entro il prossimo aggiornamento annuale.
Le altre modifiche operative
La Determinazione prevede inoltre che, in caso di indisponibilità del referente CSIRT e dei suoi sostituti, il punto di contatto possa effettuare le notifiche di incidenti in via eccezionale. Per le entità finanziarie soggette al Regolamento DORA, sono previste esenzioni dall’obbligo di designazione del referente CSIRT e dal processo di categorizzazione, con facoltà di adesione volontaria.
Per i soggetti già registrati nell’elenco NIS 2025, la piattaforma presenterà informazioni precompilate all’avvio dell’aggiornamento annuale 2026, sulla base di quanto trasmesso fino al 14 aprile 2026. Un alleggerimento procedurale apprezzabile, che non riduce però la responsabilità del soggetto sulla correttezza e completezza dei dati confermati.
