Aggiornamenti su termini di adempimento, fornitori rilevanti NIS e categorizzazione delle attività e dei servizi
Il 13 aprile 2026, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato due nuove determinazioni che aggiornano il quadro attuativo del D.lgs. 138/2024 (Decreto NIS).
Determinazione n. 127434/2026 – Termini di adempimento per i nuovi soggetti NIS
Per i soggetti inseriti nell’elenco NIS nel corso del 2026:
· adozione delle misure di sicurezza di base: entro il 31 luglio 2027;
· obbligo di notifica degli incidenti significativi: dal 1° gennaio 2027;
· designazione del Referente CSIRT: entro il 31 dicembre 2026.
Per i soggetti già iscritti nel 2025 e confermati nel 2026, restano invariati i termini precedenti (18 mesi per le misure di sicurezza, 9 mesi per le notifiche, decorrenti dalla comunicazione di inserimento).
Determinazione n. 127437/2026 – Aggiornamento della piattaforma ACN e nuovi obblighi
Novità operative:
· Fornitori rilevanti NIS: viene definita questa nuova categoria, che comprende i fornitori di servizi/prodotti ICT o la cui interruzione avrebbe un impatto significativo sull’operatività del soggetto NIS. Tra il 15 aprile e il 31 maggio 2026, i soggetti NIS devono censire tali fornitori comunicando denominazione, codice fiscale, Paese di sede e tipologia di fornitura.
· Categorizzazione delle attività e dei servizi: dal 1° maggio al 30 giugno di ogni anno, i soggetti NIS dovranno trasmettere all’ACN l’elenco categorizzato delle proprie attività e servizi tramite il nuovo “Servizio NIS/Categorizzazione”. L’ACN effettuerà verifiche a campione con esito comunicato entro 90 giorni.
· Notifiche in emergenza: in caso di indisponibilità del Referente CSIRT e dei suoi sostituti, il punto di contatto è ora formalmente abilitato a effettuare le notifiche obbligatorie e volontarie.
· Registrazione tardiva: il termine per completare l’aggiornamento annuale in caso di registrazione tardiva è fissato in 30 giorni dalla comunicazione di inserimento.
· Esenzione per soggetti DORA: le entità finanziarie soggette al Regolamento DORA sono esentate dagli obblighi di categorizzazione, con possibilità di adesione volontaria.
Novità di rilievo: Art. 18, 20 e 21 – Fornitori rilevanti e categorizzazione delle attività
Questi tre articoli, introdotti ex novo dalla Determinazione n. 127437/2026, rappresentano le novità più significative sul piano operativo e richiedono un’attenzione particolare da parte dei soggetti NIS.
Art. 18 – Censimento dei fornitori rilevanti NIS
L’articolo introduce l’obbligo di identificare e comunicare all’ACN i propri fornitori rilevanti, intesi come quei fornitori di beni o servizi la cui fornitura è di natura ICT oppure la cui eventuale interruzione o compromissione inciderebbe in modo significativo sulla capacità del soggetto NIS di operare, anche per assenza di alternative sul mercato.
La finalità è quella di mappare, lungo la catena di approvvigionamento, i soggetti potenzialmente qualificabili come entità importanti o essenziali ai sensi del Decreto NIS, così da estendere progressivamente le tutele di sicurezza informatica anche ai fornitori critici.
Per ciascun fornitore rilevante devono essere comunicati: denominazione, codice fiscale, Paese della sede legale, codici CPV relativi alle forniture fruite e criterio di rilevanza adottato (fornitura ICT o fornitura non fungibile).
E’ importante precisare: i codici CPV (Common Procurement Vocabulary) sono il sistema di classificazione europeo per gli appalti pubblici, istituito dal Regolamento (CE) n. 2195/2002.
Il censimento deve essere effettuato tramite il “Servizio NIS/Aggiornamento annuale informazioni” nella finestra compresa tra il 15 aprile e il 31 maggio 2026.
Art. 20 – Elencazione e categorizzazione delle attività e dei servizi
L’articolo disciplina il nuovo obbligo annuale di comunicare all’ACN l’elenco categorizzato delle proprie attività e servizi, classificati per livello di rilevanza ai sensi dell’art. 30 del Decreto NIS. L’obiettivo è fornire all’Autorità una fotografia strutturata e aggiornata dell’operatività di ciascun soggetto NIS, funzionale alla valutazione del relativo profilo di rischio.
La trasmissione avviene tramite il nuovo “Servizio NIS/Categorizzazione” disponibile sul Portale ACN. Il punto di contatto è responsabile della conferma e dell’invio telematico delle informazioni, con valore di dichiarazione ai sensi del D.P.R. 445/2000. L’ACN provvede all’invio di una copia al domicilio digitale del soggetto.
Una volta decorso il termine, l’elenco si intende definitivamente acquisito e non è più modificabile. Le trasmissioni tardive sono ammesse ma anch’esse non modificabili, salvo comprovate criticità tecnico-operative non imputabili al soggetto.
Finestra annuale: dal 1° maggio al 30 giugno di ogni anno. Le entità finanziarie soggette al Regolamento DORA sono esentate da questo obbligo, salva adesione volontaria.
Art. 21 – Verifiche di conformità sulla categorizzazione
L’articolo introduce un meccanismo di controllo a campione da parte dell’ACN sugli elenchi categorizzati trasmessi dai soggetti NIS. Le verifiche sono condotte comparando quanto dichiarato dal soggetto sia con i criteri stabiliti dalla determinazione di riferimento, sia con gli elenchi di soggetti NIS comparabili per settore e dimensione.
L’esito delle verifiche viene comunicato al soggetto NIS entro 90 giorni dalla trasmissione dell’elenco, con possibilità di proroga da parte dell’ACN.
Conclusione e nota importante relativamente art.18 – NIS2
L’introduzione dell’obbligo di censimento dei fornitori rilevanti non è un semplice adempimento da completare entro il 31 maggio 2026. È il segnale di un cambiamento di paradigma: la supply chain, fino ad oggi gestita internamente secondo logiche prevalentemente economiche o contrattuali, entra ufficialmente nel perimetro regolato dall’ACN e diventa oggetto di verifica.
Non basta compilare l’elenco dei fornitori rilevanti: occorre poter dimostrare con quale metodo si è stabilito che un fornitore è rilevante e un altro no. Un elenco costruito sulla base del solo valore contrattuale o della presenza di certificazioni ISO non soddisfa i requisiti della determinazione e, in sede di verifica da parte dell’ACN, risulterebbe contestabile.
La determinazione richiede quindi una valutazione fondata sull’impatto effettivo che ciascun fornitore ha sui processi critici e sulla sicurezza dei sistemi informativi.
Per farlo correttamente, le organizzazioni devono integrare due attività che spesso operano in silos separati: la Business Impact Analysis (BIA), che misura la criticità dei processi interni, e il Third Party Risk Management (TPRM), che valuta l’esposizione al rischio lungo la catena di fornitura. Solo dall’incrocio di queste due dimensioni è possibile costruire una mappatura dei fornitori rilevanti che sia metodologicamente solida, documentabile e difendibile davanti all’ACN.
In sintesi: la NIS2 non chiede solo di dichiarare chi sono i propri fornitori critici. Chiede di saperlo davvero e di poterlo dimostrare.
Contenuto scritto dal nostro partner Virginio Paolo Redondo (RED CONSULTING).