top of page
Cerca

NIS2: ultime novità ACN su fornitori rilevanti, categorizzazione dei servizi e nuove scadenze

  • avvfbt9
  • 3 giorni fa
  • Tempo di lettura: 3 min

Aggiornamento: 2 giorni fa

Aggiornamento al 26 aprile 2026

Proseguono le fasi operative dell'attuazione della disciplina NIS2. Le ultime determinazioni dell’Agenzia per la Cybersicurezza Nazionale introducono nuovi adempimenti per i soggetti già inclusi nell’elenco NIS e chiariscono i termini applicabili ai soggetti inseriti per la prima volta nel 2026.

Le novità riguardano soprattutto tre profili: l’aggiornamento annuale delle informazioni sulla piattaforma ACN, la comunicazione dei fornitori rilevanti e la categorizzazione delle attività e dei servizi NIS.


1. Chi deve prestare attenzione alla normativa NIS2

Ricordiamo che il D.Lgs. 138/2024 si applica ai soggetti pubblici e privati che rientrano nelle tipologie indicate dagli Allegati I, II, III e IV del decreto e che superano le soglie dimensionali previste.

Per molte imprese il primo passaggio resta quindi duplice:

verificare l’attività svolta, per comprendere se rientra in uno dei settori NIS;

verificare la dimensione dell’impresa, anche tenendo conto dell’eventuale gruppo di appartenenza.

Ai fini dimensionali, occorre verificare in particolare il superamento dei limiti della piccola impresa: in termini pratici, assumono rilievo i dati di fatturato, bilancio e dipendenti, da valutare per la singola società o, nei casi previsti, a livello di gruppo. Il calcolo è effettuato secondo la Raccomandazione 2003/361/CE e il relativo allegato.  


2. Aggiornamento annuale sulla piattaforma ACN: 15 aprile – 31 maggio 2026

Dal 15 aprile al 31 maggio di ogni anno, i soggetti NIS devono aggiornare le informazioni tramite il servizio “NIS/Aggiornamento annuale informazioni” disponibile sulla piattaforma ACN.  

Per il 2026 l’aggiornamento assume particolare rilievo, perché comprende anche nuove informazioni, tra cui l’elenco dei fornitori rilevanti NIS.

Secondo la Determinazione ACN 127437/2026 del 14 aprile 2026, è fornitore rilevante il soggetto che fornisce servizi o prodotti a un soggetto NIS e che soddisfa almeno uno dei seguenti criteri:

Criterio ICT - la fornitura riguarda attività o servizi ICT, come cloud, data center, reti di comunicazione elettronica, servizi DNS, servizi fiduciari, fornitori di servizi gestiti o di sicurezza gestiti.

Criterio della non fungibilità - l’interruzione o compromissione della fornitura comporterebbe un impatto significativo sulla capacità del soggetto NIS di erogare le proprie attività o servizi, anche per l’indisponibilità di fornitori alternativi. 

Il punto centrale è che non rilevano soltanto i fornitori tecnologici. Anche un fornitore non ICT può diventare “rilevante” se la sua indisponibilità incide in modo significativo sulla continuità delle attività o dei servizi NIS.

Entro il 31 maggio 2026, nell’ambito dell’aggiornamento annuale, i soggetti NIS devono comunicare per ciascun fornitore rilevante:

a) la denominazione;

b) il codice fiscale;

c) il Paese in cui hanno la sede legale;

d) i codici CPV (Common Procurement Vocabulary), di cui al Regolamento (CE) n. 2195/2002, relativi alle forniture di cui fruisce il soggetto NIS;

e) il criterio di rilevanza, di cui all’articolo 1, comma 1, lettera ll) della Determinazione, utilizzato.


3. Categorizzazione delle attività e dei servizi: 1 maggio – 30 giugno 2026

Dal 2026 trova applicazione anche l’obbligo di comunicare l’elenco categorizzato delle attività e dei servizi.

Dal 1° maggio al 30 giugno di ogni anno, i soggetti essenziali e importanti devono comunicare e aggiornare sulla piattaforma ACN l’elenco delle proprie attività e dei propri servizi, attribuendo a ciascuno una categoria di rilevanza (secondo quanto specificato dalla Determinazione ACN 155238/2026 del 20 aprile 2026).

Le categorie previste sono:

a) impatto alto;

b) impatto medio;

c) impatto basso;

d) impatto minimo.

Per ogni attività o servizio devono essere indicati:

a) la macro-area corrispondente;

b) la denominazione e la descrizione dell’attività o del servizio;

c) la categoria di rilevanza.

Il soggetto NIS può attribuire una categoria diversa da quella preassegnata dalla macro-area, ma deve conservare la documentazione della valutazione svolta.  


4. Scadenze per i soggetti già inclusi nell’elenco NIS 2025

Per i soggetti già inseriti nell’elenco NIS nel 2025 e confermati nel 2026 restano fermi i termini già previsti dall’art. 43 D.Lgs. 138/2026 per l’adozione delle misure di sicurezza di base (18 mesi dalla ricezione della conferma di iscrizione nel registro NIS, termine che per molte imprese cade a metà ottobre 2026).


5. Scadenze per i soggetti inseriti per la prima volta nel 2026

Per i soggetti che saranno inseriti per la prima volta nell’elenco NIS nel corso del 2026, la Determinazione ACN 127434/2026 prevede termini specifici.

In particolare:

  • il termine per l’adozione delle misure di sicurezza di base scade il 31 luglio 2027;

  • l’obbligo di notifica degli incidenti significativi decorre dal 1° gennaio 2027;

  • per poter adempiere correttamente all’obbligo di notifica, il referente CSIRT deve essere designato entro il 31 dicembre 2026.  

La stessa determinazione si applica dal 30 aprile 2026

 
 
 

Post recenti

Mostra tutti
E-evidence: cosa cambia con i Dlgs 215 e 216 del 2025

Abstract: Con i decreti legislativi 215 e 216 del 2025, l’Italia recepisce il nuovo pacchetto europeo sull’e-evidence, cioè la disciplina che permette alle autorità giudiziarie di ottenere e usare pro

 
 
 

Commenti

bottom of page