- Associazione
L'Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato recentemente due determinazioni destinate a ridisegnare il calendario degli adempimenti per le imprese inserite nel perimetro di applicazione del NIS 2.
Permangono le scadenze stabilite in precedenza per le imprese già “soggetto NIS” nel 2025, i cui adempimenti per il 2026 non prevedono proroghe. L’obbligo di notifica degli incidenti significativi al CSIRT Italia, già operativo dal 15 gennaio 2026 e il completamento, entro il 31 ottobre 2026, dell’adozione delle “misure di sicurezza di base”.
Le imprese che avevano già provveduto ad iscriversi nel 2025, alla luce delle recenti modifiche, entro il 31 maggio devono aggiornare le informazioni sul Portale dell’Agenzia ACN, confermando o rettificando i dati, i riferimenti e le figure responsabili inserite in precedenza, mentre dal primo maggio scorso al 30 giugno devono completare la categorizzazione di attività e servizi tramite il nuovo “Servizio NIS/Categorizzazione”.
Alla scadenza del termine previsto per il 30 giugno prossimo l’elenco inserito nel portale ACN si intende definitivamente acquisito e non modificabile.
I soggetti iscritti per la prima volta nel Portale ACN quali “soggetto NIS” nel corso del 2026, devono provvedere all’obbligo di notifica degli incidenti significativi a partire dal 1 gennaio 2027 e adottare le misure di sicurezza entro il 31 luglio 2027. Così come per le imprese già iscritte entro il 2025, anche le neoiscritte devono provvedere ai recenti nuovi adempimenti previsti dall’Agenzia.
La Determinazione 127437/2026 introduce un nuovo adempimento per tutte le imprese che rientrano nel perimetro di applicazione del provvedimento e che riguarda l'elencazione dei “fornitori rilevanti NIS”.
Entro il 31 maggio, ogni soggetto NIS deve identificare e comunicare ad ACN i propri fornitori terzi strategici, indicando dati anagrafici, codici CPV e criterio di rilevanza. Non si tratta solo di una formalità, la sicurezza cibernetica smette di essere un perimetro aziendale e diventa un tema che coinvolge l’intera catena di approvvigionamento dell’impresa “soggetto NIS” e che riguarda non solo i fornitori ICT ma qualsiasi “fornitore rilevante”.
La Determinazione definisce “fornitore rilevante NIS” qualsiasi soggetto che assicuri forniture di servizi o prodotti a un “soggetto NIS” e soddisfi almeno uno dei due criteri seguenti.
La fornitura è riconducibile alle attività o ai servizi di cui all’Allegato I, punti 8 e 9 del Decreto NIS (infrastrutture digitali e gestori di servizi TIC business-to-business). Rientrano quindi, a titolo esemplificativo: internet exchange point, servizi DNS, cloud computing, data center, provider di servizi gestiti (MSP) e provider di servizi di sicurezza gestiti (MSSP). Il criterio ICT prescinde dalla fungibilità: anche se esistono fornitori alternativi, il fornitore va censito se la sua attività rientra tra quelle elencate.
L’interruzione o la compromissione della fornitura comporta un impatto significativo sulla capacità del soggetto NIS di erogare i propri servizi, anche in assenza di alternative operative. La non fungibilità va verificata in concreto, non astrattamente. Come chiarito da alcune FAQ, l’Agenzia precisa che possono rientrare in questa categoria anche dipendenze non digitali, ad esempio: connettività dati e voce non ridondati (ISP, servizi di trasmissione dati), fornitura di energia elettrica se non sostituibile senza effetti rilevanti sull’operatività NIS. Non esistono esenzioni dimensionali: un fornitore, anche se piccola impresa, può essere censito come rilevante.
La finestra per l’adempimento coincide con quella dell’aggiornamento annuale delle informazioni: dal 15 aprile al 31 maggio di ogni anno. L’invio avviene esclusivamente tramite il “Servizio NIS/Aggiornamento annuale informazioni” sul Portale ACN. Non si tratta di un adempimento una tantum: l’obbligo è strutturale e ricorrente. L’elenco dei fornitori va aggiornato ogni anno, tenendo conto di eventuali cambiamenti nella catena di approvvigionamento, nuovi contratti, variazioni nella fungibilità delle forniture o modifiche nell’assetto organizzativo.
Le imprese soggetto NIS devono avviare immediatamente le seguenti attività, in modo da rispettare la scadenza del 31 maggio 2026.
Mappare tutti i contratti di fornitura attivi e classificarli per categoria (ICT / non ICT), verificare la fungibilità di ciascuna fornitura non ICT (esistono alternative operative?) raccogliere i dati anagrafici e i codici CPV per ogni fornitore identificato come rilevante, caricare l’elenco sul Portale ACN (Servizio NIS/Aggiornamento annuale informazioni) entro il 31 maggio prossimo.
Infine, è consigliabile avviare la revisione dei contratti con i cd. “fornitori rilevanti” per inserire clausole di sicurezza NIS e pianificare audit e verifiche periodiche sui fornitori critici per il monitoraggio continuo.
Il secondo obbligo, operativo dal 1° maggio al 30 giugno, riguarda la categorizzazione delle attività e dei servizi, attraverso il nuovo "Servizio NIS/Categorizzazione".
Il soggetto NIS, quando categorizza le attività e i servizi, identifica quali attività sono davvero critiche e con quale priorità devono essere protette.Tale valutazione deve essere effettuata attraverso il modello operativo fornito da ACN con cui svolgere questo adempimento introdotto dalla Determinazione ACN n. 155238/2026 e integrato dalle relative Linee Guida e FAQ.
Il modello suddivide l’intera operatività aziendale in dieci macro-aree predefinite e prevede quattro livelli di rilevanza, dai quali dipenderà, nelle fasi successive, la proporzionalità e l’adeguatezza dell’adozione di ulteriori misure di sicurezza richieste.
Come chiarito da ACN all’evento Clusit del 29 aprile 2026, la proporzionalità delle misure future non dipenderà solo dalla distinzione essenziale/importante, ma dalla categoria di rilevanza assegnata a ciascuna macro-area. La categorizzazione è, quindi, lo strumento di calibrazione dell’intera compliance NIS2 a lungo termine.
Una volta chiusa la finestra del 30 giugno, l’elenco categorizzato si intende definitivamente acquisito e non è più modificabile, salvo casi documentati di criticità tecnico-operative non imputabili al soggetto NIS. Successivamente ACN potrà verificare la conformità a campione, anche attraverso il confronto con elenchi di soggetti comparabili, avendo ulteriori novanta giorni per comunicare eventuali rilievi e chiedere successive integrazioni.
Parallelamente, entro la fine del 2026 ACN pubblicherà le misure di sicurezza “a lungo termine”, che integreranno quelle cd. “di base” e saranno modulate sulla categoria di rilevanza assegnata a ciascuna macro-area. Le imprese che avranno condotto una categorizzazione accurata e documentata si troveranno in una posizione di vantaggio conoscendo già quali aree richiederanno misure aggiuntive e potendo pianificare gli investimenti di conseguenza.
I provvedimenti recentemente pubblicati danno evidenza che il tema NIS 2 non si esaurisce in un adempimento da spuntare su una check list bensì richiede una governance aziendale relativa alla cybersicurezza complessa ed organizzata tramite inventari aggiornati, gap analysis strutturate e processi di incident response documentati.
A tal fine, Confindustria Emilia affianca le imprese associate in questo percorso attraverso strumenti operativi, attività di approfondimento, tavoli settoriali e momenti di confronto dedicati, con l’obiettivo di supportare le aziende nell’interpretazione dei nuovi scenari normativi e nell’adozione delle soluzioni più efficaci per le proprie realtà produttive. Un’attività che punta a favorire la condivisione di esperienze e buone pratiche tra imprese, stimolare il dialogo tra i diversi attori della filiera e accompagnare le aziende nei processi di adeguamento, innovazione e sviluppo competitivo.
