NIS2: ACN ha adottato le nuove determinazioni su fornitori rilevanti, categorizzazione di attività e servizi e scadenze per i nuovi soggetti NIS

Il 13 aprile 2026 l’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha pubblicato sul proprio sito web due nuove determinazioni del direttore generale dell’ACN:

• la Determinazione ACN n. 127437 del 13 aprile 2026, che aggiorna e sostituisce la precedente Determinazione ACN n. 379887 del 19 dicembre 2025 e introduce l’obbligo di svolgere il nuovo processo di elencazione e categorizzazione delle attività e dei servizi ed elencare i fornitori rilevanti NIS durante l’aggiornamento annuale delle informazioni;
• la Determinazione ACN n. 127434 del 13 aprile 2026, che stabilisce i termini entro cui i soggetti iscritti per la prima volta nell’elenco NIS nel corso del 2026 dovranno adempiere agli obblighi di notifica degli incidenti significativi e di adozione delle misure di sicurezza.

Elencazione dei fornitori rilevanti NIS

La Determinazione ACN n. 127437/2026 introduce l’obbligo di indicare i fornitori rilevanti NIS nell’ambito del più ampio processo di aggiornamento annuale delle informazioni.

Un fornitore rilevante NIS è il soggetto che fornisce servizi o prodotti a un soggetto NIS e che soddisfa almeno uno dei seguenti criteri:

1. la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del Decreto NIS, tra cui rientrano i fornitori di servizi DNS, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi cloud, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti (CDN), nonché i fornitori di servizi gestiti e i fornitori di servizi di sicurezza gestiti;
2. l’interruzione o la compromissione della fornitura comporterebbe un impatto significativo sulla capacità del soggetto NIS di erogare le attività o i servizi per cui rientra nell’ambito NIS, anche perché non sono disponibili fornitori alternativi adeguati (fornitori non fungibili).

Per adempiere a questo obbligo, i soggetti NIS devono utilizzare il “Servizio NIS/Aggiornamento annuale informazioni” sul Portale ACN e indicare, per ciascun fornitore rilevante:

• la denominazione;
• il codice fiscale;
• il Paese in cui ha sede legale;
• i codici CPV (Common Procurement Vocabulary) relativi alle forniture di cui il soggetto NIS beneficia;
• il criterio di rilevanza utilizzato.

Elencazione e categorizzazione delle attività e dei servizi

Una delle principali novità operative riguarda l’obbligo, per i soggetti NIS, di comunicare l’elenco delle proprie attività e dei propri servizi, attribuendo a ciascuno la relativa categoria di rilevanza. Il d.lgs. n. 138/2024 (“Decreto NIS”) prevede che questo adempimento sia svolto dal 1° maggio al 30 giugno di ogni anno, tramite la piattaforma digitale ACN, a partire dalla ricezione della prima comunicazione di inserimento nell’elenco dei soggetti NIS.

La Determinazione ACN n. 127437/2026 precisa che tale attività deve essere svolta tramite il “Servizio NIS/Categorizzazione” del Portale ACN. In concreto, il Punto di Contatto deve compilare l’elenco delle attività e dei servizi dell’organizzazione e attribuire a ciascuno la categoria di rilevanza secondo il modello che verrà stabilito dall’ACN nei prossimi giorni, con la pubblicazione della determinazione con il modello di categorizzazione, insieme a materiale informativo per supportare nello svolgimento di una analisi di impatto (BIA) semplificata.

È importante sottolineare che, decorso il termine del 30 giugno, l’elenco categorizzato delle attività e dei servizi si intende definitivamente acquisito e non più modificabile, salvo i casi di ritardo dovuti a documentate criticità tecnico-operative non imputabili al soggetto. 

Inoltre, le entità finanziarie soggette al Regolamento DORA e rientranti anche nell’ambito NIS sono esentate da questo specifico adempimento, ferma restando la possibilità di aderirvi volontariamente.

L’elenco categorizzato delle attività e dei servizi trasmesso dai soggetti NIS potrà essere sottoposto a verifiche di conformità da parte dell’ACN, effettuate a campione e anche mediante confronto con i dati comunicati da soggetti comparabili. L’ACN dovrà fornire un riscontro entro 90 giorni dalla trasmissione, termine prorogabile una sola volta fino a ulteriori 60 giorni in caso di approfondimenti. Qualora siano richieste integrazioni, chiarimenti o modifiche, il soggetto NIS dovrà rispondere entro 30 giorni; in caso di mancato o tardivo riscontro, l’elenco potrà essere rigettato. In assenza di un esito negativo comunicato nei termini previsti, l’elenco si intende convalidato.

Termini per i soggetti inseriti nell’elenco NIS per la prima volta nel 2026

La Determinazione ACN n. 127434/2026 riguarda invece i soggetti che sono stati inseriti per la prima volta nell’elenco dei soggetti NIS nel corso del 2026. Per questi soggetti, ACN ha fissato i termini per l’adempimento degli obblighi in materia di misure di sicurezza e di notifica. In particolare: 

• il termine per l’adozione delle misure di sicurezza previste dagli allegati 1 e 2 della Determinazione ACN n. 379907/2025 scade il 31 luglio 2027;
• l’obbligo di notifica degli incidenti significativi descritti negli allegati 3 e 4 della Determinazione ACN n. 379907/2025 decorre dal 1° gennaio 2027.

Un’ulteriore previsione riguarda i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio inseriti nell’elenco NIS nel corso del 2026. Per questi soggetti, la Determinazione ACN n. 127434/2026 stabilisce che gli obblighi richiamati dall’articolo 4(1) della Determinazione ACN n. 379907/2025 devono essere adempiuti entro il 31 luglio 2027.

Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi previsti dalla disciplina NIS, rivolgiti ai tuoi professionisti di riferimento.