NIS2: nuove Determine ACN. Adempimenti nuovi soggetti e accesso alla piattaforma

Nuovi soggetti NIS e Piattaforma ACN

L’Agenzia per la Cybersicurezza Nazionale ha pubblicato due nuove Determine operative che segnano un passaggio chiave nell’attuazione della direttiva NIS2, indicando i termini per gli adempimenti per i nuovi soggetti rientranti nel perimetro NIS dal 2026 e aggiornando le modalità di accesso alla piattaforma ACN.

A breve sarà pubblicata anche una terza determinazione dedicata alle analisi di impatto (BIA) che i soggetti NIS dovranno svolgere nei mesi di maggio e giugno 2026.

Determina 127434/2026 – Una roadmap per i nuovi soggetti NIS

Con la conclusione della prima fase applicativa, il framework NIS entra in una fase pienamente operativa.
Le nuove disposizioni introdotte dalla Determina 127434/2026 del 13 aprile 2026 (che si applica a partire dal 30 aprile 2026) definiscono una roadmap chiara per i nuovi soggetti inseriti nel perimetro NIS2 nel 2026, con obblighi progressivi che riguardano governance, sicurezza e gestione degli incidenti.

Tra i principali adempimenti:

• designazione del referente CSIRT: entro il 31 dicembre 2026
• obbligo di notifica degli incidenti significativi: dal 1° gennaio 2027
• adozione delle misure di sicurezza di base: entro il 31 luglio 2027 

Scarica la Determina 127434/2026

 

Determina 127437/2026 – La piattaforma ACN come hub della compliance

La Determina 127437/2026 del 13 aprile 2026 (valida dal 15 aprile 2026, salvo le
disposizioni al capo V che si applicano dal 1° maggio 2026) rafforza ulteriormente la centralità della piattaforma ACN come hub per la gestione della compliance NIS2: registrazione, aggiornamento dati, categorizzazione dei servizi e comunicazioni ufficiali passano interamente da questo strumento.

La Determina inoltre introduce e rafforza il concetto di “fornitori rilevanti”, che amplia il perimetro della sicurezza alla supply chain. Le organizzazioni sono chiamate a mappare e classificare i propri fornitori critici, anche al di là delle soglie dimensionali tradizionali.

Scarica la Determina 127437/2026
Consulta le FAQ Fornitori Rilevanti in calce all’articolo.

Impatto per le organizzazioni

Le nuove disposizioni confermano un cambio di paradigma: la cybersecurity non è più solo un tema tecnico, ma un ambito di governance che coinvolge direttamente il management.

La conformità richiede:

• ruoli chiari e responsabilità definite
• dati coerenti e aggiornati sulla piattaforma
• processi strutturati e documentabili
• integrazione della sicurezza nella gestione operativa e nella supply chain.

L’ACN potrà effettuare verifiche e richiedere integrazioni, rendendo la compliance sempre più sostanziale e non meramente dichiarativa.

Per i soggetti coinvolti, diventa quindi essenziale adottare un approccio strutturato e proattivo: dalla definizione del perimetro NIS alla categorizzazione di attività e servizi, fino alla gestione dei fornitori e alla preparazione alle notifiche di incidente.

Hai bisogno di supporto per l’adeguamento alla NIS2?

iSimply affianca le organizzazioni nell’implementazione dei requisiti normativi, nella governance della cybersecurity e nella gestione operativa degli adempimenti NIS2.

Approfondisci nella sezione dedicata il nostro supporto NIS2:
https://www.isimply.it/servizi/nis2/

Contattaci per una consulenza dedicata e per costruire un percorso di compliance efficace e sostenibile:
info@isimply.it

 

——————-

FAQ 

1. Accordi di condivisione delle informazioni sulla sicurezza informatica

ACI.1 Cosa sono gli accordi di condivisione delle informazioni sulla sicurezza informatica?

Ai sensi dell’articolo 1, comma 1, lettera kk) della Determinazione ACN 379887/2025, per “accordi di condivisione”, si intendono gli accordi di condivisione delle informazioni sulla sicurezza informatica, di cui all’articolo 17, comma 2, del decreto NIS, per attuare lo scambio di informazioni pertinenti su base volontaria di cui al comma 1 del medesimo articolo.

Tali accordi sono adottati dai soggetti essenziali ed importanti, nell’ambito delle proprie autonomie decisionali, per condividere  informazioni sulla sicurezza informatica, comprese quelle relative a minacce informatiche, quasi incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di sicurezza informatica e raccomandazioni sulla configurazione degli strumenti di sicurezza informatica per rilevare minacce informatiche. La condivisione di tali informazioni mira a prevenire o a rilevare gli incidenti e ad aumentare il livello di sicurezza informatica.

ACI.2 È obbligatorio sottoscrivere accordi di condivisione con tutte le organizzazioni con le quali vengono scambiate informazioni sulla sicurezza informatica?

La condivisone di informazioni sulla sicurezza informatica ai sensi dell’articolo 17, comma 1, del decreto NIS tra soggetti NIS e/o tra soggetti NIS e le loro terze parti (ivi inclusi i fornitori) deve essere regolata, ai sensi del comma 2 del medesimo articolo, da accordi di condivisione, volti a definire il perimetro della condivisione e gli strumenti di tutela delle informazioni condivise.

Ferma restando l’opportunità di aderire quanto prima a questa migliore pratica, il termine per l’adeguamento a tale prescrizione è allineato al termine per l’adozione delle specifiche di base in materia di misure di sicurezza (ottobre 2026).

Si segnala inoltre che nel contesto della gestione del rischio che deriva dalla catena di approvvigionamento, i soggetti NIS sono chiamati a valutare l’opportunità di inserire clausole inerenti alla protezione delle informazioni che scambiano con i fornitori (e.g. accordi di riservatezza).

ACI.3 È obbligatorio notificare tutti gli accordi di condivisione del corso dell’aggiornamento annuale?

Nell’ottica di attuazione progressiva delle prescrizioni del decreto NIS, nel corso dell’aggiornamento annuale 2025 è prevista la sola notifica degli accordi di condivisione vigenti e sottoscritti successivamente all’entrata in vigore del decreto NIS.

La notifica degli accordi previgenti l’entrata in vigore del decreto NIS è rimandata all’aggiornamento annuale 2026, al fine di consentire ai soggetti NIS una completa analisi, nonché eventuale adeguamento, di tali accordi alla luce della nuova disciplina NIS.

ACI.4 Tutti i contratti con i fornitori devono essere notificati quali accordi di condivisione delle informazioni sulla sicurezza informatica?

Nell’ottica di attuazione progressiva delle prescrizioni del decreto NIS, e nelle more della costituzione di un consenso a livello Unionale, si configura come condivisione di informazioni sulla sicurezza informatica di cui all’articolo 17, comma 1, del decreto NIS, lo scambio di informazioni che avviene nel contesto di forniture che hanno oggetto, anche in parte, servizi di sicurezza informatica.

Sono pertanto oggetto di notifica i contratti relativi alle forniture di servizi quali:

• NOC (Network Operation Centre);
• MDR (Managed Detection and Response);
• SOC (Security Operation Centre);
• CSOC (Cyber Security Operation Centre);
• CERT (Computer Emergency Response Team);
• VA/PT (Vulnerability Assessment e Penetration Test);
• Red Teaming;
• Cyber Threat Intel.

Non sono altresì oggetto di notifica i contratti relativi a forniture che non hanno oggetto servizi di sicurezza informatica e in cui, su base volontaria o in forza di clausole contrattuali, il fornitore segnali al cliente eventuali eventi di sicurezza informatica di interesse del cliente stesso.

Si osserva, inoltre, che ai fini della notifica è sufficiente comunicare l’estratto del contratto inerente allo scambio delle informazioni.

2. Fornitori rilevanti

FRN.1 Per quale motivo nell’ambito dell’aggiornamento annuale delle informazioni devono essere indicati anche fornitori rilevanti NIS?

L’articolo 3, comma 9, lettera f), del decreto NIS prevede che il decreto stesso si applichi, indipendentemente dalle dimensioni, a un soggetto considerato critico in quanto elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti ai sensi della disciplina NIS.

Pertanto, è necessario, di conseguenza, acquisire le informazioni relative ai fornitori considerati rilevanti (fornitori rilevanti NIS) al fine di individuare tra di essi, d’intesa con le Autorità di settore, gli elementi sistemici della catena di approvvigionamento da individuare quali soggetti importanti o essenziali al fine di promuovere un adeguato livello di sicurezza informatica lungo la catena di approvvigionamento dei soggetti NIS.

FRN.2 Come si individuano i fornitori rilevanti NIS?

Ai sensi dell’articolo 1, comma 1, lettera ll), della Determinazione ACN 127437/2026 , un fornitore si considera “fornitore rilevante NIS” se fornisce servizi o prodotti a un soggetto NIS e soddisfa almeno uno dei seguenti criteri di rilevanza:

1. la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS (fornitura ICT);
2. l’interruzione o la compromissione della fornitura comportano un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS (fornitura non fungibile).

FRN.3 Quali informazioni devono essere comunicate in merito ai fornitori rilevanti NIS?

Ai sensi dell’articolo 18 della Determinazione ACN 127437/2026, devono essere comunicate le seguenti informazioni:

1. la denominazione;
2. il codice fiscale;
3. il Paese in cui ha la sede legale;
4. i codici CPV (Common Procurement Vocabulary) di cui al Regolamento (CE) n. 2195/2002, relativi alle forniture di cui fruisce il soggetto NIS;
5. il criterio di rilevanza, di cui all’articolo 1, comma 1, lettera ll), utilizzato.

Si evidenzia che i criteri di rilevanza sono (in alternativa o congiuntamente) i seguenti:

1. la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS;
2. l’interruzione o la compromissione della fornitura comportano un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS.

Ai fini della definizione della fornitura si fa riferimento alla tassonomia contenuta nel vocabolario comune per gli appalti pubblici (common procurement vocabulary – CPV) adottato con Regolamento (CE) n. 2195/2002, successivamente modificato dal Regolamento (CE) n. 213/2008, disponibile al seguente link:
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32008R0213: apre un link esterno.

A titolo di mero supporto orientativo, al link seguente Allegato II.2 bis, Tabella D.1. nuovo Codice Appalti: apre un link esterno, è disponibile una corrispondenza di alto livello tra codici CPV e codici NACE/ATECO, utile per ricondurre, limitatamente ai codici in esso contenuti, le forniture alla classificazione delle attività economiche di riferimento. Si precisa che tale tabella non sostituisce l’elenco completo dei codici CPV previsti dal Regolamento (CE) n. 2195/2002 e, pertanto, la selezione definitiva dei codici CPV applicabili resta rimessa a ciascun soggetto sulla base dell’elenco completo contenuto nel predetto Regolamento.

Infine, alla FAQ FRN.4 sono illustrati alcuni esempi di forniture con la relativa indicazione del CPV di riferimento.

FRN.4 Quali sono alcuni esempi di forniture rilevanti NIS?

Tenuto conto della definizione di fornitori rilevanti NIS, rientrano tutte le dipendenze digitali del soggetto NIS  nonché anche le dipendenze non digitali che non possono essere sostituite senza determinare un impatto significativo sulle attività e sui servizi NIS.

Con riferimento a quest’ultimo criterio di rilevanza (forniture non fungibili – criterio di rilevanza b)), si evidenziano, in particolare:

• Connettività (dati e voce, fissa e mobile), qualora non ridondata:
  • CPV: Servizi di Internet [72400000-4], Fornitori di servizi Internet (ISP) [72411000-4], Servizi di trasmissione di dati [72318000-7]
• Corrente elettrica:
  • CPV: Erogazione di energia elettrica [65310000-9], Erogazione di energia elettrica e servizi connessi [65300000-6].

Con riferimento al primo criterio di rilevanza (forniture ICT – criterio di rilevanza a)), si evidenziano, in particolare:

• Infrastrutture digitali:
  • punti di interscambio internet – CPV: Servizi di interconnessione [64221000-1];
  • servizi di sistema dei nomi di dominio – CPV: Nomi di dominio di Internet [72417000-6];
  • servizi di cloud computing – CPV: Servizi di Internet [72400000-4], Servizi di elaborazione dati [72300000-8], Servizi informatici [72500000-0], Servizi di gestione connessi all’informatica [72510000-3];
  • servizi di data center – CPV: Servizi informatici: consulenza, sviluppo di software, Internet e supporto [72000000-5];
  • reti di distribuzione dei contenuti – CPV: Servizi di Internet [72400000-4]
  • servizi fiduciari – CPV: Servizi di certificazione della firma elettronica [79132100-9], Pacchetti software e sistemi di informazione [48000000-8];
  • Fornitore di reti pubbliche di comunicazione elettronica – CPV: Servizi di telecomunicazione [64200000-8]
  • Fornitore di servizi di comunicazione elettronica accessibili al pubblico – CPV: Servizi telefonici e di trasmissione dati [64210000-1];

• Servizi gestiti e servizi gestiti di sicurezza:

CPV: Servizi informatici [72500000-0], Servizi di gestione connessi all’informatica [72510000-3], Servizi di manutenzione e assistenza sistemi [72250000-2], Servizi di consulenza e assistenza informatica [72600000-6], Servizi di audit e collaudo informatico [72800000-8].