L’Agenzia per la Cybersicurezza Nazionale (ACN) ha compiuto un passo concreto verso la piena operatività del decreto NIS2 in Italia, pubblicando due Determinazioni che, oltre ad aggiornare le scadenze, ridisegnano in modo sostanziale l’architettura degli adempimenti per migliaia di soggetti essenziali e importanti.

La Determinazione 127434/2026, operativa dal 30 aprile 2026, riguarda esclusivamente chi è entrato nell’elenco NIS per la prima volta nel corso di quest’anno. Per questi soggetti (circa 21.000 aziende), ACN ha costruito una progressione temporale ragionata, per la quale la designazione del referente CSIRT è attesa entro il 31 dicembre 2026 e l’obbligo di notifica degli incidenti significativi scatta dal 1° gennaio 2027, mentre l’adozione delle misure di sicurezza previste dagli Allegati 1 e 2 della Determinazione 379907/2025 è fissata al 31 luglio 2027.

Tre diversi scaglioni temporali che dimostrano quanto implementare un sistema di gestione della cybersicurezza conforme agli standard NIS2 richieda risorse, revisione dei processi interni e, spesso, un cambio culturale profondo all’interno dell’organizzazione. Un’attenzione specifica è riservata ai soggetti coinvolti nella sicurezza e stabilità dei sistemi di nomi di dominio, per i quali lo stesso termine del 31 luglio 2027 vale come orizzonte di adeguamento. È un segnale di come ACN stia graduando gli obblighi in funzione della complessità tecnica, senza però rinunciare alla chiarezza sui tempi.

La Determinazione 127437/2026, che sostituisce integralmente la precedente versione del dicembre 2025, è invece il documento che introduce le novità strutturalmente più rilevanti. Il primo segnale è nell’ampliamento della tassonomia normativa, con quattro nuove definizioni che entrano nel lessico operativo della compliance NIS2.

La più impattante è quella di “fornitore rilevante NIS”, categoria in cui rientrano tutti i soggetti che erogano servizi o prodotti riconducibili ai settori ICT elencati nell’Allegato I del decreto, oppure la cui interruzione determinerebbe un impatto significativo sulla capacità del soggetto NIS di continuare a operare. Questo secondo criterio è particolarmente ampio e richiede una valutazione attenta della propria catena di fornitura, perché obbliga a ragionare su chi fornisce tecnologia e su chi, in senso lato, rende possibile la continuità del servizio.

Categorizzare per governare

L’innovazione più rilevante sul piano operativo è l’introduzione del processo di categorizzazione delle attività e dei servizi, disciplinato dal nuovo Capo V della Determinazione, attivo dal 1° maggio 2026. Ogni anno, tra il 1° maggio e il 30 giugno, i soggetti NIS dovranno accedere al nuovo “Servizio NIS/Categorizzazione” del portale ACN e comunicare l’elenco aggiornato delle proprie attività, attribuendo a ciascuna la categoria di rilevanza secondo criteri predefiniti. Una volta scaduto il termine, l’elenco è acquisito in via definitiva e non modificabile, salvo documentate criticità tecnico-operative non imputabili al soggetto.

NIS2 Italia

Crediti: Shutterstock

Questo adempimento, che non va inteso come un mero esercizio burocratico, permette all’ACN di costruire una mappatura sistemica delle funzioni critiche distribuite sul territorio, un prerequisito indispensabile per qualsiasi strategia di gestione del rischio cyber a livello Paese. ACN ha introdotto anche un meccanismo di verifica a campione, con un termine di novanta giorni per il riscontro (prorogabile una sola volta fino a sessanta giorni aggiuntivi) e un principio di silenzio-assenso per il quale, in assenza di comunicazione entro i termini, l’elenco si intende automaticamente convalidato. Una scelta che introduce certezza procedurale, ma che richiede comunque massima attenzione nella compilazione iniziale.

Supply chain e obblighi informativi

Il censimento dei fornitori rilevanti NIS si inserisce nell’aggiornamento annuale delle informazioni e risponde all’esigenza di capire dove risiedono le dipendenze critiche nella catena di approvvigionamento digitale. Per ciascun fornitore dovranno essere indicati la denominazione, il codice fiscale, il Paese di sede legale, i codici CPV relativi alle forniture e il criterio di rilevanza che ha portato a qualificarlo come tale. È un obbligo che spinge le organizzazioni a fare una mappatura reale, e non solo teorica, dei fornitori da cui dipende la propria operatività.

DORA e la gestione del referente CSIRT

Le entità finanziarie già soggette al Regolamento DORA ottengono esenzioni specifiche. Non sono infatti tenute alla designazione del referente CSIRT e dei suoi sostituti, alla dichiarazione degli organi di amministrazione, né al nuovo processo di categorizzazione. Rispetto alla versione precedente, tuttavia, la formulazione è più flessibile, in quanto questi soggetti possono scegliere volontariamente di aderire comunque alle disposizioni. Una scelta che alcune organizzazioni potrebbero valutare per ragioni di coerenza interna o per anticipare una possibile convergenza futura tra i due regimi.

Sul fronte del referente CSIRT, la norma abbandona finalmente il carattere transitorio che aveva caratterizzato le versioni precedenti. La designazione dovrà avvenire entro il 31 dicembre dell’anno di prima iscrizione all’elenco NIS, rendendo la regola stabile e prevedibile. In situazioni di emergenza, il punto di contatto potrà effettuare le notifiche per conto dell’ente qualora il referente e i suoi sostituti siano indisponibili, garantendo continuità nelle comunicazioni con il CSIRT Italia.

Infine, un elemento trasversale a entrambe le Determinazioni è il ruolo crescente della piattaforma digitale ACN, che si consolida come unico punto di accesso per registrazioni, aggiornamenti, categorizzazioni e comunicazioni ufficiali. Per agevolare il lavoro dei soggetti già registrati, la Determinazione 127437/2026 introduce meccanismi di precompilazione basati sui dati trasmessi fino al 14 aprile 2026, con controlli automatici delle incongruenze in fase di compilazione. È un segnale importante che rende la piattaforma uno strumento attivo di supporto alla compliance, in grado di segnalare errori prima che questi si trasformino in irregolarità.