L’Agenzia per la cybersicurezza nazionale ha pubblicato due nuove determine che aggiornano il percorso di attuazione della disciplina NIS, con indicazioni operative per i soggetti entrati per la prima volta nel perimetro nel 2026 e per l’utilizzo della piattaforma digitale ACN.
Per consultare il sito web dell’Agenzia per la cybersicurezza nazionale clicca qui: https://www.acn.gov.it/portale/w/nis-online-le-determine-sugli-adempimenti-per-i-nuovi-soggetti-e-sulle-modalita-di-accesso-alla-piattaforma-acn
La Determina 127434/2026 definisce i termini che i nuovi soggetti NIS registrati nel 2026 dovranno rispettare per adempiere agli obblighi previsti dalle specifiche di base. Terminata, con la fine del 2025, la fase di prima applicazione prevista dal decreto NIS, per questi soggetti l’obbligo di notifica degli incidenti significativi di base decorrerà dal 1° gennaio 2027. Entro la fine del 2026 sarà quindi necessario designare il referente CSIRT, mentre le misure di sicurezza di base dovranno essere adottate entro luglio 2027.
La Determina 127437/2026 aggiorna invece le modalità di utilizzo e accesso alla piattaforma ACN, introducendo nuove disposizioni sull’elenco dei fornitori rilevanti. Si tratta di un passaggio importante per rafforzare la sicurezza informatica lungo la catena di approvvigionamento, individuando tra i fornitori quelli che potranno essere qualificati come soggetti importanti o essenziali ai sensi del decreto NIS.
La determina interviene anche sugli aspetti procedurali relativi all’elencazione e alla categorizzazione delle attività e dei servizi. A questo proposito, ACN pubblicherà la determinazione con il modello di categorizzazione e il materiale informativo a supporto dei soggetti chiamati a svolgere, nei mesi di maggio e giugno, l’analisi di impatto semplificata, condivisa nei Tavoli settoriali.
Per le imprese interessate, il 2026 sarà quindi un anno di preparazione operativa. È utile avviare per tempo una ricognizione interna su processi critici, servizi rilevanti, referenti cybersecurity, misure di sicurezza già adottate e fornitori strategici. La mappatura della supply chain, in particolare, non va letta solo come un adempimento formale, ma come uno strumento per rafforzare la governance dei rischi digitali e la continuità operativa.
ConfIN Hub continuerà a monitorare gli aggiornamenti pubblicati da ACN, anche alla luce del prossimo aggiornamento dell’area web dedicata alla NIS sul sito istituzionale Agenzia per la Cybersicurezza Nazionale – ACN