Il 13 aprile 2026, a valle dell'ottava riunione del Tavolo NIS, l'Agenzia per la Cybersicurezza Nazionale (“ACN”) ha pubblicato due nuove determinazioni del Direttore Generale che aggiornano il quadro attuativo della disciplina NIS di cui al D.lgs. 4 settembre 2024, n. 138 (“Decreto NIS”). Conclusa la fase di prima applicazione prevista dall'art. 42 del Decreto NIS, i provvedimenti intervengono su due fronti: da un lato, la Determinazione 127434/2026 definisce i termini di adempimento per i nuovi soggetti NIS inseriti nell'elenco nel corso del 2026; dall'altro, la Determinazione 127437/2026 aggiorna le modalità di utilizzo e accesso alla piattaforma digitale ACN, introducendo significative novità in materia di fornitori rilevanti e categorizzazione delle attività e dei servizi.
Determinazione n. 127434/2026
La Determinazione n. 127434/2026 aggiorna e integra la Determinazione n. 379907 del 19 dicembre 2025, la quale stabilisce le specifiche di base per l'adempimento degli obblighi di cui agli artt. 23, 24, 25, 29 e 32 del Decreto NIS. In particolare, il provvedimento fissa i seguenti termini:
- soggetti inseriti nell'elenco NIS nel corso del 2026 (nuovi soggetti): per tali soggetti, il termine per l'adozione delle misure di sicurezza di base è fissato al 31 luglio 2027. L'obbligo di notifica degli incidenti significativi di base decorre invece dal 1° gennaio 2027, con la conseguente necessità di designare il Referente CSIRT entro la fine del 2026;
- soggetti inseriti nell'elenco NIS nel 2025 che permangono nell'elenco 2026: per tali soggetti restano fermi i termini già previsti dalla precedente determinazione: diciotto mesi dalla ricezione della comunicazione di inserimento nell'elenco per l'adozione delle misure di sicurezza di base e nove mesi dalla medesima comunicazione per l'adempimento dell'obbligo di notifica degli incidenti significativi di base.
- gestori di registri di nomi di dominio di primo livello e fornitori di servizi di registrazione: i soggetti inseriti nell'elenco NIS nel 2026 devono adempiere agli obblighi di cui all'art. 29, commi 1 e 2, del Decreto NIS — ossia raccogliere e mantenere dati di registrazione accurati e completi, nonché adottare e rendere pubbliche le politiche e le procedure di verifica di cui al comma 3 del medesimo articolo — entro il 31 luglio 2027. Per i medesimi soggetti già inseriti nell'elenco 2025 e che permangono nel 2026, i termini restano ancorati ai diciotto mesi dalla ricezione della comunicazione di inserimento.
Determinazione n. 127437/2026
La Determinazione n. 127437/2026 aggiorna e sostituisce la Determinazione n. 379887/2025, introducendo una serie di rilevanti novità operative per i soggetti NIS, con particolare riguardo alla gestione dei fornitori e alla categorizzazione delle attività.
In primo luogo, il provvedimento interviene sull’art. 1 introducendo quattro nuove definizioni. Viene anzitutto qualificata la nozione di “Fornitori rilevanti NIS”, individuati nei soggetti che assicurano la fornitura di servizi o prodotti a un soggetto NIS e che soddisfano almeno uno dei seguenti criteri di rilevanza:
- la fornitura è riconducibile alle attività o ai servizi di cui all’Allegato I, punti 8 e 9, del Decreto NIS, ossia alle infrastrutture digitali o ai gestori di servizi TIC;
- l’interruzione o la compromissione della fornitura comporta un impatto significativo sulla capacità del soggetto NIS di erogare le proprie attività o servizi, anche in ragione dell’indisponibilità di fornitori alternativi, configurando quindi una fornitura non fungibile.
Vengono inoltre introdotte le definizioni di “Elenco categorizzato delle attività e dei servizi”, inteso come l’elenco delle attività e dei servizi svolti dal soggetto NIS comprensivo della relativa categoria di rilevanza, di “Elencazione e categorizzazione delle attività e dei servizi”, quale processo di elaborazione del predetto elenco, e di “Servizio NIS/Categorizzazione”, ossia il servizio reso disponibile dall’ACN ai soggetti NIS per la predisposizione e la trasmissione dell’elenco categorizzato.
La determinazione aggiornata interviene altresì sul regime delle notifiche, codificando all’art. 4, paragrafo 9, una facoltà già anticipata nelle FAQ dell’ACN. In via eccezionale, in caso di indisponibilità del Referente CSIRT e dei suoi sostituti, il punto di contatto può effettuare le notifiche obbligatorie e volontarie di cui agli artt. 25 e 26 del Decreto NIS per conto del soggetto NIS, formalizzando così una soluzione operativa già adottata in via interpretativa.
L’art. 7 modifica, inoltre, i termini per la designazione del Referente CSIRT, stabilendo che la designazione deve essere effettuata dal punto di contatto tramite la procedura telematica del Portale ACN entro il 31 dicembre dell’anno in cui il soggetto NIS è stato inserito nell’elenco dei soggetti NIS. La determinazione introduce inoltre una clausola di esenzione per le entità finanziarie rientranti nell’ambito di applicazione del Regolamento (UE) 2022/2554 (Regolamento DORA), ferma restando la possibilità di aderire volontariamente alle relative previsioni.
Ulteriori modifiche riguardano la disciplina della registrazione tardiva. L’art. 16, paragrafo 11, prevede ora che, ferme restando le sanzioni di cui all’art. 38, comma 10, lettera b), del Decreto NIS, in caso di registrazione tardiva il termine per completare l’aggiornamento annuale sia fissato in trenta giorni dalla ricezione della comunicazione dell’inserimento tra i soggetti NIS.
Di particolare rilievo è l’introduzione dell’art. 18, che disciplina ex novo l’obbligo di elencazione dei fornitori rilevanti NIS (definiti come i soggetti che forniscono servizi o prodotti a un soggetto NIS e la cui fornitura è qualificata come ICT ai sensi del Decreto NIS oppure la cui interruzione o compromissione inciderebbe in modo significativo sulla capacità del soggetto NIS di erogare le proprie attività o servizi, anche per assenza di alternative) nell’ambito dell’aggiornamento annuale delle informazioni. L’esercizio è finalizzato a individuare, tra i fornitori dei soggetti NIS, quelli suscettibili di essere riconosciuti come soggetti importanti o essenziali, al fine di promuovere un adeguato livello di sicurezza informatica lungo la catena di approvvigionamento. Tramite il “Servizio NIS/Aggiornamento annuale informazioni”, i soggetti NIS sono tenuti a indicare, per ciascun fornitore rilevante, la denominazione, il codice fiscale, il Paese della sede legale, i codici CPV di cui al Regolamento (CE) n. 2195/2002 relativi alle forniture fruite, nonché il criterio di rilevanza adottato, distinguendo tra fornitura ICT e fornitura non fungibile. L’elencazione deve essere effettuata nella finestra temporale compresa tra il 15 aprile e il 31 maggio 2026.
Gli articoli 20 e 21, anch’essi introdotti ex novo, disciplinano il processo di elencazione e categorizzazione delle attività e dei servizi dei soggetti NIS ai sensi dell’art. 30 del Decreto NIS. In base all’art. 20, dal 1° maggio al 30 giugno di ogni anno i soggetti NIS comunicano e aggiornano, tramite il “Servizio NIS/Categorizzazione”, l’elenco categorizzato delle attività e dei servizi. Il punto di contatto conferma le informazioni ai sensi del D.P.R. 28 dicembre 2000, n. 445 e le trasmette telematicamente all’ACN, che provvede altresì all’invio di una copia al domicilio digitale del soggetto. Decorso il termine, l’elenco si intende definitivamente acquisito e non ulteriormente modificabile; le trasmissioni tardive sono ammesse ma non modificabili, salvo il caso in cui il ritardo sia determinato da documentate criticità tecnico-operative non imputabili al soggetto.
L’art. 21 introduce inoltre un meccanismo di verifiche di conformità, prevedendo che l’ACN analizzi a campione gli elenchi categorizzati trasmessi dai soggetti NIS, comparandoli sia con quanto stabilito dalla determinazione di riferimento sia con gli elenchi di soggetti NIS comparabili. L’esito delle verifiche viene comunicato entro novanta giorni dalla trasmissione dell’elenco, con possibilità di proroga da parte dell’ACN.
Anche con riguardo al processo di categorizzazione, la determinazione prevede una clausola di esenzione per le entità finanziarie soggette al Regolamento DORA, le quali sono esentate dall’attuazione delle previsioni di cui all’art. 20, ferma restando la possibilità di adesione su base volontaria.
Nel complesso, la Determinazione n. 127437/2026 rafforza in modo significativo gli obblighi informativi e organizzativi dei soggetti NIS, introducendo un approccio più strutturato alla gestione della supply chain e alla classificazione delle attività e dei servizi, in linea con gli obiettivi di rafforzamento della resilienza cibernetica previsti dal quadro normativo nazionale ed europeo.
