L’Agenzia per la Cybersicurezza Nazionale ha adottato, il 13 aprile 2026, le Determinazioni 127434/2026 e 127437/2026, che aggiornano e completano il quadro normativo in materia di cybersicurezza per i soggetti rientranti nell’ambito di applicazione del decreto legislativo n. 138/2024 (c.d. “decreto NIS 2”).
La prima Determinazione stabilisce i termini per l’adempimento agli obblighi in materia di misure di sicurezza e notifica degli incidenti per i soggetti inseriti per la prima volta nell’elenco NIS nel corso del 2026.
La seconda Determinazione aggiorna e sostituisce quella del 19 dicembre 2025 n. 379887 relativa alla piattaforma digitale NIS e agli obblighi informativi, introducendo significative novità, tra cui il primo avvio del processo di categorizzazione delle attività e dei servizi previsto dall’articolo 30 del decreto NIS.
Indice degli argomenti
Le novità della Determinazione 127434/2026 in materia di notifica degli incidenti Nis2
La Determinazione 127434/2026 stabilisce i termini per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS per i soggetti inseriti per la prima volta nell’elenco dei soggetti NIS nell’anno solare 2026.
Per quanto riguarda l’adozione delle misure di sicurezza previste dagli allegati 1 e 2 della Determinazione n. 379907 del 19 dicembre 2025, i nuovi soggetti NIS 2026 dovranno conformarsi entro il 31 luglio 2027. Per l’obbligo di notifica degli incidenti significativi, descritti negli allegati 3 e 4 della medesima Determinazione, la decorrenza è fissata al 1° gennaio 2027.
Un’attenzione particolare è riservata alla sicurezza, stabilità e resilienza dei sistemi di nomi di dominio: i soggetti interessati da tali obblighi specifici, inseriti nell’elenco NIS nel 2026, dovranno adempiere entro il 31 luglio 2027.
La Determinazione si applicherà a decorrere dal 30 aprile 2026.
Le novità e gli aggiornamenti della seconda Determinazione
Più complessa e articolata risulta la Determinazione 127437/2026, che si apre con un ampliamento della tassonomia normativa. L’articolo 1 della Determinazione in esame, infatti, è stato arricchito con quattro nuove definizioni, funzionali all’introduzione della disciplina sui fornitori rilevanti NIS e sulla categorizzazione delle attività.
La prima nuova definizione è quella di “fornitori rilevanti NIS”, che identifica i soggetti che assicurano forniture di servizi o prodotti a un soggetto NIS e che soddisfano almeno uno dei seguenti criteri di rilevanza: la fornitura deve essere riconducibile alle attività o ai servizi di natura ICT, oppure l’interruzione o la compromissione della fornitura deve comportare un impatto significativo sulla capacità del soggetto NIS di erogare le proprie attività o servizi, anche per effetto dell’indisponibilità di fornitori alternativi.
Sono state, inoltre, introdotte le definizioni di “elenco categorizzato delle attività e dei servizi”, che rappresenta l’elenco comprensivo delle categorie di rilevanza attribuite, di “elencazione e categorizzazione delle attività e dei servizi”, che descrive il processo di elaborazione di tale elenco, e di “Servizio NIS/Categorizzazione”, ovvero la nuova funzionalità resa disponibile dalla piattaforma per gestire questi adempimenti.
Il processo di categorizzazione
L’innovazione strutturale più significativa della Deliberazione 127437/2026 è l’introduzione di un intero nuovo Capo dedicato all’elencazione e categorizzazione delle attività e dei servizi.
Nello specifico, dal 1° maggio al 30 giugno di ogni anno i soggetti NIS saranno tenuti a comunicare e aggiornare, tramite il nuovo “Servizio NIS/Categorizzazione”, l’elenco categorizzato delle proprie attività e servizi. Gli utenti devono compilare tale elenco attribuendo le categorie di rilevanza stabilite dal modello adottato con apposita Determinazione, secondo modalità e criteri predefiniti.
Decorsi i termini previsti, l’elenco categorizzato si intenderà definitivamente acquisito e non ulteriormente modificabile. Le comunicazioni trasmesse oltre i termini saranno considerate tardive e non potranno essere successivamente modificate, salvo che il ritardo sia stato determinato da documentate criticità tecnico-operative non imputabili al soggetto.
Verifiche di conformità e silenzio-assenso
Il nuovo articolo 21 della Deliberazione in esame introduce un meccanismo di verifiche di conformità a campione sugli elenchi categorizzati trasmessi. L’Autorità nazionale competente NIS esamina gli elenchi rispetto a quanto stabilito dalla Determinazione applicabile e in relazione agli elenchi trasmessi da soggetti NIS comparabili.
Un aspetto particolarmente rilevante riguarda i termini procedurali: l’Autorità deve fornire riscontro al soggetto entro novanta giorni dalla trasmissione dell’elenco categorizzato. Questo termine può essere prorogato, per una sola volta, fino a un massimo di ulteriori sessanta giorni qualora sia necessario svolgere approfondimenti.
È prevista, inoltre, una sospensione dei termini nel caso in cui l’Autorità debba richiedere integrazioni, informazioni aggiuntive o modifiche all’elenco: in tal caso, i termini ricominceranno a decorrere dalla data di ricevimento delle risposte, che dovranno essere fornite entro trenta giorni dalla richiesta. L’omesso o tardivo riscontro può costituire motivo di rigetto dell’elenco categorizzato.
Di particolare interesse è l’introduzione del meccanismo del silenzio-assenso: in assenza di comunicazione da parte dell’Autorità entro i termini sopra menzionati, l’elenco categorizzato si intenderà automaticamente convalidato.
Esenzioni per le entità finanziarie soggette al DORA
Un’altra novità di rilievo concerne le entità finanziarie soggette al Regolamento europeo 2022/2554, noto come DORA. La Determinazione introduce specifiche esenzioni per questi soggetti, che sono esonerati: 1) dall’attuazione degli obblighi relativi alla designazione del referente CSIRT e dei suoi sostituti; 2) dall’elencazione degli organi di amministrazione e direttivi, nonché 3) dal nuovo processo di categorizzazione.
La precedente versione della Determinazione prevedeva una semplice non applicazione di alcune disposizioni ai soggetti DORA. La nuova formulazione, oltre a estendere l’ambito delle esenzioni, introduce un elemento di flessibilità significativo: è fatta salva la possibilità di adesione volontaria a tali previsioni. Le entità finanziarie che lo desiderino possono dunque scegliere di conformarsi comunque a questi obblighi.
Obbligo di elencazione dei fornitori rilevanti
La Determinazione 127437/2026 introduce un nuovo obbligo di elencazione dei fornitori rilevanti NIS. Questo adempimento si inserisce nell’aggiornamento annuale delle informazioni e risponde all’esigenza di individuare gli elementi sistemici della catena di approvvigionamento, anche digitale, dei soggetti essenziali o importanti.
Per ciascun fornitore rilevante dovranno essere indicati: la denominazione, il codice fiscale, il Paese in cui ha sede legale, i codici CPV (Common Procurement Vocabulary) relativi alle forniture di cui fruisce il soggetto NIS e il criterio di rilevanza utilizzato per qualificarlo come fornitore rilevante.
Modifiche per i referenti CSIRT
La disciplina del referente CSIRT passa da una formulazione transitoria a una formulazione “a regime”. Nella versione precedente, infatti, i termini per la designazione erano specificamente riferiti al periodo dal 20 novembre al 31 dicembre 2025. La nuova versione stabilisce, invece, che il referente CSIRT debba essere designato entro il 31 dicembre dell’anno in cui l’ente è stato inserito nell’elenco dei soggetti NIS, rendendo la norma applicabile stabilmente negli anni a venire.
Una ulteriore novità procedurale riguarda il ruolo del punto di contatto: in via eccezionale, in caso di indisponibilità del referente CSIRT e dei suoi sostituti, il punto di contatto può effettuare le notifiche di incidenti previste dagli articoli 25 e 26 del decreto NIS per conto del soggetto. Questa previsione assicura la continuità operativa nelle comunicazioni con il CSIRT Italia anche in situazioni di emergenza.
Registrazione tardiva e aggiornamento annuale delle informazioni
La Determinazione introduce nuove disposizioni anche per la gestione delle dichiarazioni tardive ai fini della registrazione sulla piattaforma ACN. La versione aggiornata, infatti, stabilisce espressamente che il termine di dieci giorni solari per la definitiva acquisizione della dichiarazione non si applica alle dichiarazioni considerate tardive, le quali rimangono, dunque, soggette a un regime differenziato.
Anche per l’aggiornamento annuale delle informazioni in caso di registrazione tardiva, il nuovo testo prevede un termine fisso di trenta giorni dalla ricezione della comunicazione di inserimento nell’elenco, in luogo del precedente sistema che affidava all’Autorità la comunicazione del termine caso per caso.
Precompilazione e controlli automatici della piattaforma
Per agevolare gli adempimenti dei soggetti già registrati, la Determinazione 127437/2026 introduce meccanismi di precompilazione. All’avvio dell’aggiornamento annuale delle informazioni per l’anno 2026, infatti, ai soggetti già inseriti nell’elenco NIS 2025 saranno presentate le informazioni precompilate sulla base di quelle trasmesse fino al 14 aprile 2026 tramite i Servizi NIS.
Analogamente, per la registrazione dell’anno 2026, verrà presentata una bozza di dichiarazione precompilata sulla base delle informazioni trasmesse nel corso dell’anno solare precedente.
Una modifica apparentemente minore ma significativa sul piano operativo riguarda il rilevamento delle incongruenze nella compilazione delle dichiarazioni. La nuova formulazione specifica, infatti, che tali incongruenze saranno rilevate “automaticamente” dalla piattaforma, evidenziando il ruolo attivo del sistema informatico nel supportare gli utenti nella corretta compilazione.
Tempistiche di entrata in vigore delle nuove regole
La Determinazione 127437/2026 trova applicazione dal 15 aprile 2026, con una significativa eccezione: le disposizioni del Capo V sulla categorizzazione delle attività e dei servizi entrano in vigore dal 1° maggio 2026, concedendo così ai soggetti obbligati un periodo aggiuntivo per prepararsi al nuovo adempimento.
Determinazioni ACN: un passaggio chiave nella maturazione del sistema NIS italiano
Le modifiche introdotte dalle Determinazioni sopra illustrate segnano un passaggio significativo nella maturazione del sistema NIS italiano. L’avvio del processo di categorizzazione delle attività e dei servizi rappresenta probabilmente l’elemento di maggiore novità: questo nuovo adempimento, infatti, consentirà all’Autorità nazionale competente di disporre di una mappatura dettagliata delle funzioni critiche svolte dai soggetti NIS, requisito essenziale per una efficace gestione del rischio cyber a livello sistemico.
L’obbligo di censimento dei fornitori rilevanti, invece, risponde alla crescente consapevolezza dell’importanza della catena di approvvigionamento nella sicurezza informatica, permettendo di individuare le dipendenze critiche che potrebbero compromettere la continuità operativa dei soggetti essenziali e importanti.
La Determinazione 127434/2026 relativa ai termini per le misure di sicurezza e la notifica degli incidenti completa il quadro definendo una tempistica chiara e proporzionata per i nuovi soggetti NIS. La scelta di concedere tempo fino al 31 luglio 2027 per l’adozione delle misure di sicurezza riflette la consapevolezza che l’implementazione di un adeguato sistema di gestione della cybersicurezza richiede investimenti significativi in termini di risorse, competenze e processi organizzativi, ma anche di cultura aziendale.
Nel complesso, le due Determinazioni si muovono nell’ottica di consolidare un impianto normativo che, superata la fase di prima applicazione, si avvia verso un funzionamento a regime sempre più strutturato e capillare, con l’obiettivo di rafforzare la capacità dei soggetti interessati di prevenire e gestire le minacce alla sicurezza delle reti e dei sistemi informativi.
