NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

Condividi:
NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

L’ACN ha pubblicato nuove determinazioni sugli adempimenti NIS2 per i soggetti inseriti nel 2026 e ha aggiornato le modalità di accesso e utilizzo della piattaforma digitale ACN. Il punto chiave è questo: la fase “dichiarativa” sta lasciando spazio a una fase più operativa, strutturata e verificabile.

Come indicato nella comunicazione ufficiale ACN sulle nuove determinazioni NIS2, e nella determina completa ACN sulla piattaforma NIS, il quadro normativo entra ora in una fase pienamente operativa.

Non basta più sapere di essere soggetti NIS. Ora bisogna organizzare ruoli, aggiornare correttamente i dati, censire i fornitori rilevanti, classificare attività e servizi e rispettare una roadmap precisa.

Cosa cambia davvero nel 2026

Il 13 aprile 2026 segna il passaggio dalla teoria all’operatività. L’ACN non si limita più a identificare i soggetti, ma impone un modello strutturato di gestione.

Non si tratta di un aggiornamento burocratico. È un cambio di paradigma: la cybersicurezza diventa governance, responsabilità e capacità dimostrabile.

Le scadenze per i soggetti NIS inseriti nel 2026

Per i soggetti che entrano nel perimetro NIS nel 2026, la roadmap è chiara:

  • 31 maggio 2026 → Designazione sostituto punto di contatto

  • 1 maggio – 30 giugno 2026 → Categorizzazione attività e servizi

  • 31 dicembre 2026 → Designazione referente CSIRT

  • 1 gennaio 2027 → Obbligo notifica incidenti

  • 31 luglio 2027 → Adozione misure di sicurezza di base

Attenzione: queste scadenze non sono universali ma dipendono dalla data di inclusione nel perimetro NIS.

La piattaforma ACN: il vero centro della compliance

La piattaforma digitale ACN non è un semplice portale. È il punto centrale di:

  • registrazione

  • aggiornamento annuale

  • aggiornamento continuo

  • categorizzazione servizi

Tutte le comunicazioni ufficiali passano da qui. La qualità dei dati inseriti diventa parte integrante della compliance.

Aggiornamento annuale: cosa va davvero gestito

Dal 15 aprile al 31 maggio, ogni soggetto NIS deve aggiornare:

  • dati anagrafici e legali

  • organi di amministrazione

  • IP e domini

  • servizi erogati

  • referente CSIRT

  • fornitori rilevanti

Non è una formalità. È un processo di allineamento tra organizzazione reale e rappresentazione verso ACN.

Fornitori rilevanti: la sicurezza esce dall’azienda

La determina introduce un punto chiave: la sicurezza della supply chain.

I soggetti NIS devono censire i fornitori che:

  • forniscono servizi ICT

  • oppure sono critici per la continuità operativa

Per ciascun fornitore vanno indicati dati, paese, CPV e criterio di rilevanza.

Questo significa una cosa: la sicurezza non è più perimetro, ma ecosistema.

Categorizzazione attività e servizi: il vero nodo strategico

Dal 1 maggio al 30 giugno, ogni soggetto deve classificare le proprie attività e servizi.

Questa attività non è solo descrittiva. È la base per:

  • analisi di impatto (BIA)

  • definizione delle priorità

  • costruzione della sicurezza

ACN può verificare a campione e richiedere modifiche.

Ruoli NIS2: non sono nomine simboliche

I ruoli chiave sono:

  • Punto di contatto

  • Sostituto punto di contatto

  • Referente CSIRT

Devono essere persone reali, operative e competenti. In particolare, il referente CSIRT deve essere in grado di gestire incidenti e interfacciarsi con CSIRT Italia.

Il punto critico: la responsabilità è del management

La NIS2 non è un tema IT.

È responsabilità degli organi di amministrazione e direttivi.

Questo comporta:

  • responsabilità diretta

  • necessità di governance

  • obbligo di controllo e supervisione

Chi delega senza controllo è esposto.

Verifiche ACN: non è più un’autodichiarazione

L’ACN può:

  • verificare le informazioni

  • chiedere integrazioni

  • contestare incongruenze

La compliance deve essere coerente, difendibile e documentata.

Cosa devono fare ora le aziende

Le aziende devono partire da qui:

  • chiarire il perimetro NIS

  • definire i ruoli

  • mettere ordine su asset e servizi

  • censire i fornitori

  • prepararsi alla categorizzazione

  • strutturare governance e processi

Chi parte dalla piattaforma senza struttura rischia di costruire una compliance fragile.

Vuoi capire davvero se sei conforme NIS2?

La differenza non è tra chi ha compilato la piattaforma e chi no, ma tra chi ha costruito una struttura solida e chi ha solo dichiarato di averlo fatto.

Se vuoi fare chiarezza sul tuo perimetro NIS, sui fornitori rilevanti e su cosa devi davvero mettere in piedi nei prossimi mesi, puoi confrontarti con noi. Analizziamo la tua situazione attuale e ti diamo una lettura concreta, senza teoria inutile.

Richiedi un confronto diretto qui:

Self-Assessment NIS2

Nota importante: questo strumento non è sostitutivo di una gap analysis ma fornisce una valutazione orientativa. Non sostituisce una consulenza legale né un audit tecnico certificato. Le risposte restano solo nel browser e vengono perse alla chiusura della pagina.

Roadmap NIS2 Italia 2026-2027

FAQ

Cosa cambia con la determina ACN del 2026?

Introduce nuove scadenze, rafforza l’uso della piattaforma ACN e impone una gestione più strutturata di dati, fornitori e servizi.

Quando scatta l’obbligo di notifica incidenti?

Dal 1 gennaio 2027 per i soggetti inseriti nel 2026.

Chi è il referente CSIRT?

È la figura incaricata di gestire le comunicazioni con CSIRT Italia e notificare gli incidenti.

La NIS2 riguarda anche i fornitori?

Sì. I fornitori rilevanti devono essere censiti e valutati.

La responsabilità è dell’IT?

No. È degli organi di amministrazione e direttivi.

Data pubblicazione:
Condividi: