L’ACN ha emanato due nuove Determinazioni (n. 127434/2026 e n. 127437/2026).

La prima, in sintesi, individua termini, modalità, specifiche e tempi graduali di implementazione degli obblighi di cui agli artt. 23, 24, 25, 27, 28 e 29 del Decreto NIS per i soggetti essenziali ed importanti inseriti nell’anno 2026 nell’elenco dei soggetti NIS.

Tra i più rilevanti:

  • obbligo di notifica degli incidenti significativi con decorrenza del 01.01.2027;
  • adozione delle misure di sicurezza (Allegati 1 e 2 della Determinazione n. 379907/2025) entro il 31.07.2027.

Certamente più importante la seconda Determinazione, che prevede, nell’ambito dell’aggiornamento da effettuarsi dal 15.04 al 31.05 di ogni anno, anche l’indicazione di una serie di informazioni relative ai c.d. “fornitori rilevanti NIS”.

Ma come individuare tali fornitori?

Vengono in aiuto le FAQ (FRN 2) dell’ACN: “un fornitore si considera “fornitore rilevante NIS” se fornisce servizi o prodotti a un soggetto NIS e soddisfa almeno uno dei seguenti criteri di rilevanza:

  1. la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS (fornitura ICT);
  2. l’interruzione o la compromissione della fornitura comportano un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS (fornitura non fungibile).

Sempre le FAQ (FRN 4) forniscono un’elencazione esemplificativa di fornitori rientranti nelle predette categorie. Tra i primi vi sono i fornitori dei servizi ICT (infrastrutture digitali, servizi gestiti e servizi gestiti di sicurezza), tra i secondi i fornitori di servizi non fungibili (connettività qualora non ridondata e corrente elettrica).

Altro elemento di novità è costituito dall’obbligo di comunicare e aggiornare l’elenco categorizzato delle attività e dei servizi tramite il “Servizio NIS/Categorizzazione”. Sul punto, però, si è ancora in attesa della pubblicazione del modello di categorizzazione – prevista per la prossima settimana – da parte di ACN, da utilizzare per permettere di suddividere attività e servizi in base alla loro criticità, tenendo conto di fattori come il settore merceologico di appartenenza, la tipologia di rischio a cui sono esposti e il potenziale impatto di un eventuale incidente informatico.