Aggiornamento obblighi e fornitori, categorizzazione attività e nuove scadenze, ACN chiarisce gli aspetti operativi ancora oggetto di interpretazione
La NIS2 introduce elementi significativi di innovazione nella governance della cybersecurity. Nell’ottavo incontro del Tavolo di attuazione, ACN continua l’impegno sinergico con le autorità di settore per l’attuazione della NIS2. Nella determinazione 155238/2026 vengono identificate dieci macro-aree per organizzare attività e servizi, associando ciascuna a quattro livelli di rilevanza (impatto minimo, basso, medio, alto).
La determinazione 127434/2026 fissa termini per i soggetti iscritti per la prima volta nell’elenco NIS nel 2026 (notifica incidenti e misure di sicurezza), definisce la designazione del referente CSIRT entro fine 2026 e l’obbligo di notifica degli incidenti dal primo gennaio 2027. I nuovi soggetti NIS 2026 devono adottare le misure di sicurezza di base entro il 31 luglio 2027. L’analisi di impatto va comunicata tramite il portale ACN tra il primo maggio e il 30 giugno 2026.
Per quanto riguarda l’aggiornamento obblighi e fornitori, la det. 127437/2026 sostituisce la precedente, inserendo l’obbligo di dettagliare i fornitori rilevanti NIS durante l’aggiornamento annuale delle informazioni sul portale ACN.
DEFINIZIONE E IMPATTO
La determinazione 127437/2026 interviene sulle modalità di utilizzo della piattaforma digitale ACN, definendo con precisione sia i contenuti informativi richiesti sia le tempistiche di aggiornamento. Ma soprattutto porta con sé due obblighi destinati a incidere profondamente sull’organizzazione interna: la comunicazione dei fornitori rilevanti e la categorizzazione di attività e servizi. Sul primo punto, il dettato normativo è chiaro: l’art. 18 prevede l’inserimento, tra il 15 aprile e il 31 maggio, dei fornitori rilevanti nel portale ACN, con indicazione dei dati identificativi; l’art. 19 impone l’aggiornamento tempestivo di ogni variazione. La nozione di “fornitore rilevante” ha generato un ampio dibattito, ma troviamo chiarimento nella direttiva e nelle FAQ che ACN propone. Rientrano in questa categoria i fornitori di servizi ICT e, più in generale, tutti quei soggetti – anche non ICT – la cui interruzione o compromissione impatta in modo significativo sulla capacità del soggetto NIS di erogare i propri servizi (per esempio, fornitori non fungibili, assenza di alternative o ridondanze).
Il processo di identificazione dei fornitori rilevanti riflette la logica strutturata prevista da ACN e basata su una chiara relazione causa-effetto. Un soggetto NIS2 (essenziale o importante) deve innanzitutto categorizzare le proprie attività e i propri servizi, attribuendo a ciascuno un livello di rilevanza. I servizi ICT che supportano attività critiche ereditano tale rilevanza; di conseguenza, i fornitori da cui dipendono diventano essi stessi rilevanti.
SUPPLY CHAIN SOTTO CONTROLLO
Il vero elemento innovativo, tuttavia, non è l’analisi interna, quanto la sua formalizzazione verso l’esterno. L’obbligo di comunicare i fornitori rilevanti sul portale ACN, con dati puntuali, integra un livello di trasparenza senza precedenti. Si tratta, inoltre, di un processo continuo. L’aggiornamento non è episodico ma permanente, come previsto dall’art. 19, al fine di riflettere in tempo reale l’evoluzione della catena di fornitura. Ne deriva la necessità, per le organizzazioni, di dotarsi di una visione strutturata e aggiornata della propria supply chain, supportata da un’efficace collaborazione tra i diversi dipartimenti aziendali. Dal punto di vista organizzativo, l’impatto è significativo.
La mappatura e classificazione dei fornitori richiedono processi strutturati e un forte coordinamento tra funzioni aziendali – procurement, IT, Quality Assurance, compliance, legal – spesso caratterizzate da approcci non uniformi. Diventa quindi essenziale standardizzare criteri, soglie di rilevanza e metodologie, oltre a definire flussi informativi chiari verso il punto di contatto, responsabile di aggiornare il portale ACN. La vera sfida non è compilare un elenco, ma dimostrare una conoscenza aggiornata e consapevole delle proprie dipendenze critiche.
CATEGORIZZAZIONE E BIA
Analogo livello di attenzione è richiesto per la categorizzazione. L’art. 20 della det. 127437/2026 stabilisce che, tra il primo maggio e il 30 giugno di ogni anno, i soggetti NIS debbano comunicare e aggiornare le attività e i servizi, associando a ciascuno una categoria di rilevanza. L’art. 31 del DL 138/2024 chiarisce che gli obblighi sono modulati proprio sulla base di tali categorie. Il messaggio emerso anche durante il Security Summit di marzo 2026 a Milano è chiaro: non basta valutare quanto un servizio sia importante, ma è necessario comprendere cosa accade concretamente in caso di compromissione e adottare misure proporzionate alla criticità.
In questo scenario, un impatto operativo rilevante sarà la revisione della Business Impact Analysis (BIA). L’approccio promosso da ACN suggerisce sia una BIA “semplificata”, in altre parole focalizzata sui servizi NIS più critici, ma anche una BIA “completa”, che in pratica considera tutte e tre le dimensioni della sicurezza informatica secondo il modello CIA (Confidentiality, Integrity, Availability).
Nell’evento organizzato dal CLUSIT del 29 aprile 2026, i vertici di ACN confermano che l’obbligo di comunicare i fornitori rilevanti sul portale consente ad ACN di individuare componenti strategiche della catena di approvvigionamento e nominare d’ufficio, quali soggetti importanti o essenziali, fornitori sistemici precedentemente non inclusi. Per consentire alle aziende di prepararsi e mettere a budget per il 2027 le risorse necessarie a implementare le misure a lungo termine, l’ACN indica che entro ottobre sarà pubblicata una norma tecnica che anticiperà, anche se non definitiva, quali misure sono in discussione.
VERSO UN MODELLO INTEGRATO
La NIS2 non è un’iniziativa isolata, ma si inserisce in un ecosistema più ampio che include, tra gli altri, il Cyber Resilience Act (CRA) e aggiornamenti normativi settoriali come il nuovo Annex 11 in ambito farmaceutico. In particolare, il CRA introduce obblighi che si sovrappongono in modo diretto con quelli della NIS2, estendendoli lungo la filiera dei prodotti digitali. A partire da settembre 2026, il CRA imporrà ai fabbricanti l’obbligo di notificare qualsiasi vulnerabilità attivamente sfruttata e ogni incidente grave che impatti la sicurezza dei prodotti digitali. Si tratta di un principio pienamente allineato con la NIS2. Questa convergenza rafforza il messaggio che la gestione degli incidenti e delle vulnerabilità non è più confinata all’interno del perimetro dell’organizzazione ma diventa un requisito esteso ai prodotti digitali che le organizzazioni creano con l’obiettivo finale di salvaguardare i consumatori.
Accanto a questo, anche altri ambiti mostrano elementi di sovrapposizione. Il nuovo Annex 11 sui sistemi computerizzati in ambito GMP (Good Manufacturing Practices), pur in un contesto settoriale specifico farmaceutico, richiama principi già presenti nella NIS2, come l’approccio basato sul rischio lungo il ciclo di vita dei sistemi, il controllo degli accessi, la necessità di garantire la data integrity, la tracciabilità delle operazioni e la necessità di mantenere sistemi aggiornati e sicuri nel tempo.
In questo scenario, affrontare le normative in modo separato rischia di generare inefficienze. Diventa invece fondamentale adottare un approccio integrato, capace di armonizzare i requisiti e costruire un modello di sicurezza coerente, trasversale e sostenibile nel tempo.
Giuseppe Rosario Bungaro head of Digital Transformation di Adeodata SA
