L’Agenzia per la Cybersicurezza Nazionale ha recentemente pubblicato nuove Determinazioni attuative della Direttiva NIS 2, che introducono ulteriori obblighi operativi e nuove scadenze per i clienti rientranti nel perimetro NIS.

Di seguito una sintesi delle principali novità normative da conoscere e da condividere con i clienti.

 

1. Novità principale: obbligo di comunicazione dei fornitori rilevanti NIS

Tra le principali novità è stato introdotto l’obbligo, per tutti i soggetti NIS, di comunicare annualmente l’elenco dei fornitori rilevanti NIS, come previsto dalla Determinazione ACN n. 127437/2026.

L’obiettivo è aumentare la visibilità e il controllo dei rischi cyber lungo la catena di approvvigionamento.

 

Aggiornamento annuale delle informazioni

15 aprile – 31 maggio

Ogni anno, i clienti NIS devono aggiornare tramite il Portale ACN le seguenti informazioni:

• dati aziendali e organizzativi
• organi di amministrazione e direttivi
• servizi erogati e infrastrutture digitali
• referenti NIS (incluso il Referente CSIRT)
• elenco dei fornitori rilevanti NIS

In caso di registrazione tardiva, l’aggiornamento deve essere completato entro 30 giorni dalla comunicazione di inclusione nell’elenco NIS.

 

Chi sono i fornitori rilevanti NIS

Sono considerati fornitori rilevanti quelli critici per la continuità operativa e che rientrano in uno o entrambi i seguenti casi:

• fornitori di servizi ICT (es. cloud, data center, servizi gestiti – MSP, cybersecurity);  
• fornitori non fungibili, la cui indisponibilità potrebbe comportare un impatto significativo sulle attività aziendali (es. connettività, energia, telecomunicazioni, ecc.).  
• Fornitori di servizi ICT non fungibili 

 

Informazioni richieste per ciascun fornitore

Per ogni fornitore rilevante, i clienti devono raccogliere e trasmettere tramite il Portale ACN (secondo il template previsto):

• dati identificativi del fornitore
• Paese di stabilimento
• codice CPV (tipologia di fornitura)
• criterio di rilevanza adottato (ICT e/o non fungibile)

ACN mette a disposizione una lista esemplificativa di forniture ICT e non fungibili con i relativi codici CPV, consultabile nella FAQ FRN.4 sul sito ACN.

 

Modalità operative

L’aggiornamento deve essere effettuato esclusivamente in modalità telematica tramite il servizio
“NIS / Aggiornamento annuale informazioni”, accedendo al Portale dei Servizi ACN.

Per i soggetti già presenti nell’elenco NIS 2025, l’aggiornamento 2026 potrà includere dati precompilati, sulla base delle informazioni già trasmesse tramite i servizi NIS.

 

2. Nuove tempistiche per i soggetti NIS inseriti nel 2026

Un’ulteriore novità riguarda i soggetti inseriti per la prima volta nell’elenco NIS nel corso del 2026.

Per questi clienti sono previsti termini differiti per alcuni obblighi chiave, come stabilito dalla Determinazione ACN n. 127434/2026 (art. 1):

• entro il 31 dicembre 2026 → nomina del Referente CSIRT
• dal 1° gennaio 2027 → obbligo di notifica degli incidenti significativi
• entro il 31 luglio 2027 → adozione delle misure di sicurezza di base previste dalla Determinazione ACN n. 379907

 

Il team Yarix resta a disposizione per eventuali approfondimenti e per supportare i clienti nella gestione degli obblighi previsti dalla normativa.