L’autorità di controllo ACN procede spedita nel percorso di individuazione delle disposizioni previste dal D.Lgs. 4 settembre 2024, n. 138 (c.d. Decreto NIS), e dal 13 aprile u.s. sono stati emanati due nuove determinazioni che introducono nuovi obblighi di comunicazione per i soggetti essenziali e importanti, d’ora in poi Soggetti NIS.

In questo aggiornamento condividiamo le principali indicazioni operative introdotte dalle recenti novità, con un focus su due ambiti chiave: l’identificazione dei fornitori rilevanti e la categorizzazione di attività e servizi, presupposti necessari per una gestione efficace del rischio e della conformità.

Fornitori rilevanti: come inquadrare la supply chain

La Determinazione ACN n. 127437/2026 prevede, per i soggetti NIS, l’obbligo di comunicare ad ACN l’elenco dei fornitori ritenuti critici ai fini della continuità e della sicurezza dei servizi.

  • Finalità dell’adempimento: ACN mira a individuare gli elementi sistemici della catena di approvvigionamento – fisica e digitale – per intercettare e mitigare rischi che potrebbero propagarsi lungo relazioni di dipendenza tra soggetti interconnessi.

  • Criteri di individuazione: un fornitore è considerato “rilevante” quando soddisfa almeno uno dei seguenti requisiti:

    1. Fornitura ICT: eroga servizi riconducibili a infrastrutture digitali o alla gestione di servizi TIC (Allegato I, punti 8 e 9 del Decreto NIS).
    2. Fornitura non fungibile: la possibile interruzione del servizio avrebbe un impatto significativo sulla capacità operativa del soggetto NIS, in ragione dell’assenza di alternative equivalenti sul mercato.

  • Scadenze: la comunicazione e il successivo aggiornamento dell’elenco devono essere effettuati annualmente tra il 15 aprile e il 31 maggio, tramite la piattaforma digitale ACN.

Categorizzazione di attività e servizi: sicurezza commisurata alla criticità

La Determinazione ACN n. 155238/2026 definisce modalità e criteri per l’elencazione e la categorizzazione di attività e servizi, passaggio essenziale per calibrare correttamente le misure di sicurezza richieste dal Decreto NIS.

  • Finalità dell’adempimento: l’obiettivo è raggruppare i servizi in base alla loro criticità e al potenziale impatto, così da consentire l’adozione di misure di sicurezza proporzionate alle conseguenze di un’eventuale compromissione o indisponibilità.

  • Operatività: il soggetto è chiamato a mappare le proprie attività all’interno di 10 macro-aree previste dal modello ACN (ad es. Monitoraggio e Controllo, Produzione di beni, Ricerca e Sviluppo). Per ciascuna attività va attribuita una categoria di rilevanza (Impatto Alto, Medio, Basso o Minimo). Pur in presenza di un livello pre-assegnato da ACN per ogni macro-area, l’organizzazione può motivatamente discostarsene, sulla base di una valutazione d’impatto formalizzata (ad es. Business Impact Analysis).

  • Scadenze: l’invio dell’elenco categorizzato deve essere effettuato annualmente tra il 1° maggio e il 30 giugno.

In sintesi: gli adempimenti descritti devono essere completati esclusivamente tramite la Piattaforma Digitale NIS, accessibile dal Portale ACN. Si raccomanda inoltre di assicurare un adeguato presidio di governance, coinvolgendo gli organi di amministrazione e le funzioni direttive competenti, in coerenza con le responsabilità previste dal Decreto.

Cosa fare ora?

Come anticipato nella comunicazione di febbraio 2026 sulla scadenza annuale della dichiarazione NIS, gli adempimenti verso ACN vanno gestiti come un ciclo ricorrente (governance, evidenze e aggiornamenti periodici). Le nuove Determinazioni 2026 su fornitori rilevanti e categorizzazione completano questo percorso e richiedono un allineamento operativo entro le finestre previste.

Come possiamo aiutarti

Attraverso il servizio integrato Cybergo i nostri consulenti sono a disposizione per supportarti nel processo di autovalutazione, nella corretta classificazione come Soggetto Essenziale o Importante e nella compilazione tecnica della dichiarazione sul Portale ACN.

Vuoi sapere se la tua azienda rientra tra i soggetti NIS?

Compila il modulo per fissare una riunione in videoconferenza con i nostri consulenti per verificare la tua posizione e per ogni eventuale chiarimento e approfondimento in merito allo specifico adempimento in vista della scadenza di fine mese o per quelle successive.

Ricorda di prestare il consenso per essere sempre aggiornato sulle novità normative e ricevere gli inviti ai nostri eventi gratuiti!

    (*) per i campi contrassegnati da * la compilazione è obbligatoria.

    Ho letto l’Informativa sulla Privacy e la Privacy Policy e autorizzo il trattamento dei miei dati personali per le finalità descritte al paragrafo “Esecuzione di attività richieste dall’interessato” dell’Informativa
    [la mancata autorizzazione al trattamento comporta l’impossibilità di svolgere le attività richieste]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione di documentazione tecnico-informativa” dell’Informativa
    [il mancato consenso impedisce l’invio di documentazione tecnica e di contenuti di aggiornamento tecnico]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione iniziative di informazione tecnica, pubblicitaria e promozionale” dell’Informativa
    [il mancato consenso impedisce l’aggiornamento in merito ai nostri servizi, l’invito a nostri eventi gratuiti e la partecipazione a nostre iniziative a condizioni riservate]