Il 13 aprile 2026 l’ACN (Agenzia per la Cybersicurezza Nazionale) ha pubblicato due nuove determinazioni, segnando un punto di svolta nell’applicazione della NIS2 in Italia. Le due nuove determinazioni cambiano concretamente gli adempimenti richiesti ai soggetti NIS. Non si parla di aggiornamenti tecnici marginali: si parla di obblighi operativi con scadenze precise, che i tuoi clienti devono affrontare adesso.
Cos’è cambiato concretamente?
Le determinazioni dell’ACN sono le seguenti:
- la Determina n. 127437/2026, che introduce per tutti i soggetti NIS l’obbligo di elencare i “fornitori rilevanti” all’interno della piattaforma ACN.
- la Determina n. 127434/2026, applicabile già dal 30 aprile, che fissa il calendario degli adempimenti per i soggetti inseriti per la prima volta nell’elenco NIS nel 2026.
A breve ne seguirà una terza dedicata alle analisi di impatto che i soggetti NIS dovranno svolgere nei mesi di maggio e giugno.
L’obbligo di dichiarare i fornitori rilevanti
Non si tratta di copiare l’elenco fornitori dalla contabilità. L’ACN vuole una fotografia reale delle dipendenze critiche: quei fornitori che, se interrompono il servizio, paralizzano l’operatività dell’azienda. Il criterio chiave è la non fungibilità: se un fornitore viene meno e non esiste un’alternativa reale attivabile in tempi rapidi, quel fornitore è rilevante e va dichiarato.
Il perimetro non è solo IT: rientrano tra i fornitori rilevanti anche i provider di connettività e i fornitori di energia elettrica, qualora non opportunamente ridondati. Per ciascun fornitore l’ACN richiede l’utilizzo dei codici CPV, una classificazione precisa che non ammette dichiarazioni generiche e che richiede una conoscenza capillare dell’infrastruttura aziendale.
Le nuove scadenze per i soggetti entrati nell’elenco NIS nel 2026
Per le aziende che entrano nell’elenco NIS quest’anno, per crescita dimensionale, cambio di settore o nuova mappatura ACN, il calendario è il seguente:
- entro il 31 dicembre 2026: designazione ufficiale del referente tecnico CSIRT;
- dal 1° gennaio 2027: avvio dell’obbligo di notifica degli incidenti significativi;
- entro il 31 luglio 2027: adozione definitiva delle misure di sicurezza di base.
Va precisato che queste deroghe valgono solo per i nuovi soggetti 2026. Chi era già incluso nell’elenco del 2025 deve rispettare le scadenze originali, senza eccezioni.
In arrivo: le Business Impact Analysis
Nei mesi di maggio e giugno 2026 i soggetti NIS dovranno svolgere le Business Impact Analysis (BIA): valutare le proprie vulnerabilità, stimare le conseguenze degli incidenti e definire le priorità di intervento. La compliance NIS2 non è più una checklist da spuntare una volta sola, è un sistema di gestione in continuo aggiornamento, con adempimenti sempre più strutturati e documentati.
Come aiutare i tuoi clienti a gestire la complessità NIS2 con Bastione.cloud
Mappare la supply chain, identificare i fornitori non fungibili e prepararsi alle BIA (Business Impact Analysis) sono attività che non possono essere delegate a un foglio Excel. Il rischio di presentare dichiarazioni incomplete o errate all’ACN è reale, e le conseguenze lo sono altrettanto.
Bastione.cloud è stato progettato per risolvere questo problema. La piattaforma ti permette di affiancare i tuoi clienti in ogni fase: dall’assessment iniziale alla governance continua. Grazie a un workflow guidato, Bastione blinda la documentazione con Data Certa e Hash Forense, creando un sistema probatorio inoppugnabile in caso di ispezione.
Per te che lo proponi, questo si traduce in un servizio ricorrente ad alto valore. La conformità NIS2 non è un progetto “una tantum”, ma un percorso che richiede monitoraggio e aggiornamento costante.
