Il panorama della cybersecurity europea sta vivendo una trasformazione senza precedenti. Con l’entrata nel vivo della Direttiva NIS2, il 2026 non si delinea più come un anno di transizione o di semplici preparativi, ma come il momento della piena operatività.
Per le Organizzazioni che rientrano nel perimetro stabilito dall’Agenzia per la Cybersicurezza Nazionale (ACN), la finestra temporale per mettersi in regola si sta stringendo. Ignorare queste scadenze non significa solo esporsi a rischi tecnici, ma anche a pesanti sanzioni e danni reputazionali.
Scadenza ACN maggio e giugno 2026
L’ACN ha definito tappe precise che richiedono un impegno tecnico e documentale significativo. Ecco i due appuntamenti fondamentali:
1. Entro il 31 Maggio 2026: Aggiornamento e Mappatura
In questa fase, le organizzazioni sono chiamate a consolidare la propria infrastruttura informativa attraverso:
- Aggiornamento annuale delle informazioni: verifica e aggiornamento dei propri dati anagrafici, dei contatti e della composizione degli organi di amministrazione, oltre alla mappatura completa dello spazio di indirizzamento IP e dei nomi a dominio aziendali.
- Mappatura dei fornitori rilevanti: quest’anno, per la prima volta, l’aggiornamento include anche l’elenco dei fornitori rilevanti NIS, introdotta dalla Determina ACN del 13 aprile 2026 (n. 127437/2026), che potrebbero a loro volta essere individuati come soggetti essenziali o importanti da ACN. Per ciascun fornitore rilevante devono essere comunicati i seguenti dati: denominazione, codice fiscale, Paese di sede legale, codici CPV relativi alle forniture ricevute e criterio di rilevanza applicato. Un fornitore è considerato “rilevante NIS” se soddisfa almeno uno dei seguenti criteri:
- la fornitura è riconducibile alle infrastrutture digitali e gestione dei servizi TIC: (ad esempio cloud, data center, servizi gestiti o provider di connettività);
- l’interruzione o compromissione della fornitura comporta un impatto significativo sulla capacità del soggetto di erogare i propri servizi NIS, anche per effetto dell’indisponibilità di fornitori alternativi (ad esempio connettività non ridondata o energia elettrica).
- Designazione del sostituto del punto di contatto ACN (se il punto di contatto è stato inserito nell’anno in corso).
2. Entro il 30 Giugno 2026: Categorizzazione
Entro fine giugno, la conformità richiede un’analisi granulare:
- Categorizzazione delle attività e dei servizi: mappa di dettaglio di tutte le funzioni e i servizi aziendali che si avvalgono di sistemi informativi e di rete, categorizzate secondo le 10 aree tematiche stabilite da ACN.
ATTENZIONE: l’obbligo riguarda tutte le entità già inserite nell’elenco NIS (come stabilito dall’Art. 7, comma 3, del decreto), ad eccezione degli enti finanziari già soggetti al Regolamento DORA.
Mappatura dei fornitori ACN
La mappatura dei fornitori sta generando non pochi dubbi operativi e domande sulla corretta interpretazione dei criteri. Nello specifico, per alcuni aspetti di approvvigionamento, persiste l’incertezza su cosa debba essere incluso come “fornitore rilevante”. Ad esempio: Il fornitore del packaging, senza il quale non è possibile effettuare le spedizioni e quindi erogare il servizio, va segnalato?
L’approccio che al momento sembra più sensato è quello di partire dalla mappatura dei soli fornitori di maggior rilevanza e strettamente secondo la definizione data da ACN, la quale si concentra sulle infrastrutture digitali e sull’impatto diretto sulla capacità di erogare il servizio NIS. Tuttavia, è cruciale ricordare che la norma è in evoluzione e, col tempo, potrebbe essere necessario rivedere e ampliare alcuni dettagli del perimetro di fornitura.
Categorizzazione attività e servizi ACN
Tra gli adempimenti NIS2, è previsto che nella finestra temporale tra l’1 maggio e il 30 giugno di ogni anno, le organizzazioni forniscano ad ACN un elenco delle proprie attività e dei propri servizi comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
La categorizzazione deve avvenire secondo le modalità previste dalla Determinazione ACN 127437/2026 (chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.acn.gov.it/portale/documents/d/guest/detacn_piattaformanis_251218-v9_signed)
L’Agenzia ha altresì elaborato un modello di categorizzazione, disciplinato dall’allegato 1 e dall’allegato 2 della Determinazione ACN 155238/2026.
La categorizzazione di attività e servizi in categorie di rilevanza (“minimo”, “basso”, “medio” e “alto”) è fondamentale per differenziare le misure di sicurezza, come richiesto dall’Articolo 31 del decreto NIS. L’obiettivo è definire le misure di sicurezza adeguate, comprese le future “misure di sicurezza a lungo termine” che ACN stabilirà entro la fine del 2026, evolvendo le attuali “misure di sicurezza di base” (Determina 379907/2025)
Perché muoversi ora?
La conformità alla NIS2 non deve essere vissuta come un mero adempimento burocratico. L’ACN dispone di poteri ispettivi e sanzionatori stringenti. Superare queste scadenze senza una documentazione tecnica solida e processi verificati espone l’azienda a vulnerabilità che vanno ben oltre il perimetro informatico, toccando la stabilità legale e la fiducia del mercato.
AKA42: sempre al tuo fianco
Il nostro obiettivo è affiancare le imprese per trasformare la compliance in un reale vantaggio competitivo. Non limitarti a gestire l’emergenza: governa la tua sicurezza.
Hai già mappato i tuoi asset per le prossime scadenze? Contattaci per un check-up completo della tua postura cyber e per pianificare la tua strategia di adeguamento.
