L’Agenzia per la cybersicurezza nazionale ha pubblicato sul proprio sito istituzionale due nuove determine che aggiornano il quadro operativo della direttiva NIS, con indicazioni sui tempi di adeguamento per i nuovi soggetti e sulle modalità di accesso alla piattaforma digitale ACN. I provvedimenti sono stati esaminati durante l’ottava riunione del Tavolo NIS e segnano il passaggio alla fase successiva dopo la prima applicazione della normativa, conclusa a fine 2025.
Nel dettaglio, la determina 127434/2026 stabilisce le scadenze per i soggetti inseriti per la prima volta nel 2026 nell’elenco NIS. Per questi operatori, l’obbligo di notifica degli incidenti significativi scatterà dal 1° gennaio 2027. Entro la fine del 2026 dovrà essere designato il referente CSIRT, mentre le misure di sicurezza di base dovranno essere adottate entro luglio 2027.
La seconda determina, la 127437/2026, interviene invece sull’aggiornamento delle modalità di utilizzo e accesso alla piattaforma ACN. Tra le principali novità figura l’introduzione dell’elenco dei fornitori rilevanti, uno strumento finalizzato a individuare i soggetti considerati essenziali o importanti per garantire un adeguato livello di sicurezza lungo la catena di approvvigionamento. Il provvedimento disciplina inoltre gli aspetti procedurali per la classificazione delle attività e dei servizi.
Nei prossimi giorni è attesa un’ulteriore determinazione con il modello di categorizzazione e il materiale informativo a supporto dei soggetti coinvolti. L’analisi di impatto, prevista tra maggio e giugno, sarà semplificata e condivisa nei Tavoli settoriali. Contestualmente, verrà aggiornata anche la sezione del sito ACN dedicata alla normativa NIS.
Tutte le informazioni nella nota dell’ACN
