NIS 2026: cosa ci attende all’orizzonte? Con la pubblicazione, in data 13 aprile 2026, delle nuove determinazioni dell’Agenzia per la cybersicurezza nazionale, il percorso di attuazione del decreto legislativo 4 settembre 2024, n. 138 entra in una nuova fase.
Esaurito il periodo di prima applicazione disciplinato dall’art. 42 del decreto NIS, il quadro regolatorio si consolida infatti attorno a una logica, per così dire, ordinaria, nella quale gli obblighi di registrazione, aggiornamento informativo, adozione delle misure di sicurezza e gestione dei flussi verso la piattaforma ACN assumono una fisionomia strutturata.
Le due nuove determinazioni di ACN (n. 127434/2026 e n. 127437/2026) chiariscono, da un lato, la scansione temporale degli adempimenti per i soggetti inseriti per la prima volta nell’elenco dei soggetti NIS nel corso del 2026 e, dall’altro, aggiornano in modo significativo le modalità di utilizzo della piattaforma digitale, introducendo nuovi obblighi informativi.
In questo breve articolo intendiamo offrire un inquadramento giuridico delle principali novità NIS 2026, soffermandoci in particolare sui nuovi termini applicabili ai soggetti di prima inclusione e sull’obbligo di elencazione dei fornitori rilevanti.
La Determina ACN n. 127434/2026. Quali termini per i soggetti neo-inseriti?
Nel quadro NIS 2026 vanno anzitutto chiariti i termini applicabili ai soggetti inseriti per la prima volta nell’elenco dei soggetti NIS ai sensi dell’art. 7, comma 3, lettera a), del d.lgs. n. 138/2024.
La Determina interviene, infatti, a precisare la scansione temporale degli obblighi che gravano su tali soggetti, stabilendo che il termine per l’adozione delle misure di sicurezza di cui agli allegati 1 e 2 della Determinazione ACN n. 379907 scade il 31 luglio 2027, mentre l’obbligo di notifica degli incidenti significativi, come descritti negli allegati 3 e 4 della medesima determinazione, decorre dal 1° gennaio 2027.
Il dato assume rilievo anche sul piano interpretativo, poiché conferma che l’Agenzia ha inteso distinguere con nettezza la posizione dei soggetti già stabilmente inseriti nel perimetro NIS da quella dei soggetti che vi accedono successivamente.
Occorre sottolineare che, per espressa previsione, la determina di applica a decorrere dal prossimo 30 aprile 2026.
NIS 2026: continuità degli obblighi per i soggetti già inseriti nel 2025
La Determina ACN n. 127434/2026 conferma la permanenza del regime già applicabile ai soggetti inseriti nell’elenco dei soggetti NIS nel corso dell’anno 2025. Per tali soggetti, infatti, la nuova determinazione non introduce alcun differimento né alcuna rimodulazione dei termini, limitandosi a stabilire espressamente che restano fermi i termini già previsti dall’art. 3 della Determinazione ACN n. 379907 del 19 dicembre 2025.
I soggetti già inclusi nel perimetro, avendo beneficiato della fase di prima applicazione e avendo già avviato il percorso di adeguamento, non potranno ovviamente invocare il nuovo calendario di scadenze (pensato e strutturato per i neo-inseriti). Per è stato individuato nel 2025 restano immutati tanto il cronoprogramma relativo alle misure di sicurezza quanto quello concernente gli obblighi di notifica degli incidenti significativi e, più in generale, gli adempimenti già scanditi dalla disciplina secondaria.
Aggiornamento annuale delle informazioni e nuovi contenuti dichiarativi
Tra le novità NIS 2026 vi sono poi le modalità di utilizzo e accesso alla piattaforma digitale ACN. La Determinazione n. 127437/2026 (che sostituisce la precedente Determinazione ACN n. 379887 del 19 dicembre 2025) amplia il perimetro delle informazioni che i soggetti NIS sono tenuti a confermare e trasmettere attraverso i servizi resi disponibili sul Portale ACN.
Come noto, dal 15 aprile al 31 maggio di ogni anno, i soggetti NIS sono chiamati a procedere all’aggiornamento annuale delle informazioni, assicurando la correttezza dei dati anagrafici e di contatto del soggetto, dell’indicazione del rappresentante legale, dell’elenco dei procuratori generali, dei componenti degli organi di amministrazione e direttivi, nonché delle ulteriori informazioni rilevanti ai sensi dell’art. 7 del decreto NIS.
A ciò si aggiunge la necessità di verificare lo spazio di indirizzamento IP pubblico, i nomi di dominio in uso o nella disponibilità del soggetto, gli accordi di condivisione delle informazioni e i dati identificativi del referente CSIRT e degli eventuali sostituti.
NIS 2026: l’elenco dei fornitori rilevanti
Tra le innovazioni di maggiore interesse introdotte nel quadro NIS 2026 merita un’attenzione specifica il nuovo art. 18 della Determinazione ACN n. 127437/2026, che inserisce nell’ambito dell’aggiornamento annuale delle informazioni l’obbligo di elencazione dei fornitori rilevanti NIS.
La previsione si colloca nel più ampio disegno di rafforzamento della sicurezza della catena di approvvigionamento, coerentemente con l’impostazione del D. Lgs. 138/2024, che attribuisce rilievo alle dipendenze esterne suscettibili di incidere sulla continuità delle attività e dei servizi rilevanti. Si rinvia al contributo specifico che abbiamo scritto sul tema.
La nozione di fornitore rilevante, come definita dalla stessa determinazione, ricomprende il soggetto che assicura la fornitura di servizi o prodotti al soggetto NIS quando ricorra almeno uno dei criteri normativamente indicati.
Si rammenta che, ai sensi dell’art. 1, comma 1, lett. ll) della determina in esame per “fornitore rilevante NIS” si intende quel soggetto che «assicura la fornitura di servizi o di prodotti a un soggetto NIS che soddisfa almeno uno dei seguenti criteri di rilevanza: 1) la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS (fornitura ICT); 2) l’interruzione o la compromissione della fornitura comporta un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS (fornitura non fungibile)».
In altre parole, il primo criterio concerne la fornitura ICT, riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS. Il secondo riguarda invece l’ipotesi in cui l’interruzione o la compromissione della fornitura comporti un impatto significativo sulla capacità del soggetto NIS di erogare le attività o i servizi per i quali rientra nell’ambito applicativo del decreto, anche in ragione della indisponibilità di fornitori alternativi.
L’indicazione dei fornitori rilevanti va fatta inserendo informazioni complete, per consentire all’Autorità nazionale di comprendere l’effettiva della natura e della collocazione della fornitura. In particolare, devono essere indicati la denominazione del fornitore, il relativo codice fiscale, il Paese in cui esso ha la sede legale, i codici CPV relativi alle forniture di cui fruisce il soggetto NIS e, soprattutto, il criterio di rilevanza utilizzato per qualificare il fornitore come rilevante ai sensi della determina.
Trattasi si un adempimento che non riguarda i soli soggetti NIS 2026, ma tutti i soggetti destinatari della disciplina; esso assume una portata sostanziale, in quanto riflette direttamente sulla governance del rischio cyber e sulla tenuta complessiva della supply chain.
Novità NIS 2026. Seguiamo il tuo percorso di compliance alle normative in materia di cybersicurezza.
Le novità introdotte nel quadro NIS 2026 mostrano con particolare evidenza che gli adempimenti richiesti ai soggetti obbligati sono in continua evoluzione: numerose le responsabilità, i processi di valutazione, specialmente con riguardo alla supply chain.
Il nostro Studio presta assistenza legale in materia di cyber security e compliance normativa, con particolare riguardo agli obblighi derivanti dal decreto NIS, alla governance dei processi interni, alla predisposizione dei presìdi documentali e alle interlocuzioni con l’Agenzia per la cybersicurezza nazionale.
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.
Delega di funzioni e cybersicurezza: organi amministrativi e direttivi del consiglio di amministrazione restano responsabili secondo il decreto NIS 2.