Cybersecurity e Direttiva NIS 2: i nuovi adempimenti e le scadenze 2026 al vaglio dell’ACN

In un panorama normativo sempre più severo e in rapida evoluzione, la compliance in ambito cybersecurity non può più essere relegata a mera questione tecnica, e rappresenta oggi un vero e proprio asset strategico per le aziende. A confermarlo è la recente pubblicazione da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN) di due nuovi provvedimenti chiave: le Determinazioni n. 127434 e n. 127437 del 13 aprile 2026.

Questi documenti non si limitano a fissare un nuovo scadenziario per gli adempimenti tecnici, ma incidono profondamente sui processi di governance aziendale e sulla gestione della supply chain, imponendo alle organizzazioni interessate un approccio proattivo. Di seguito si riportano i punti salienti delle decisioni e le relative implicazioni operative per le imprese.

La rivoluzione della Supply Chain e la Piattaforma NIS

La Determinazione n. 127437/2026 aggiorna le modalità di utilizzo con la piattaforma digitale dell’ACN, introducendo un livello di dettaglio inedito per le comunicazioni obbligatorie, da effettuarsi tramite accesso con SPID o CIE. Il focus si sposta prepotentemente sull’analisi della catena di approvvigionamento, introducendo l’obbligo di mappare i cosiddetti «Fornitori Rilevanti NIS».

D’ora in poi, le aziende dovranno censire accuratamente i fornitori che assicurano forniture ICT o la cui interruzione causerebbe un impatto significativo sulla propria capacità operativa, anche per l’assenza di valide alternative. Per ciascuno di essi, il soggetto NIS è tenuto a indicare sul portale dati precisi, tra cui la denominazione, il codice fiscale, il Paese della sede legale, lo specifico criterio di rilevanza applicato e i codici CPV (Common Procurement Vocabulary).

Tutto questo si traduce in un calendario di adempimenti ciclici molto serrato:

• dal 15 aprile al 31 maggio di ogni anno: si apre la finestra temporale per l’aggiornamento annuale obbligatorio delle informazioni anagrafiche, dei contatti e dell’elenco dei fornitori rilevanti.
• dal 1° maggio al 30 giugno di ogni anno: scatta l’obbligo per i soggetti NIS di trasmettere e aggiornare l’elenco categorizzato delle proprie attività e dei servizi.

Il nuovo cronoprogramma: le scadenze per i «Soggetti NIS 2026»

Sotto il profilo delle tempistiche, la Determinazione n. 127434/2026 viene in soccorso delle organizzazioni, stabilendo un calendario scaglionato per i soggetti inseriti nell’elenco per la prima volta nel corso dell’anno solare 2026.

Per queste organizzazioni, la tabella di marcia prevede tappe ben definite.

• Notifica degli Incidenti Significativi: l’obbligo formale di notifica degli incidenti (descritti negli allegati 3 e 4 della precedente Det. 379907/2025) diventerà operativo a partire dal 1° gennaio 2027.
• Implementazione delle Misure di Sicurezza: è concesso tempo fino al 31 luglio 2027 per adottare concretamente le misure tecniche e organizzative richieste dalla normativa.
• Sicurezza dei Nomi a Dominio (DNS): anche gli adempimenti volti a garantire la sicurezza, la stabilità e la resilienza dei sistemi di nomi di dominio dovranno essere completati entro la medesima data del 31 luglio 2027.

Per chi, invece, era già stato qualificato come soggetto NIS nel 2025 (e permane nell’elenco 2026), non vi sono proroghe: rimangono fermi e vincolanti i termini originariamente previsti dalla precedente Determinazione ACN n. 379907 del 19 dicembre 2025.

Implicazioni per la Governance Aziendale

Alla luce di questo nuovo quadro normativo, è fondamentale non derubricare i suddetti passaggi a mere formalità informatiche. La normativa impone un onere di supervisione diretto in capo agli organi di amministrazione e direttivi, i quali rispondono in prima persona della compliance aziendale.

Mappare la supply chain e categorizzare i servizi richiede un dialogo trasversale tra gli uffici IT, l’Ufficio Legale e la funzione Acquisti, che non può essere improvvisato a ridosso delle scadenze.

Fronteggiare queste complessità è possibile. In ALLegal, supportiamo i clienti proprio in questa fase: l’obiettivo è trasformare l’adeguamento normativo da mero ostacolo burocratico a garanzia di solidità del deal, minimizzando il rischio di contestazioni e assicurando un’efficace cyber-resilience a tutela del business.