L’attuazione della Direttiva NIS2 in Italia entra in una fase decisiva. Dopo un primo periodo caratterizzato da censimento e qualificazione dei soggetti coinvolti, le ultime determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) segnano un passaggio chiave: dalla compliance “dichiarativa” a una gestione strutturata, continua e dimostrabile della sicurezza informatica. Le imprese non sono più chiamate soltanto a registrarsi o a comprendere se rientrano nel perimetro normativo. Ora devono dimostrare concretamente di saper governare rischio cyber, supply chain e incidenti, secondo processi formalizzati e verificabili.
Le determinazioni del 13 aprile 2026 rappresentano il vero punto di svolta operativo perché introducono scadenze vincolanti, nuovi obblighi informativi e il tema strutturato della categorizzazione di attività, servizi e fornitori. I successivi aggiornamenti – tra cui quelli del 20 aprile – non aggiungono nuovi obblighi sostanziali, ma chiariscono le modalità applicative, rafforzano il ruolo della piattaforma ACN e definiscono in modo più puntuale i processi di gestione e aggiornamento continuo dei dati.
Le determinazioni ACN del 13 aprile: scadenze, obblighi e nuovo modello operativo
Il 13 aprile 2026 l’ACN ha adottato due determinazioni (n. 127434/2026 e n. 127437/2026) che aggiornano in modo significativo il quadro attuativo della NIS2, incidendo direttamente sull’operatività delle organizzazioni coinvolte. La prima introduce un calendario preciso per i soggetti che entrano nel perimetro NIS per la prima volta nel 2026. Le aziende devono affrontare una roadmap chiara e progressiva:
- entro il 31 dicembre 2026: designazione del referente CSIRT;
- dal 1° gennaio 2027: obbligo di notifica degli incidenti significativi descritti nell’allegato 3 e allegato 4 della Determinazione n. 379907 del 19 dicembre 2025 ;
- entro il 31 luglio 2027: adozione delle misure di sicurezza previste dall’allegato 1 e allegato 2 della Determinazione n. 379907 del 19 dicembre 2025 .
Questo approccio differenziato consente ai nuovi soggetti di adeguarsi gradualmente, ma introduce anche un principio fondamentale: la sicurezza diventa responsabilità organizzativa strutturata, con ruoli, processi e accountability ben definiti. La Determinazione è entrata in vigore il 30 aprile 2026.
La Determinazione ACN n. 127437/2026 rappresenta il vero salto qualitativo dell’impianto NIS2, perché sposta il focus dalla semplice registrazione dei soggetti a una raccolta strutturata di informazioni tecniche, organizzative e di rischio. Il primo elemento di discontinuità riguarda la formalizzazione della supply chain come parte integrante del perimetro di sicurezza. Con questo provvedimento, l’ACN introduce un obbligo esplicito: le organizzazioni devono identificare e dichiarare i propri fornitori rilevanti NIS all’interno della piattaforma istituzionale. Si tratta di una vera e propria mappatura delle dipendenze critiche. Un fornitore è “rilevante” non per dimensione o valore contrattuale, ma perché:
- contribuisce direttamente all’erogazione di servizi NIS (es. cloud, data center, servizi gestiti);
- oppure la sua indisponibilità avrebbe un impatto significativo, anche in assenza di alternative (non fungibilità).
Questo introduce un cambio di paradigma: la sicurezza diventa ecosistemica, estesa a tutta la catena di approvvigionamento. Le aziende devono quindi dotarsi di processi strutturati di third-party risk management, integrati nella governance complessiva. A livello operativo, l’obbligo è continuo e ciclico: l’elenco dei fornitori rilevanti deve essere verificato e aggiornato ogni anno tra il 15 aprile e il 31 maggio tramite il portale ACN, all’interno del processo di aggiornamento delle informazioni.
Ma la determinazione non si limita alla supply chain. Introduce anche un secondo elemento fondamentale: l’avvio del processo di elencazione e categorizzazione di attività e servizi, da gestire sempre su piattaforma ACN. Dal 1° maggio al 30 giugno di ogni anno i soggetti NIS saranno tenuti a comunicare e aggiornare, attraverso il nuovo “Servizio NIS/Categorizzazione”, l’elenco categorizzato delle proprie attività e servizi. Gli utenti devono compilare tale elenco attribuendo le categorie di rilevanza stabilite dal modello adottato con apposita Determinazione, secondo modalità e criteri predefiniti.
Nella seconda determinazione del 13 aprile emerge tutto il cambio di approccio:
- le informazioni richieste diventano argomentate e tecniche, non più solo anagrafiche;
- le organizzazioni devono costruire mappature coerenti e difendibili di servizi, dipendenze e criticità;
- il dialogo con l’ACN evolve verso una logica di verifica e contraddittorio tecnico.
In altre parole, la 127437 trasforma la compliance in un sistema basato su dati strutturati e aggiornati, analisi del rischio (anche implicita, tramite BIA e supply chain) e responsabilità organizzative distribuite. È su questo impianto che si innesta poi la determinazione del 20 aprile, che non introduce nuovi obblighi ma dà forma concreta al modello di categorizzazione, rendendo operativo ciò che il 13 aprile ha messo a sistema.
La determinazione del 20 aprile: come funziona la categorizzazione
Con la determinazione n. 155238 del 20 aprile 2026, l’ACN dà finalmente forma operativa al processo di categorizzazione, introducendo un modello strutturato e uniforme. Il primo elemento chiave è la definizione di una tassonomia standard basata su 10 macro-aree, all’interno delle quali le organizzazioni devono ricondurre tutte le proprie attività e servizi. A ciascuna di queste viene poi attribuita una categoria di rilevanza (impatto minimo, basso, medio o alto), che misura le conseguenze di una possibile compromissione.
Monitoraggio e controllo è preassegnata a impatto alto. Produzione di beni e servizi e Ricerca, sviluppo e progettazione partono da impatto medio; Gestione finanziaria, Gestione clienti e Risorse umane sono a impatto basso; Comunicazione e marketing, Gestione amministrativa e Altri servizi e attività stanno a impatto minimo, mentre logistica si attesta tra minimo e basso in base alla tipologia di soggetto.
Per anni, in molte realtà, l’approccio è stato prevalentemente tecnico: si partiva dagli asset tecnologici, si assegnava loro una criticità e solo successivamente si risaliva a processi e servizi. Il modello ACN formalizza invece una logica opposta. Ora il punto di partenza non sono gli asset, ma le attività e i servizi NIS: le organizzazioni devono costruire un elenco strutturato di ciò che fanno e di ciò che erogano, attribuendo a ciascun elemento una categoria di rilevanza basata sull’impatto che una sua compromissione avrebbe sulla capacità operativa.
La categorizzazione di attività e servizi ha infatti un obiettivo preciso: aggregare ciò che è rilevante per il business in categorie di impatto, così da applicare ai sistemi informativi e di rete misure di sicurezza proporzionate. Di fatto, è destinata a diventare la base su cui verranno costruite le future misure di sicurezza avanzate, che saranno differenziate proprio in funzione della rilevanza di attività e servizi.
Un altro aspetto cruciale riguarda il metodo. L’ACN non impone un approccio rigido per individuare attività e servizi: le organizzazioni possono partire da analisi dei processi, cataloghi dei servizi, valutazioni del rischio o anche da lavori già svolti, come una Business Impact Analysis. Tuttavia, quando si passa all’attribuzione della categoria di rilevanza, emerge chiaramente la logica sottostante: la classificazione si basa su una valutazione di impatto semplificata, che richiama i principi della BIA sulle dimensioni della sicurezza informatica. “Semplificata” non significa superficiale. Significa piuttosto che l’analisi deve essere focalizzata sul perimetro NIS, evitando approcci eccessivamente estesi ma garantendo comunque valutazioni solide, documentabili e difendibili. È qui che molte organizzazioni scopriranno che la complessità non scompare, ma viene resa più mirata.
Dal punto di vista operativo, l’ACN lascia libertà anche nell’approccio: top-down, bottom-up o combinato. Il primo parte da funzioni e processi di business, il secondo dagli asset e dai sistemi informativi. Nella pratica, però, la scelta più efficace è quella integrata: partire da servizi e processi per cogliere la logica del business e validarli attraverso l’inventario tecnologico per evitare lacune o incoerenze. La qualità della categorizzazione dipende proprio da questa convergenza. Un approccio solo tecnico rischia di rappresentare bene l’infrastruttura ma non il servizio; uno solo organizzativo può trascurare dipendenze tecnologiche critiche. Il modello ACN spinge invece verso una lettura unificata, in cui business, sistemi e rischio si allineano.
In questo senso, la determinazione del 20 aprile non introduce semplicemente un nuovo adempimento, ma definisce il meccanismo centrale della NIS2: quello che collega in modo strutturato attività, servizi, impatti e misure di sicurezza, trasformando la compliance in un vero strumento di governo del rischio.
