La normativa NIS2 e l’aggiornamento 2026

La direttiva NIS2, recepita in Italia con il decreto legislativo 4 settembre 2024, n. 138, ha introdotto un quadro rafforzato di obblighi in materia di cybersicurezza a carico di imprese e pubbliche amministrazioni operanti in settori considerati critici a livello nazionale ed europeo, tra cui energia, trasporti, sanità, gestione delle acque, rifiuti e infrastrutture digitali.

I soggetti rientranti nell’ambito di applicazione della normativa NIS2 sono qualificati come soggetti essenziali o soggetti importanti e sono stati formalmente notificati dall’Agenzia per la Cybersicurezza Nazionale (ACN), che ne cura l’iscrizione in un apposito elenco.

Il 2026 rappresenta un anno chiave per l’attuazione della direttiva, segnando il passaggio da una fase di prima compliance a una fase pienamente operativa. In tale contesto, accanto all’implementazione delle misure di sicurezza di base, i soggetti NIS sono chiamati a rispettare nuovi adempimenti obbligatori, funzionali alla definizione del modello di sicurezza definitivo.

In particolare, entro il primo semestre del 2026, attraverso il portale ACN, i soggetti NIS2 sono tenuti a completare:

1. la mappatura dei fornitori rilevanti;
2. la categorizzazione delle attività e dei servizi.

Foto di Walls.io su Unsplash

• Primo adempimento: mappatura dei fornitori rilevanti
• Secondo adempimento: categorizzazione di attività e servizi
• Verifiche di conformità e sanzioni

Primo adempimento: mappatura dei fornitori rilevanti

Il primo adempimento è stato introdotto con Determinazione ACN n. 127437 del 13 aprile 2026, nell’ambito dell’attività di aggiornamento annuale prevista dalla disciplina NIS2.

A decorrere dal 2026, nella finestra temporale compresa tra il 15 aprile e il 31 maggio, i soggetti NIS devono comunicare tramite il portale ACN l’elenco dei fornitori rilevanti, corredato dalle informazioni richieste dalla Determina.

Sono considerati fornitori rilevanti quelli rientranti in una delle seguenti categorie:

A. Fornitori di infrastrutture digitali, tra cui:

• punti di interscambio internet;
• servizi DNS (con esclusione degli operatori dei server dei nomi radice);
• gestori di registri TLD;
• servizi di cloud computing e data center;
• reti di distribuzione dei contenuti;
• prestatori di servizi fiduciari;
• reti e servizi di comunicazione elettronica accessibili al pubblico.

B. Fornitori di servizi TIC (B2B), in particolare:

• fornitori di servizi gestiti;
• fornitori di servizi di sicurezza gestita.

C. Fornitori di attività, servizi o prodotti la cui interruzione o compromissione inciderebbe significativamente sulla capacità del soggetto NIS di erogare i servizi rilevanti, anche in assenza di fornitori alternativi.

La finalità dell’adempimento è la mappatura della catena di approvvigionamento dei soggetti NIS2, al fine di individuare quelle entità che, per il ruolo svolto, potrebbero a loro volta essere qualificate come soggetti essenziali o importanti ai sensi dell’art. 3, comma 9, lett. f), del decreto NIS.

Secondo adempimento: categorizzazione di attività e servizi

Con Determinazione ACN n. 155238 del 20 aprile 2026, è stato introdotto un ulteriore obbligo comunicativo relativo alla categorizzazione delle attività e dei servizi svolti dai soggetti NIS2.

Ciascun soggetto è tenuto:

• a individuare tutte le attività e i servizi supportati, svolti o erogati mediante sistemi informativi e di rete;
• a ricondurli successivamente a una delle dieci macro-categorie definite dall’ACN nel modello generale.

L’obiettivo è consentire all’Autorità di determinare, in una fase successiva, quali sistemi informativi dovranno essere assoggettati a misure di sicurezza più stringenti, in funzione della loro rilevanza.

La finestra temporale per l’invio della categorizzazione, che rappresenta una novità assoluta rispetto agli anni precedenti, è compresa tra il 1° maggio e il 30 giugno di ogni anno.

Sono tenuti all’adempimento tutti i soggetti essenziali e importanti iscritti nell’elenco NIS ai sensi dell’art. 7, comma 3, del decreto, con esclusione delle entità finanziarie soggette al Regolamento DORA, per le quali la categorizzazione si considera assolta nell’ambito di tale regime.

A supporto degli operatori, ACN ha pubblicato specifiche Linee Guida, fermo restando che, ai sensi dell’art. 40, comma 5, lett. i), del decreto NIS, potranno essere adottate determinazioni integrative settoriali che incidano sul modello di categorizzazione.

Verifiche di conformità e sanzioni

Le verifiche di conformità sono disciplinate dall’art. 21 della Determinazione n. 127437/2026. L’ACN effettua controlli a campione sugli elenchi trasmessi, anche mediante raffronto con quelli di soggetti comparabili.

In assenza di un esito negativo comunicato entro 90 giorni, prorogabili di ulteriori 90 in caso di richieste istruttorie, l’elenco si intende convalidato.

Resta ferma l’applicazione delle sanzioni previste dall’art. 38 del decreto NIS in caso di omissione, ritardo o dichiarazioni mendaci, che possono arrivare:

• fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per i soggetti essenziali;
• fino a 7 milioni di euro o all’1,4% del fatturato per i soggetti importanti.

Lo Studio è a disposizione per qualsiasi chiarimento.