Sono online sul sito web istituzionale dell’ACN (l'Agenzia per la Cybersicurezza Nazionale) le determine sui termini per gli adempimenti dei nuovi soggetti NIS e sull’aggiornamento delle modalità di utilizzo e accesso alla piattaforma ACN.
Per i soggetti inseriti nell’elenco dei soggetti NIS nel corso dell’anno solare 2026, il termine per l’adozione delle misure di sicurezza (di base) scade il 31/07/2027.
Per i soggetti inseriti nell’elenco dei soggetti NIS nel corso dell’anno solare 2026, il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi decorre dal 01/01/2027.
Per i soggetti inseriti nell’elenco dei soggetti NIS nel corso dell’anno solare 2025, che permangono nell’elenco dei soggetti NIS 2026, rimangono fermi i termini di cui all’art. 3 della Determinazione ACN n. 379907 del 19/12/2025.
La presente determinazione si applica a decorrere dal 30/04/2026.
Nell’aggiornare le modalità di utilizzo e accesso alla piattaforma digitale, questa determina introduce l’articolo 18 relativo all’elencazione dei fornitori rilevanti. Questo esercizio è necessario per selezionare, tra i fornitori, coloro i quali dovranno essere individuati quali soggetti importanti o essenziali al fine di promuovere un adeguato livello di sicurezza informatica lungo la catena di approvvigionamento dei soggetti NIS (articolo 3, comma 9, lettera f) del decreto NIS). Tale articolo prevede che il Decreto stesso si applichi, indipendentemente dalle dimensioni, a un soggetto considerato critico in quanto elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti ai sensi della disciplina NIS.
*Per fornitore rilevante NIS si intende quel soggetto che assicura la fornitura di servizi o di prodotti a un soggetto NIS che soddisfa almeno uno dei seguenti criteri di rilevanza:
-
La fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS (fornitura ICT);
- L’interruzione o la compromissione della fornitura comporta un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS (fornitura non fungibile).*
Tramite il “Servizio NIS/Aggiornamento annuale informazioni”, gli utenti elencano i fornitori rilevanti NIS, indicandone:
a) La denominazione;
b) Il codice fiscale;
c) Il paese in cui hanno la sede legale;
d) I codici CPV (Common Procurement Vocabulary), di cui al Regolamento (CE) n. 2195/2002, relativi alle forniture di cui fruisce il soggetto NIS;
e) Il criterio di rilevanza utilizzato.
Ai fini della definizione della fornitura si fa riferimento alla tassonomia contenuta nel vocabolario comune per gli appalti pubblici (common procurement vocabulary - CPV) adottato con Regolamento (CE) n. 2195/2002, successivamente modificato dal Regolamento (CE) n. 213/2008 , disponibile al seguente link: CPV.
Tenuto conto della definizione di fornitori rilevanti NIS, rientrano tutte le dipendenze digitali del soggetto NIS nonché anche le dipendenze non digitali che non possono essere sostituite senza determinare un impatto significativo sulle attività e sui servizi NIS.
Con riferimento a quest’ultimo criterio di rilevanza (forniture non fungibili – criterio di rilevanza b)), si evidenziano, in particolare:
-
Connettività (dati e voce, fissa e mobile), qualora non ridondata: CPV: Servizi di Internet [72400000-4], Fornitori di servizi Internet (ISP) [72411000-4], Servizi di trasmissione di dati [72318000-7]
- Corrente elettrica: CPV: Erogazione di energia elettrica [65310000-9], Erogazione di energia elettrica e servizi connessi [65300000-6].
Con riferimento al primo criterio di rilevanza (forniture ICT – criterio di rilevanza a)), si evidenziano, in particolare:
-
Infrastrutture digitali: punti di interscambio internet - CPV: Servizi di interconnessione [64221000-1], servizi di sistema dei nomi di dominio - CPV: Nomi di dominio di Internet [72417000-6], servizi di cloud computing - CPV: Servizi di Internet [72400000-4], Servizi di elaborazione dati [72300000-8], Servizi informatici [72500000-0], Servizi di gestione connessi all'informatica [72510000-3], Servizi di data center - CPV: Servizi informatici: consulenza, sviluppo di software, Internet e supporto [72000000-5], reti di distribuzione dei contenuti - CPV: Servizi di Internet [72400000-4], servizi fiduciari - CPV: Servizi di certificazione della firma elettronica [79132100-9], Pacchetti software e sistemi di informazione [48000000-8], Fornitore di reti pubbliche di comunicazione elettronica - CPV: Servizi di telecomunicazione [64200000-8], Fornitore di servizi di comunicazione elettronica accessibili al pubblico - CPV: Servizi telefonici e di trasmissione dati [64210000-1];
- Servizi gestiti e servizi gestiti di sicurezza: CPV: Servizi informatici [72500000-0], Servizi di gestione connessi all'informatica [72510000-3], Servizi di manutenzione e assistenza sistemi [72250000-2], Servizi di consulenza e assistenza informatica [72600000-6], Servizi di audit e collaudo informatico [72800000-8].
La determina introduce anche, agli articoli 20 e 21, la regolazione degli aspetti procedurali dell’elencazione e categorizzazione delle attività e dei servizi.
Dal 1 maggio al 30 giugno di ogni anno, i soggetti NIS comunicano e aggiornano, tramite il “Servizio NIS/Categorizzazione”, l’elenco categorizzato delle attività e dei servizi. Decorso questo termine, l’elenco si intende definitivamente acquisito e non ulteriormente modificabile. Gli elenchi categorizzati delle attività e dei servizi sottomessi oltre i termini di cui sopra sono considerati tardivi e ne è preclusa l’ulteriore modifica, salvo che il ritardo sia determinato da documentate criticità tecnico-operative non imputabili al soggetto.
Il Team di 01 è a disposizione per eventuale supporto, contattalo al:
Tel. 0522/087829
E-mail: info@01privacy.it
oppure attraverso contatto diretto