La sentinella normativa di NormaAI monitora le fonti ufficiali (UE, Gazzetta Ufficiale, ACN) e pubblica qui le novità rilevanti, verificate prima della pubblicazione. Così la tua conformità resta sempre allineata.
critico04/06/2026
ACN – Determinazione 155238/2026: modello di categorizzazione delle attività e dei servizi NIS (finestra 1° maggio – 30 giugno 2026)
La Determinazione ACN n. 155238 del 20 aprile 2026 rende obbligatoria per tutti i soggetti NIS la comunicazione e categorizzazione delle proprie attività e servizi sulla piattaforma ACN entro il 30 giugno 2026, tramite un modello strutturato in 10 macro-aree e 4 livelli di rilevanza.
Dal 1° maggio al 30 giugno 2026 i soggetti essenziali e importanti devono comunicare sulla piattaforma ACN (Servizio NIS/Categorizzazione) l'elenco categorizzato delle proprie attività e servizi supportati da sistemi informativi, con attribuzione di categoria di rilevanza (impatto minimo/basso/medio/alto). Il modello prevede 10 macro-aree predefinite. Il discostamento dalla pre-assegnazione ACN è ammesso ma richiede analisi di impatto documentata. La categorizzazione è la base su cui ACN costruirà le misure di sicurezza a lungo termine (post-ottobre 2026), rendendo la proporzionalità dipendente non solo dalla distinzione essenziale/importante ma dal livello di rilevanza assegnato. Come chiarito da ACN al Clusit del 29 aprile 2026, la classificazione diventa lo strumento di calibrazione dell'intera compliance NIS2 a lungo termine.
importante04/06/2026
ACN – FAQ FRN.5–FRN.10 sui fornitori rilevanti NIS2 (18 maggio 2026)
Il 18 maggio 2026 ACN ha pubblicato un secondo blocco di FAQ (FRN.5–FRN.10) sull'elencazione dei fornitori rilevanti introdotta dalla Determinazione 127437/2026, chiarendo i casi di subfornitori, catene di fornitura intermediata, rapporti infragruppo, fornitori esteri e gestione dei codici CPV.
Le FAQ FRN.5–FRN.10 precisano: chi indicare nei casi di fornitura intermediata (si indica il fornitore contrattuale e il subfornitore solo se il contributo è palese, o solo il subfornitore se il primo è un puro intermediario); i fornitori infragruppo non sono esonerati e vanno valutati con gli stessi criteri dei terzi; la non-fungibilità è il criterio determinante a prescindere dalle dimensioni del fornitore. Le prime quattro FAQ (FRN.1–FRN.4) erano state pubblicate in aprile. Impatto diretto sul processo di identificazione e classificazione dei fornitori critici.
critico04/06/2026
ACN – Scadenza 31 maggio 2026: aggiornamento annuale informazioni sul Portale NIS (soggetti già iscritti nel 2025)
Entro il 31 maggio 2026 i soggetti NIS già iscritti nel 2025 devono completare l'aggiornamento annuale delle informazioni sul Portale ACN, confermando o rettificando dati, riferimenti e figure responsabili inserite in precedenza, come previsto dalla Determinazione 127437/2026.
L'aggiornamento annuale 2026 comprende: (1) conferma o rettifica di dati anagrafici, IP pubblici/statici, nomi di dominio e componenti degli organi di amministrazione e direttivi; (2) designazione del sostituto del punto di contatto; (3) prima elencazione dei fornitori rilevanti NIS (novità 2026); (4) notifica degli accordi di condivisione delle informazioni previgenti l'entrata in vigore del D.Lgs. 138/2024. La finestra temporale è 15 aprile – 31 maggio 2026. I soggetti già iscritti trovano le informazioni precompilate sulla base dei dati 2025.
info04/06/2026
Commissione UE – Proposta COM(2026) 13: modifiche mirate alla Direttiva NIS2 (20 gennaio 2026, iter legislativo in corso)
Il 20 gennaio 2026 la Commissione europea ha presentato la proposta COM(2026) 13 di modifica mirata alla Direttiva (UE) 2022/2555 (NIS2), nell'ambito del pacchetto Cybersecurity Act 2, per semplificare le norme giurisdizionali, razionalizzare la raccolta dati ransomware e facilitare la supervisione delle entità transfrontaliere.
La proposta prevede: (1) obbligo per gli Stati membri di non imporre requisiti tecnici settoriali aggiuntivi rispetto agli atti di esecuzione UE ex art. 21 NIS2; (2) introduzione di uno schema europeo di certificazione della postura di cybersecurity (che potrebbe sostituire o affiancare le specifiche di base ACN nel lungo periodo); (3) semplificazione delle norme giurisdizionali e ruolo di coordinamento rafforzato per ENISA; (4) integrazione con il 'single-entry point' per la notifica degli incidenti (Digital Omnibus, COM(2025) 837). La proposta si trova nell'iter ordinario Parlamento-Consiglio; l'adozione definitiva non è attesa prima di fine 2026/inizio 2027, con un anno aggiuntivo per il recepimento nazionale. Nessun impatto immediato sugli obblighi correnti, ma rilevante per il monitoraggio evolutivo del quadro normativo.
importante04/06/2026
ACN – Linee Guida NIS Specifiche di base: Guida alla lettura aggiornata (versione con errata corrige e figure aggiuntive 2026)
ACN ha pubblicato una versione aggiornata della Guida alla lettura delle specifiche di base (allegati tecnici della Determinazione 379907/2025), con errata corrige nelle tabelle delle Appendici, figure esemplificative aggiuntive e rielaborazione del Capitolo 3 sul modello di tipologia di incidenti.
Il documento aggiornato introduce chiarimenti operativi sulle 18 misure di sicurezza di base (Allegati 1 e 2 per soggetti importanti ed essenziali) e sugli incidenti significativi (Allegati 3 e 4). Il Capitolo 3 è stato rielaborato con l'introduzione del modello di tipologia di incidenti. Sono state aggiunte figure con misure di sicurezza di esempio. Le appendici A, B e C sono state corrette e aggiornate. Il documento è liberamente scaricabile dal portale istituzionale ACN. Impatto diretto su tutte le procedure tecniche e organizzative che mappano le misure di sicurezza obbligatorie.
importante04/06/2026
ACN – Determinazione 127434/2026: nuove scadenze per i soggetti NIS iscritti per la prima volta nel 2026
La Determinazione ACN n. 127434 del 13 aprile 2026 (applicabile dal 30 aprile 2026) fissa le scadenze degli obblighi di misure di sicurezza di base e notifica degli incidenti per i soggetti inseriti nell'elenco NIS per la prima volta nel 2026.
Per i soggetti NIS neo-iscritti nel 2026: l'obbligo di notifica degli incidenti significativi decorre dal 1° gennaio 2027 (con designazione del Referente CSIRT entro il 31 dicembre 2026); l'adozione delle misure di sicurezza di base ha scadenza il 31 luglio 2027. Restano invece confermati senza proroghe i termini per i soggetti già iscritti nel 2025: notifica incidenti operativa dal 15 gennaio 2026 e misure di sicurezza entro ottobre 2026. Le attività ispettive di ACN potranno avviarsi a partire da ottobre 2026.
critico04/06/2026
ACN – Determinazione 127437/2026: obbligo di elencazione dei fornitori rilevanti NIS entro il 31 maggio 2026
La Determinazione ACN n. 127437 del 13 aprile 2026 introduce per tutti i soggetti NIS essenziali e importanti l'obbligo di identificare e comunicare sulla piattaforma ACN i propri fornitori terzi strategici (ICT e non-fungibili), con scadenza 31 maggio 2026 per l'aggiornamento annuale delle informazioni.
Entro il 31 maggio 2026, ogni soggetto NIS deve censire sulla piattaforma ACN i fornitori la cui interruzione o compromissione avrebbe un impatto significativo sulla continuità dei servizi NIS, indicandone dati anagrafici, codici CPV e criterio di rilevanza (fornitura ICT ex Allegato I punti 8-9 del D.Lgs. 138/2024, o non-fungibilità operativa). Il 18 maggio 2026 ACN ha pubblicato un secondo blocco di FAQ (FRN.5–FRN.10) che chiarisce i casi di subfornitori, fornitura intermediata e rapporti infragruppo. I fornitori infragruppo non sono esonerati. Le entità finanziarie soggette anche a DORA beneficiano di esenzioni parziali. Documenti impattati: il Registro dei Fornitori IT Critici deve essere aggiornato e allineato alla nuova tassonomia ACN; l'Analisi e Gestione del Rischio deve includere la valutazione della supply chain ICT; la Dichiarazione di Applicabilità deve riflettere i nuovi obblighi.
Vuoi un dossier sempre allineato?
Verifica la tua conformità NIS2 e tieni i documenti aggiornati con NormaAI.
Inizia gratis