Tra il 9 e il 20 aprile 2026 ACN ha pubblicato tre determinazioni che, lette insieme, riscrivono il modo in cui un soggetto NIS organizza il proprio lavoro di adeguamento alle norme.La 127434/2026 fissa i termini per i soggetti inseriti nel perimetro nel 2026; la 127437/2026 del 13 aprile, che sostituisce la 379887/2025, disciplina la piattaforma NIS e introduce il censimento dei fornitori rilevanti; la 155238/2026 del 20 aprile adotta il modello di categorizzazione di attività e servizi previsto dall’articolo 30 del decreto legislativo 138/2024.Le tre vengono spesso raccontate come adempimenti paralleli con scadenze diverse, ma lette insieme rivelano qualcosa di più: i tre lati di una stessa figura, e la figura ha un centro preciso.Indice degli argomenti
Dal censimento degli asset al censimento dei servizi: lo spostamento del baricentroLa determinazione 155238/2026: dieci macro-aree, quattro categorieA destra del perno: i fornitori rilevanti NISA sinistra del perno: gli assetLe scadenze e l’articolazione 2026Cosa significa lavorare con il perno al centroDal censimento degli asset al censimento dei servizi: lo spostamento del baricentroLa rappresentazione che le organizzazioni si erano costruite negli ultimi diciotto mesi metteva al centro l’asset: server, postazioni, applicativi, infrastrutture di rete. Era una lettura ragionevole quando l’attenzione era sulle misure di sicurezza di base e sulla notifica degli incidenti, perché entrambe si applicano a oggetti tecnici. La determinazione 155238/2026 sposta il centro: le attività e i servizi diventano il punto di ancoraggio, gli asset si ricollocano a sinistra e i fornitori a destra.A nostro avviso, questa è la chiave di lettura più produttiva delle tre determinazioni. Le misure di sicurezza di base sono il primo gradino. Le misure di lungo termine, che ACN disciplinerà nei prossimi mesi, saranno modulate in funzione della categoria di rilevanza assegnata a ciascuna attività o servizio: la categorizzazione di oggi, tra il 1° maggio e il 30 giugno, è il modo in cui un soggetto NIS dichiara come dovrà essere misurato domani.La determinazione 155238/2026: dieci macro-aree, quattro categorieIl modello adottato dall’articolo 2 della 155238/2026 si articola in dieci macro-aree, definite negli allegati 1 e 2 con applicazione differenziata per tipologia di soggetto. Ogni macro-area ha una categoria di rilevanza pre-assegnata, su quattro livelli ordinati per impatto crescente: minimo, basso, medio, alto. Il soggetto NIS ha la facoltà di discostarsi dalla pre-assegnazione, conservando la documentazione della valutazione di impatto.L’articolo 3 individua tre fasi: identificazione delle attività e dei servizi, mappatura sulle macro-aree del modello ACN, attribuzione della categoria di rilevanza. La Guida alla lettura indica i seguenti approcci di identificazione: top-down (dalle funzioni e dai processi verso i servizi), bottom-up (dall’inventario dei sistemi verso i servizi che vi si appoggiano). I due approcci non si escludono e la maggior parte dei soggetti dovrà combinarli.C’è un punto che la determinazione disciplina con precisione e che non è secondario: l’articolo 4 introduce un coordinamento con la classificazione dei dati e dei servizi prevista dal Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024, comunemente noto come Regolamento Cloud. Le PA che hanno già svolto quella classificazione applicano il modello cloud in luogo del modello generale ai fini della categorizzazione NIS. Il modello cloud lavora su tre categorie: ordinari, critici, strategici. Significa che convivono due tassonomie ufficiali per lo stesso adempimento. La prima cosa da fare per qualunque amministrazione è verificare sul portale ACN quale dei due modelli vede precompilato: chi ha partecipato all’avviso PNRR 1.2 sul cloud o ha completato la classificazione sul portale PA Digitale 2026 si troverà l’elenco già impostato; le altre dovranno applicare il modello a quattro livelli.A destra del perno: i fornitori rilevanti NISL’articolo 18 della 127437/2026 disciplina l’elencazione dei fornitori rilevanti NIS, da effettuare tramite la piattaforma digitale tra il 15 aprile e il 31 maggio di ogni anno. Per ciascun fornitore vanno comunicati denominazione, codice fiscale, paese della sede legale, codici CPV (Common Procurement Vocabulary) ex Regolamento (CE) 2195/2002 e criterio di rilevanza utilizzato. L’articolo 1, comma 1, lettera ll) individua due ipotesi alternative di rilevanza: fornitura ICT riconducibile alle attività di cui all’allegato I, punti 8 e 9, del decreto NIS; oppure fornitura la cui interruzione comporta un impatto significativo sulla capacità del soggetto NIS di erogare le proprie attività e servizi, anche per indisponibilità di alternative.Il secondo criterio, basato sulla non fungibilità della prestazione, presenta margini interpretativi non irrilevanti. Nel codice dei contratti pubblici la non fungibilità è legata all’unicità del produttore o del prodotto e giustifica la deroga alle procedure competitive ordinarie; nella 127437/2026 il concetto è invece riferito alla continuità del servizio: rileva quanto la compromissione del fornitore impatti sull’erogazione delle attività NIS.ACN ha precisato il punto con la FAQ FRN.4, in cui afferma che rientrano tutte le dipendenze digitali del soggetto NIS, oltre alle dipendenze non digitali che non possono essere sostituite senza determinare un impatto significativo sulle attività e sui servizi NIS. La stessa FAQ cita esempi concreti di forniture rilevanti per criterio b) anche quando non ICT: la connettività dati e voce qualora non ridondata e l’erogazione di energia elettrica (CPV 65310000-9 e 65300000-6). Il principio guida prudenziale formulato da ACN è esplicito: meglio segnalare un fornitore in più che uno in meno, perché l’omissione è sanzionabile mentre la segnalazione di un fornitore che l’Agenzia non inserirà nel perimetro non produce conseguenze.C’è un altro elemento da maneggiare con attenzione. Il censimento di un fornitore rilevante da parte di un soggetto NIS può comportare il suo inserimento nel perimetro NIS. In particolare, la piattaforma raccoglie le segnalazioni di tutti i soggetti, e l’Agenzia identifica i fornitori sistemici incrociando le segnalazioni d’intesa con le Autorità di settore. È coerente con la ratio dell’articolo 3, comma 9, lettera f) del decreto NIS, che fa leva sulla criticità sistemica e non sul singolo rapporto contrattuale. La conseguenza pratica: il soggetto NIS che censisce ha un obbligo dichiarativo, ma la decisione finale spetta ad ACN.A sinistra del perno: gli assetUna volta chiusa la categorizzazione, gli asset si ricollocano. Smettono di essere il punto di partenza e diventano lo strato che sostiene i servizi categorizzati: ogni asset rilevante può essere collegato a una o più attività NIS, e il sistema informativo di rete eredita la rilevanza dei servizi che supporta. Il censimento degli asset resta indispensabile, ma cambia di funzione: diventa lettura dipendente dalla categorizzazione. Anche le misure di sicurezza di base, dichiarate sui sistemi informativi e di rete rilevanti ai sensi degli allegati 1 e 2 della 379907/2025, si lasciano leggere meglio quando si sa quale servizio quei sistemi supportano e con quale categoria di rilevanza.Le scadenze e l’articolazione 2026La 127434/2026, all’articolo 1, fissa i termini per i soggetti inseriti nell’elenco NIS nel corso del 2026: 31 luglio 2027 per l’adozione delle misure di sicurezza di base, 1° gennaio 2027 per la decorrenza dell’obbligo di notifica degli incidenti significativi. Per i soggetti inseriti nel 2025 e che permangono nell’elenco 2026 valgono i termini originari della 379907/2025. Le finestre annuali per fornitori e categorizzazione (15 aprile–31 maggio per i primi, 1° maggio–30 giugno per la seconda) si sovrappongono a giugno e collidono con il periodo estivo. Per le organizzazioni che non hanno mai svolto la classificazione cloud, e in particolare per le imprese private, lo spazio di lavoro effettivo è di poche settimane.Una volta chiuso l’elenco categorizzato, ACN dispone di novanta giorni per richiedere chiarimenti o modifiche; la procedura è disciplinata dagli articoli 20 e 21 della 127437/2026. È un meccanismo di verifica a campione: in assenza di rilievi entro il termine, l’elenco si considera acquisito. Il flusso semplifica il lavoro dell’Agenzia, ma non riduce la responsabilità del soggetto NIS sulla qualità della categorizzazione. Chi categorizza in modo ragionato evita di doversi adeguare, in seguito, a misure pensate per livelli di rilevanza superiori al proprio.Cosa significa lavorare con il perno al centroLe tre determinazioni di aprile 2026 chiudono una fase e ne aprono un’altra. La fase che si chiude era dominata dalla compliance documentale di base: nominare i ruoli, registrarsi sulla piattaforma, predisporre i documenti che ACN richiede in lettura. La fase che si apre chiede ai soggetti NIS di descrivere sé stessi: cosa fanno, con quali servizi, supportati da quali asset, dipendenti da quali fornitori, con quale grado di rilevanza ciascun elemento concorre alla missione del soggetto. Per molte organizzazioni è un esercizio nuovo, che chiede di tenere insieme funzioni che dialogano poco: governance, IT, ufficio gare, organi direttivi.Il lavoro fatto adesso (se fatto bene e con logica) resta utile a valle. La categorizzazione del 30 giugno alimenterà le misure di sicurezza di lungo termine; il censimento dei fornitori del 31 maggio alimenterà la gestione della catena di approvvigionamento ex articolo 29 del decreto NIS; l’inventario degli asset, riorientato sui servizi, alimenta la valutazione del rischio. Chi imposta da subito la documentazione attorno al perno della categorizzazione si trova a settembre con un sistema in cui i tre fronti aperti dalle determinazioni di aprile parlano la stessa lingua.La fase che si apre richiederà alle organizzazioni di tenere insieme governance, IT, ufficio gare e organi direttivi attorno a un’unica architettura documentale. Per chi vuole seguire l’evoluzione delle determinazioni ACN, le linee guida e gli adempimenti previsti per i soggetti NIS, gli aggiornamenti saranno raccolti su www.scudoc.it
