Speciale “La NIS2 in pratica” | Aggiornamento ACN Aprile 2026: Il nodo dei “fornitori rilevanti” e le nuove scadenze

Al momento stai visualizzando Speciale “La NIS2 in pratica” | Aggiornamento ACN Aprile 2026: Il nodo dei “fornitori rilevanti” e le nuove scadenze

Benvenuti a uno speciale de “La NIS2 in pratica”. Oltre alla nostra rubrica a episodi, NIS2Lab monitora costantemente le evoluzioni normative per fornirvi aggiornamenti tempestivi. Le recenti pubblicazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) cambiano nuovamente le carte in tavola. Ecco un’analisi operativa di ciò che dovete fare subito.

Il mese di aprile 2026 ha segnato un punto di svolta decisivo nell’applicazione pratica della direttiva NIS2 in Italia. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha infatti pubblicato due nuove determinazioni (la 127434 e la 127437) che impattano pesantemente sia su chi è già soggetto NIS, sia su chi sta per entrarvi. La novità più esplosiva non riguarda i firewall o la crittografia, ma un concetto organizzativo che sta facendo tremare i polsi a molti IT Manager e CdA: l’obbligo di dichiarare i propri “fornitori rilevanti”.

In questo speciale analizzeremo cosa richiede esattamente l’ACN, come gestire le nuove scadenze e come evitare che la gestione della supply chain diventi un incubo burocratico.

Da chi dipendi davvero? L’obbligo sui fornitori rilevanti (Det. 127437/2026)

Con l’articolo 18 della nuova determinazione, l’ACN introduce l’obbligo per tutti i soggetti NIS di elencare i “fornitori rilevanti” all’interno della piattaforma dell’Agenzia durante l’aggiornamento annuale delle informazioni.

Attenzione: non si tratta di copiare e incollare l’elenco fornitori dalla contabilità. L’ACN, attraverso le recenti FAQ, ha chiarito che non vuole un elenco formale, ma una vera e propria fotografia del rischio e delle dipendenze.

Chi è un “fornitore rilevante”? Il criterio della non fungibilità

La domanda che l’Agenzia vi sta ponendo è diretta: quali sono i fornitori che, se interrompono il servizio, paralizzano la vostra operatività NIS?

Il criterio cardine diventa la non fungibilità. Se un fornitore viene meno, avete un’alternativa reale e attivabile in tempi compatibili con il vostro servizio? Se la risposta è “forse” o “ci vorrebbero mesi”, quel fornitore è rilevante e va dichiarato.

E, sorpresa: il perimetro non è solo IT. Le FAQ specificano che tra i fornitori rilevanti non ci sono solo i classici provider Cloud o i Managed Service Provider (MSP), ma anche dipendenze fisiche critiche come connettività (dati/voce) ed energia elettrica, qualora non opportunamente ridondate.

L’obbligo di classificazione con codici CPV

Per evitare dichiarazioni generiche e approssimative, l’ACN richiede l’utilizzo dei codici CPV (Common Procurement Vocabulary). Non potrete più indicare genericamente “servizi informatici”, ma dovrete specificare esattamente la natura della fornitura (es. elaborazione dati, gestione connessa all’informatica, ecc.). Questa precisione richiede una conoscenza capillare della propria infrastruttura.

Nuove scadenze per i nuovi entrati (Det. 127434/2026)

L’ACN ha anche chiarito il percorso per i “Nuovi Soggetti NIS 2026”, ovvero quelle aziende che entrano nell’elenco quest’anno (per crescita dimensionale, cambio di settore o mappatura ACN). Per queste realtà, le scadenze sono così riprogrammate:

  • Entro il 31 dicembre 2026: designazione ufficiale del referente tecnico CSIRT.
  • Dal 1° gennaio 2027: avvio dell’obbligo di notifica degli incidenti significativi.
  • Entro il 31 luglio 2027: adozione definitiva delle misure di sicurezza di base.

Nota bene: se la vostra azienda era già inclusa nell’elenco del 2025, queste deroghe non si applicano. Le scadenze originali rimangono valide e vincolanti.

In arrivo: le analisi di impatto (BIA)

L’ACN ha inoltre preannunciato una terza determinazione, che imporrà ai soggetti NIS di svolgere le Business Impact Analysis (BIA) nei mesi di maggio e giugno 2026. Le aziende dovranno valutare le proprie vulnerabilità, stimare le conseguenze degli incidenti e definire le priorità di intervento. È evidente che la compliance non è più una checklist, ma un sistema di gestione in continuo divenire.

Come gestire la complessità con NIS2Lab e Bastione.cloud

Mappare la supply chain, identificare i fornitori non fungibili, associare i codici CPV e prepararsi per le Analisi di Impatto (BIA) sono attività che non possono essere gestite con fogli Excel improvvisati. Il rischio di dichiarare il falso o di omettere informazioni critiche ad ACN è altissimo.

Il Percorso ACN offerto dalla piattaforma software Bastione.cloud è lo strumento ideale per rispondere a queste nuove sfide. Il sistema è progettato per supportarvi (in affiancamento al vostro consulente) non solo nell’assessment iniziale, ma nella gestione continua della governance. Bastione vi permette di strutturare e blindare con Data Certa e Hash Forense tutta la documentazione relativa ai vostri fornitori, creando un repository inoppugnabile che attesta la vostra “prova di diligenza”.

Inoltre, in vista delle imminenti Business Impact Analysis, i consulenti specializzati di NIS2Lab sono a vostra disposizione per affiancare il vostro team interno (o il vostro fornitore IT) e trasformare questo adempimento normativo in un reale strumento di valutazione e mitigazione del rischio.

Non farti cogliere impreparato dalle nuove richieste dell’ACN. Contatta oggi stesso NIS2Lab per una consulenza rapida su come censire i tuoi “fornitori rilevanti” e per scoprire come la piattaforma Bastione.cloud può automatizzare la tua compliance.

 Esplora gli altri episodi de “La NIS2 in pratica”

Il percorso verso la conformità normativa e la messa in sicurezza della tua azienda è un mosaico composto da diversi tasselli strategici e operativi. Per avere una visione completa e non farti trovare impreparato, leggi tutti gli approfondimenti della nostra rubrica dedicata:

Tag: , , ,