Cosa cambia per le aziende e quali adeguamenti sono richiesti
L’Agenzia per la Cybersicurezza Nazionale ha pubblicato due nuove determine che segnano un passaggio fondamentale nell’applicazione della normativa NIS.
Si tratta di indicazioni operative che incidono direttamente su processi aziendali, responsabilità organizzative e gestione della sicurezza informatica.
Le due determine ACN: cosa prevedono
Le nuove disposizioni riguardano due ambiti centrali della normativa NIS: gli adempimenti per i nuovi soggetti e le modalità operative della piattaforma ACN.
1) Determina 127434/2026: obblighi e scadenze per i nuovi soggetti NIS
La determina definisce tempi e modalità per i soggetti inseriti per la prima volta nel perimetro NIS nel 2026.
Le principali scadenze:
- Entro il 31 dicembre 2026
→ designazione del referente CSIRT - Dal 1° gennaio 2027
→ obbligo di notifica degli incidenti significativi - Entro il 31 luglio 2027
→ adozione delle misure di sicurezza di base
Le misure di sicurezza fanno riferimento alle specifiche tecniche introdotte con la Determina 379907/2025 e basate su framework nazionali di cybersecurity.
2) Determina 127437/2026: piattaforma ACN e gestione operativa
Questa determina aggiorna le modalità di accesso e utilizzo della piattaforma ACN, che diventa il punto centrale per la gestione degli adempimenti NIS.
Introduce:
- utilizzo del Portale ACN come unico canale ufficiale
- obbligo di:
- registrazione
- aggiornamento annuale dei dati
- aggiornamento continuo delle informazioni
- definizione del punto di contatto NIS, responsabile delle comunicazioni con l’Autorità
- introduzione dell’elenco dei fornitori rilevanti
- avvio del processo di categorizzazione di attività e servizi (artt. 20 e 21)
Supply chain e cybersecurity: un cambio di prospettiva
Tra gli elementi più rilevanti emerge il ruolo della supply chain. La sicurezza informatica si estende all’intero ecosistema aziendale, includendo fornitori e partner. Un fornitore viene considerato rilevante quando:
- fornisce servizi ICT essenziali
- risulta difficilmente sostituibile
Questo approccio richiede una visione più ampia della gestione del rischio cyber.
Prossimo passo: Business Impact Analysis (BIA)
L’ACN ha previsto la pubblicazione del modello di categorizzazione e del materiale di supporto. Nei mesi di maggio e giugno le aziende saranno coinvolte in una BIA semplificata.
Obiettivi della BIA:
- individuare i servizi critici
- valutare l’impatto degli incidenti
- classificare correttamente attività e fornitori
Obblighi NIS: responsabilità e continuità operativa
Gli adempimenti richiesti dalla normativa NIS richiedono continuità e attenzione costante:
- registrazione obbligatoria
- aggiornamento continuo delle informazioni
- responsabilità in capo agli organi direttivi
La corretta gestione delle informazioni e degli adempimenti incide direttamente sulla conformità normativa e sulla sicurezza aziendale.
Adeguamento NIS: cosa devono fare le aziende
Le organizzazioni devono adottare un approccio strutturato:
- definire ruoli e responsabilità (punto di contatto, CSIRT)
- identificare asset e servizi critici
- mappare fornitori e dipendenze
- implementare misure di sicurezza adeguate
- garantire aggiornamento costante dei dati sulla piattaforma ACN
L’adeguamento NIS richiede un processo continuo e integrato nella governance aziendale.
Il punto di vista EKO365
Le nuove determine rafforzano l’evoluzione della cybersecurity verso un modello più maturo e consapevole. La normativa NIS guida le aziende verso:
- maggiore governance
- integrazione tra IT e gestione del rischio
- continuità operativa e resilienza
EKO365 supporta le imprese in questo percorso, rendendo la sicurezza informatica chiara, gestibile e sostenibile nel tempo
Le nuove determine ACN:
- consolidano l’applicazione della normativa NIS
- introducono processi operativi strutturati
- estendono la sicurezza alla supply chain
- rafforzano responsabilità e governance
La cybersecurity diventa un elemento centrale nella gestione aziendale, integrato nei processi e nelle decisioni strategiche.
