Dalle regole agli obblighi: come cambia il lavoro dei soggetti NIS

Le determinazioni ACN pubblicate ad aprile 2026 ridefiniscono il lavoro dei soggetti NIS: categorizzazione di attività e servizi, censimento dei fornitori rilevanti e ricollocazione degli asset diventano parti di un’unica architettura documentale, con scadenze e impatti operativi da gestire in modo coordinato.

Tra il 9 e il 20 aprile 2026, ACN ha pubblicato tre determinazioni che, lette insieme, riscrivono il modo in cui un soggetto NIS organizza il proprio lavoro di adeguamento alle norme.

La determinazione n. 127434/2026 fissa i termini per i soggetti inseriti nel perimetro nel 2026; la determinazione n. 127437/2026 del 13 aprile, che sostituisce la 379887/2025, disciplina la piattaforma NIS e introduce il censimento dei fornitori rilevanti; la determinazione n. 155238/2026 del 20 aprile adotta il modello di categorizzazione di attività e servizi previsto dall’articolo 30 del decreto legislativo 138/2024.

Le tre determinazioni vengono spesso raccontate come adempimenti paralleli con scadenze diverse, ma lette insieme rivelano qualcosa di più: i tre lati di una stessa figura, e la figura ha un centro preciso.

La rappresentazione che le organizzazioni si erano costruite negli ultimi diciotto mesi metteva al centro l’asset: server, postazioni, applicativi, infrastrutture di rete. Era una lettura ragionevole quando l’attenzione era sulle misure di sicurezza di base e sulla notifica degli incidenti, perché entrambe si applicano a oggetti tecnici. La determinazione n. 155238/2026 sposta il centro: le attività e i servizi diventano il punto di ancoraggio, gli asset si ricollocano a sinistra e i fornitori a destra.

A nostro avviso, questa è la chiave di lettura più produttiva delle tre determinazioni. Le misure di sicurezza di base sono il primo gradino. Le misure di lungo termine, che ACN disciplinerà nei prossimi mesi, saranno modulate in funzione della categoria di rilevanza assegnata a ciascuna attività o servizio: la categorizzazione di oggi, tra il 1° maggio e il 30 giugno, è il modo in cui un soggetto NIS dichiara come dovrà essere misurato domani.

La struttura di categorizzazione

Il modello adottato dall’articolo 2 della determinazione n. 155238/2026 si articola in dieci macro-aree, definite negli allegati 1 e 2 con applicazione differenziata per tipologia di soggetto. Ogni macro- area ha una categoria di rilevanza pre-assegnata, su quattro livelli ordinati per impatto crescente: minimo, basso, medio, alto. Il soggetto NIS ha la facoltà di discostarsi dalla pre-assegnazione, conservando la documentazione della valutazione di impatto.

Fasi di identificazione

L’articolo 3 individua tre fasi:

• Identificazione delle attività e dei servizi.
• Mappatura sulle macro-aree del modello ACN.
• Attribuzione della categoria di rilevanza.

La Guida alla lettura indica i seguenti approcci di identificazione: top-down (dalle funzioni e dai processi verso i servizi), bottom-up (dall’inventario dei sistemi verso i servizi che vi si appoggiano). I due approcci non si escludono e la maggior parte dei soggetti dovrà combinarli.

Coordinamento con la classificazione del Regolamento Cloud

C’è un punto che la determinazione disciplina con precisione e che non è secondario: l’articolo 4 introduce un coordinamento con la classificazione dei dati e dei servizi prevista dal Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024, comunemente noto come Regolamento Cloud. Le PA che hanno già svolto quella classificazione applicano il modello cloud in luogo del modello generale ai fini della categorizzazione NIS. Il modello cloud lavora su tre categorie: ordinari, critici, strategici. Significa che convivono due tassonomie ufficiali per lo stesso adempimento.

La prima cosa da fare per qualunque amministrazione è verificare sul portale ACN quale dei due modelli vede precompilato: chi ha partecipato all’avviso PNRR 1.2 sul cloud o ha completato la classificazione sul portale PA Digitale 2026 si troverà l’elenco già impostato; le altre dovranno applicare il modello a quattro livelli.

Elenco fornitori rilevanti

L’articolo 18 della determinazione n. 127437/2026 disciplina l’elencazione dei fornitori rilevanti NIS, da effettuare tramite la piattaforma digitale tra il 15 aprile e il 31 maggio di ogni anno. Per ciascun fornitore vanno comunicati: denominazione, codice fiscale, paese della sede legale, codici CPV (Common Procurement Vocabulary) ex Regolamento (CE) 2195/2002 e criterio di rilevanza utilizzato.

Due criteri di rilevanza

L’articolo 1, comma 1, lettera ll), individua due ipotesi alternative di rilevanza:

• Fornitura ICT riconducibile alle attività di cui all’allegato I, punti 8 e 9, del decreto NIS.
• Fornitura la cui interruzione comporta un impatto significativo sulla capacità del soggetto NIS di erogare le proprie attività e servizi, anche per indisponibilità di alternative.

Il secondo criterio, basato sulla non fungibilità della prestazione, presenta margini interpretativi non irrilevanti. Nel codice dei contratti pubblici la non fungibilità è legata all’unicità del produttore o del prodotto e giustifica la deroga alle procedure competitive ordinarie; nella determinazione n. 127437/2026 il concetto è invece riferito alla continuità del servizio: rileva quanto la compromissione del fornitore impatta sull’erogazione delle attività NIS.

Chiarezza da parte di ACN

ACN ha precisato il punto con la FAQ FRN.4, in cui afferma che rientrano tutte le dipendenze digitali del soggetto NIS, oltre alle dipendenze non digitali che non possono essere sostituite senza determinare un impatto significativo sulle attività e sui servizi NIS. La stessa FAQ cita esempi concreti di forniture rilevanti per criterio b) anche quando non ICT, come:

• la connettività dati e voce qualora