Le ultime determinazioni emanate dall’ACN sul processo di adeguamento al Decreto legislativo n. 138 del 2024 (c.d. Decreto NIS) riguardano, in particolare, i termini per le attività di compliance da parte dei soggetti NIS neo-iscritti sulla Piattaforma ACN e, in genere, l’aggiornamento delle modalità di utilizzo e accesso alla piattaforma medesima da parte dei Soggetti essenziali o importanti.
- Determinazione 127434/2026: termini per i soggetti NIS neo-iscritti
Per le imprese inserite nell’elenco dei Soggetti NIS nel corso dell’anno solare 2026 valgono le seguenti scadenze:
- 1° gennaio 2027 per l’adempimento dell’obbligo di notifica degli incidenti significativi;
- 31 luglio 2027 per l’adozione delle misure di sicurezza.
- Determinazione 127437/2026: individuazione dei fornitori rilevanti e categorizzazione delle informazioni
Durante il lasso temporale destinato al processo di aggiornamento annuale delle informazioni (dal 15 aprile al 31 maggio di ogni anno), i Soggetti NIS – ai sensi dell’art. 18 – saranno tenuti a individuare e a censire sulla Piattaforma ACN i c.d. “Fornitori rilevanti NIS”, ossia i fornitori classificabili quali elementi sistemici della catena di approvvigionamento, anche digitale, del Soggetto essenziale o importante.
Tali Fornitori rilevanti NIS, inoltre, durante la procedura di adeguamento dovranno essere destinatari di particolari presidi contrattuali, volti a ridurre il rischio informatico derivante dagli stessi.
Infine, ai sensi degli artt. 20 e 21, dal 1° maggio al 30 giugno di ogni anno, i Soggetti NIS saranno tenuti a comunicare e ad aggiornare sulla Piattaforma ACN l’elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro categorizzazione e della relativa attribuzione di una categoria di rilevanza. La procedura in questione verrà descritta più diffusamente in una determinazione ad hoc che l’ACN dovrebbe emanare a breve.