Una sintesi operativa per manager, imprenditori e funzioni compliance sugli obblighi informativi verso ACN, con particolare attenzione a indirizzi IP, domini e fornitori rilevanti.

Per le imprese già qualificate come soggetti NIS, maggio 2026 rappresenta un passaggio operativo rilevante. Dopo la fase di registrazione e identificazione, il D.Lgs. 138/2024 impone un aggiornamento sostanziale delle informazioni verso l’Agenzia per la Cybersicurezza Nazionale, non più limitato ai dati anagrafici dell’organizzazione.

Il sistema NIS2 entra quindi in una fase più concreta: mappatura tecnica, analisi della supply chain, categorizzazione dei servizi e dimostrabilità della governance cyber. L’adempimento non può essere gestito come una mera compilazione formale del portale.

Nel mese di aprile 2026 ACN ha pubblicato determinazioni attuative e indicazioni operative sull’utilizzo della piattaforma NIS, sugli adempimenti dei nuovi soggetti e sui dati da comunicare. Le indicazioni ACN e le FAQ chiariscono, in particolare, il perimetro delle informazioni tecniche e dei fornitori da censire.

Adempimenti da presidiare entro maggio 2026

• Aggiornamento annuale entro il 31 maggio 2026: Accesso al Portale ACN e completamento dell’aggiornamento annuale delle informazioni per i soggetti essenziali e importanti già inclusi nel perimetro.
• Comunicazione di indirizzi IP e domini: Indicazione degli indirizzi IP pubblici e statici e dei nomi di dominio in uso o nella disponibilità dell’organizzazione, con coerenza rispetto agli asset esposti e ai servizi NIS erogati.
• Comunicazione dei fornitori rilevanti NIS: Individuazione e caricamento dei fornitori che incidono su continuità, sicurezza o erogazione dei servizi NIS. La comunicazione serve a mappare dipendenze critiche, concentrazioni di rischio ed effetti domino lungo la supply chain.
• Modalità operative per i fornitori: Per ciascun fornitore devono essere raccolti e inseriti i dati richiesti dalla piattaforma, inclusi denominazione, identificativo fiscale, Paese della sede legale, codici CPV e criterio di rilevanza.
• Categorizzazione di attività e servizi: Dal 1° maggio al 30 giugno 2026 occorre procedere alla comunicazione e categorizzazione delle attività e dei servizi, così da qualificare correttamente il perimetro operativo dell’impresa.
• Governance e tracciabilità: Il caricamento dei dati deve essere supportato da evidenze interne: contratti, asset inventory, SLA, risk assessment, procedure di incident response e valutazioni sui fornitori critici.

Nota conclusiva

Entro maggio, l’organo amministrativo dovrebbe avere approvato o avviato un piano di adeguamento NIS2 che includa ruoli, responsabilità, gestione dei rischi, incident response, sicurezza della supply chain, procedure di aggiornamento verso ACN e conservazione delle evidenze.

La scadenza del 31 maggio 2026 non va dunque letta come una semplice incombenza telematica. Per le imprese nel perimetro NIS2, l’aggiornamento ACN impone una verifica reale della propria esposizione digitale, dei servizi critici e della dipendenza da fornitori terzi.

L’errore più frequente sarebbe caricare dati non verificati o privi di istruttoria interna. In caso di controllo, la coerenza tra informazioni comunicate, contratti, asset inventory, risk assessment e misure di sicurezza effettivamente adottate sarà decisiva per dimostrare l’adeguatezza del percorso di compliance.

Riferimenti essenziali

• D.Lgs. 4 settembre 2024, n. 138, attuativo della Direttiva (UE) 2022/2555 (NIS2).
• Determinazioni ACN pubblicate ad aprile 2026 sull’utilizzo della piattaforma NIS, sugli adempimenti dei nuovi soggetti e sull’aggiornamento annuale delle informazioni.
• FAQ ACN in materia di aggiornamento delle informazioni, indirizzi IP, domini, fornitori rilevanti NIS e categorizzazione di attività e servizi.