Ultima revisione: 2026-04-15
Applicabilità: soggetti inseriti per la prima volta nell'elenco NIS italiano durante l'anno solare 2026.
La determina ACN del 2026 introduce un percorso di implementazione distinto per i soggetti inseriti per la prima volta nell'elenco NIS durante il 2026. Per questi soggetti, l'obbligo di notifica degli incidenti significativi decorre dal 1 gennaio 2027, mentre il termine per l'adozione delle misure di sicurezza di base richiamate dalla Determinazione 379907/2025 e fissato al 31 luglio 2027. La stessa determina conferma inoltre che i soggetti gia inseriti nel 2025 e ancora presenti nell'elenco 2026 mantengono invece le scadenze gia previste dal framework precedente (determina ACN sui termini 2026, news ACN, Determinazione ACN 379907/2025).
Punti Chiave
- La determina riguarda in modo specifico i soggetti inseriti per la prima volta nell'elenco NIS nel 2026.
- Per questi soggetti, le misure di sicurezza di base devono essere adottate entro il 31 luglio 2027.
- Per questi soggetti, l'obbligo di notifica degli incidenti significativi decorre dal 1 gennaio 2027.
- La determina si applica a decorrere dal 30 aprile 2026.
- La news ACN aggiunge una conseguenza operativa importante: il referente CSIRT va designato entro la fine del 2026.
Ambito di Questo Articolo
Questo articolo copre:
- quali soggetti rientrano nella nuova tempistica 2026,
- quali sono i due principali spostamenti di scadenza,
- come la tempistica 2026 si innesta sul framework di base gia esistente,
- quali priorita operative vanno chiuse prima del 2027.
Questo articolo non copre:
- le procedure dettagliate di accesso alla piattaforma,
- i workflow su fornitori rilevanti o categorizzazione,
- interpretazioni legali oltre i testi ufficiali ACN e normativi.
Che Cosa Cambia Davvero con la Determina 2026
La determina ACN precisa che stabilisce i termini di adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del Decreto Legislativo 138/2024 per i soggetti inseriti per la prima volta nell'elenco NIS nel 2026. Si tratta quindi di un atto che definisce tempi e proporzionalita, non di una sostituzione del framework dei controlli di base (Gazzetta Ufficiale - Decreto Legislativo 138/2024, determina ACN sui termini 2026).
La baseline normativa e operativa resta ancorata alla Determinazione 379907/2025. La vera novita riguarda il calendario applicabile ai nuovi soggetti 2026.
Tabella delle Scadenze per i Nuovi Soggetti 2026
| Ambito di obbligo | Regola ufficiale per i soggetti inseriti per la prima volta nel 2026 | Lettura operativa |
|---|---|---|
| Misure di sicurezza di base | Entro il 31 luglio 2027 | La finestra di adozione delle misure di base degli Allegati 1 e 2 della Determinazione 379907/2025 si estende fino a meta 2027. |
| Notifica degli incidenti significativi | Dal 1 gennaio 2027 | Gli obblighi di notifica descritti negli Allegati 3 e 4 della Determinazione 379907/2025 diventano attivi dall'inizio del 2027. |
| Obblighi su sicurezza, stabilita e resilienza dei sistemi di nomi di dominio, dove applicabili | Entro il 31 luglio 2027 | La stessa data si applica anche agli obblighi di cui all'articolo 4 della Determinazione 379907/2025 per i soggetti interessati. |
| Decorrenza della determina 2026 | Dal 30 aprile 2026 | Questa data va considerata come il punto formale di efficacia del nuovo assetto temporale. |
Nuovi Soggetti 2026 vs Soggetti Gia Presenti dal 2025
La determina non introduce una nuova scadenza uniforme per tutti i soggetti NIS. Al contrario, distingue in modo esplicito:
| Categoria di soggetto | Regola temporale |
|---|---|
| Inserito per la prima volta nell'elenco NIS durante il 2026 | Segue la nuova tempistica: notifica dal 1 gennaio 2027, misure di base entro il 31 luglio 2027. |
| Inserito nel 2025 e ancora presente nell'elenco 2026 | Mantiene i termini gia stabiliti dall'articolo 3 della Determinazione 379907/2025. |
Questo punto conta molto perche diverse organizzazioni potrebbero interpretare la determina 2026 come un reset generale delle scadenze. Il testo non dice questo. La nuova finestra si applica solo alla coorte inserita per la prima volta nel 2026 (determina ACN sui termini 2026).
Perche ACN Introduce una Timeline Nuova
La determina evidenzia espressamente che la fase di prima applicazione si e conclusa il 31 dicembre 2025. ACN costruisce quindi il nuovo calendario secondo un principio di proporzionalita, tenendo conto di:
- grado di esposizione ai rischi,
- dimensioni del soggetto,
- probabilita di incidenti,
- gravita e impatto, inclusi gli impatti sociali ed economici.
Questo passaggio e rilevante per board, compliance e GRC: la nuova tempistica non e presentata come un alleggerimento degli obblighi in senso sostanziale, ma come un percorso proporzionato di implementazione dopo la chiusura della fase di prima applicazione.
Impatto Operativo su Governance ed Esecuzione
La conseguenza pratica e che i soggetti inseriti nel 2026 dovrebbero separare la pianificazione in due stream.
Stream 1: rendere operativo il modello di notifica prima del 2027
Poiche la notifica decorre dal 1 gennaio 2027, entro la fine del 2026 conviene chiudere:
- designazione del referente CSIRT e degli eventuali sostituti,
- ownership della catena di notifica,
- regole di escalation e autorita decisionale,
- disciplina di raccolta evidenze e timestamp,
- procedure incidenti allineate al framework di base 2025.
La news ACN dice in modo esplicito che, per i nuovi soggetti 2026, e necessario designare il referente CSIRT entro la fine del 2026.
Stream 2: completare la baseline entro il 31 luglio 2027
La finestra piu lunga sulle misure di base non elimina il carico di lavoro. Per molte organizzazioni, i punti di blocco restano:
- definizione del perimetro delle misure applicabili,
- assegnazione chiara degli owner,
- chiusura dei gap documentali,
- costruzione delle evidenze verificabili,
- sequenziamento di implementazione e approvazioni di governance in una roadmap controllata.
Lettura Board-Level della Tempistica 2026
Per gli stakeholder di vertice, la determina 2026 va letta come una regola di sequenziamento:
- verificare se il soggetto e davvero un nuovo entrante 2026 o se ricade gia nella coorte 2025,
- trattare il 1 gennaio 2027 come data hard di attivazione degli obblighi di notifica per la nuova coorte,
- trattare il 31 luglio 2027 come data hard di completamento delle misure di base per la nuova coorte,
- usare il 30 aprile 2026 come data di efficacia del nuovo assetto temporale.
E anche per questo che la governance documentale va chiusa presto. Se un'organizzazione si classifica sulla coorte sbagliata o pianifica contro la deadline sbagliata, programmi di remediation e readiness incidenti rischiano di andare fuori allineamento rispetto al framework ACN.
Checklist di Readiness per i Nuovi Soggetti 2026
- Confermare la posizione del soggetto rispetto alla logica dell'elenco 2026 e documentare il razionale di classificazione.
- Mappare gli obblighi di base applicabili sulla Determinazione 379907/2025.
- Formalizzare la catena di governance della notifica entro il 31 dicembre 2026.
- Rendere operativo il processo di notifica incidenti per il 1 gennaio 2027.
- Sequenziare la roadmap di implementazione delle misure di base fino al 31 luglio 2027.
- Mantenere il reporting verso board e management agganciato alla coorte ACN corretta, non a messaggi NIS generici.
Qui emerge il valore del supporto esterno: non per reinterpretare la norma, ma per tradurre classificazione, readiness incidenti e implementazione baseline in un unico piano esecutivo difendibile.
FAQ
La determina 2026 sostituisce la determina base 2025?
No. Richiama espressamente la Determinazione 379907/2025 e modifica la tempistica per i soggetti inseriti per la prima volta nel 2026.
Quando parte la notifica degli incidenti significativi per i nuovi soggetti 2026?
Parte dal 1 gennaio 2027 ai sensi dell'articolo 1 della determina 2026.
Qual e la scadenza per le misure di sicurezza di base per i nuovi soggetti 2026?
La scadenza e il 31 luglio 2027 ai sensi della stessa determina.
La stessa data del 31 luglio 2027 vale anche per gli obblighi sui sistemi di nomi di dominio?
Si. Per i soggetti ricompresi nell'articolo 2 della determina, la stessa scadenza e il 31 luglio 2027.
Da quando si applica la determina 2026?
Si applica dal 30 aprile 2026.
Conclusione
La determina ACN 2026 sui termini va letta come una regola di transizione controllata per i soggetti inseriti nel 2026, non come un reset generale delle scadenze NIS. Se l'organizzazione e entrata nel perimetro NIS durante il 2026, la priorita e rendere operativa la governance della notifica per il 1 gennaio 2027 e portare l'implementazione delle misure di base verso il 31 luglio 2027 mantenendo come riferimento il framework di base 2025.