Nuova Determinazione ACN del 13 aprile 2026

Non è più tempo di adempimenti formali.

Con la Determinazione 127437 del 13 aprile 2026, l’Agenzia per la Cybersicurezza Nazionale ha reso operativo il quadro regolatorio del Decreto NIS, trasformandolo in un meccanismo concreto di governo del rischio cyber.

Le organizzazioni soggette alla NIS 2 non potranno più limitarsi a proteggere il proprio perimetro. Dovranno capire da cosa dipendono, dove sono esposte e quali relazioni sostengono davvero la loro capacità di operare.

 

Un prima e un dopo la Determinazione 127437

Il 13 aprile 2026 è una data che i soggetti NIS, essenziali e importanti, difficilmente potranno dimenticare. È il giorno in cui l’ACN ha pubblicato la Determinazione 127437 che ha segnato la fine della compliance passiva, trasformando la cybersicurezza nazionale da costruzione teorica a capacità operativa verificabile.

Per la prima volta, l’Italia smette di ragionare per perimetri isolati e comincia a mappare il tessuto connettivo che tiene in piedi il Sistema Paese.

Entrano così al centro dell’attenzione le dipendenze critiche, i fornitori strategici e i servizi essenziali. La domanda alla quale oggi occorre rispondere non è più soltanto se un’organizzazione sia protetta. La domanda chiave è da chi dipenda, quali nodi la sostengano e quali effetti possa generare la sua eventuale interruzione.

 

Perché proprio ora: la vulnerabilità della supply chain

L’articolo 24, comma 2, lettera d), del D. Lgs.138/2024 (c.d. Decreto NIS) stabilisce l’obiettivo di mettere sotto controllo la sicurezza della catena di fornitura (la c.d. supply chain).

La Determinazione dell’ACN trasforma quell’obiettivo generale in un obbligo concreto, misurabile e verificabile.

Questo adempimento si è reso necessario perché gli attacchi degli ultimi anni hanno sfruttato debolezze collegate a fornitori poco sorvegliati, a servizi cloud mal configurati o a dipendenze tecnologiche non governate.

Il rischio si colloca sempre più spesso fuori dal perimetro diretto dell’organizzazione, nelle relazioni esterne che ne sostengono l’operatività quotidiana.

 

Il nuovo quadro regolatorio dalla Determinazione ACN

La direttiva NIS 2 ha introdotto un principio destinato a incidere in profondità sul modo in cui le organizzazioni pensano e gestiscono la protezione dei propri sistemi informativi e delle proprie reti. La sicurezza non è più un tema tecnico confinato nelle strutture IT ma una responsabilità organizzativa che riguarda la continuità operativa, i servizi essenziali e la stabilità del sistema economico.

Questo principio prende forma concreta con il citato D.Lgs. 138/2024 che ha tradotto l’impostazione europea in obblighi precisi.

In particolare, gli articoli 24 e 30 impongono, rispettivamente, la gestione del rischio cyber e la conoscenza puntuale di attività e servizi.

In questo modo, la sicurezza entra nelle decisioni e nei processi. La Determinazione ACN 127437 si colloca esattamente in questo spazio e lo rende operativo. Gli obblighi fissati dal decreto NIS diventano parte di un sistema che agisce ogni giorno. Tutti i soggetti NIS devono inserire nella piattaforma dell’ACN dati precisi su fornitori, servizi e attività.

Quei dati derivano da un lavoro concreto di mappatura della supply chain, di classificazione dei fornitori e di individuazione delle attività e dei servizi critici e successiva categorizzazione. Il nuovo quadro di situazione impone che ogni soggetto NIS debba sapere chi sono i fornitori da cui dipende, capire quali servizi sono essenziali e ricostruire le relazioni tra servizi, sistemi e soggetti esterni.

Se questo lavoro non viene svolto il dato da inserire sulla piattaforma non si produce e l’obbligo di registrazione non può essere adempiuto.

Lo scenario che emerge dalla Determinazione ACN è evidente: chi ha costruito nel tempo processi reali riuscirà a inserire in piattaforma dati coerenti mentre chi non lo ha fatto sarà costretto a fermarsi, perché non avrà a disposizione le informazioni necessarie per adempiere agli obblighi di registrazione.

In questo passaggio la sicurezza assume il suo pieno valore. L’organizzazione governa il rischio quando riesce a collegare in modo coerente ciò che decide, ciò che fa e ciò che dimostra.

Quando il collegamento tra decisione, azione e dimostrazione funziona, la sicurezza diventa una capacità reale che accompagna i processi aziendali e sostiene la continuità operativa.

 

La supply chain entra al centro della Determinazione 127437

L’articolo 18 della Determinazione 127437 impone a ogni soggetto NIS di individuare i fornitori rilevanti utilizzando due criteri specifici. Il primo riguarda la rilevanza del fornitore rispetto ai servizi ICT, il secondo riguarda la sua sostituibilità in tempi utili.

Questo significa che l’organizzazione deve capire quanto un fornitore sia critico e se possa essere sostituito senza compromettere la continuità dei servizi.

Da questo momento cambia il modo di leggere la supply chain.

L’elenco dei fornitori si trasforma in una rappresentazione concreta del rischio, per cui ogni fornitore assume una rilevanza diversa in base all’impatto che può generare sui servizi del committente.

Quando un fornitore supporta un servizio essenziale e non può essere sostituito rapidamente, quel nodo diventa strategico. Un problema in quel punto può propagarsi e incidere direttamente sull’operatività.

La piattaforma ACN rende questo passaggio immediato e verificabile.

L’organizzazione deve inserire dati puntuali su ogni fornitore, indicando chi sia, cosa fornisca e perché sia rilevante.

In questo modo prende forma una mappa chiara delle dipendenze che consente di individuare dove si concentra il rischio e dove occorra intervenire con priorità.

L’ACN utilizza queste informazioni per costruire una visione d’insieme: non si limita a raccogliere dati ma individua i nodi critici e rende visibile una rete che, fino a ieri, restava frammentata e difficile da governare.

 

Dalla norma alla capacità operativa

Il passaggio più rilevante non sta però nella raccolta dei dati, ma nel modo in cui quei dati devono essere prodotti.

Per capire davvero questo passaggio, bisogna guardare alla “guida alla lettura delle specifiche di base” pubblicata dall’ACN nel settembre 2025.

Quel documento chiarisce che la sicurezza della supply chain deve essere costruita utilizzando alcune sottocategorie del Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP), in particolare quelle dedicate alla gestione della supply chain, cioè GV.SC-01, GV.SC-02, GV.SC-04, GV.SC-05 e GV.SC-07.

Si tratta delle misure che costituiscono la base operativa sulla quale l’organizzazione deve costruire processi, controlli e reali capacità di governo del rischio.

Questo significa che, per comunicare correttamente i dati relativi a un fornitore rilevante, serve un lavoro a monte.

L’organizzazione deve costruire un sistema che funzioni davvero. In particolare deve:

• definire una strategia di gestione del rischio;
• assegnare ruoli chiari;
• classificare i fornitori;
• inserire requisiti di sicurezza nei contratti;
• attivare un monitoraggio continuo.

Il dato da inserire nella piattaforma ACN è quindi il risultato finale di un processo strutturato. Se quel processo non esiste, il dato non è affidabile e la conformità non è reale.

 

La categorizzazione delle attività e dei servizi

Il secondo pilastro della Determinazione 127437 è il Capo V, composto dagli articoli 20 e 21.

L’articolo 20 dà attuazione all’articolo 30 del Decreto NIS, stabilendo che, nel prossimo bimestre maggio-giugno, ogni soggetto NIS debba trasmettere, e poi aggiornare annualmente, l’elenco categorizzato delle proprie attività e dei propri servizi.

Si tratta di un documento che deve poggiare su una Business Impact Analysis (BIA) solida.

L’ACN pubblicherà a breve il modello definitivo di categorizzazione e il materiale informativo necessario per la BIA semplificata. Il presupposto operativo, però, è già chiaro ed è indicato nella sottocategoria GV.OC-04 del Framework Nazionale.

Questa misura, richiamata nella citata “guida alla lettura delle specifiche di base”, richiede di identificare i servizi critici e di mantenere un inventario aggiornato dei sistemi. Proprio per questo consente di ottenere i dati necessari alla categorizzazione di attività e servizi.

L’articolo 21 della Determinazione introduce poi un meccanismo di verifica molto concreto. L’ACN analizzerà a campione gli elenchi trasmessi e li confronterà non solo con il modello di riferimento, ma anche con i dati riferibili a soggetti NIS comparabili. Il confronto tra pari contribuisce così a rendere più coerenti le valutazioni all’interno del settore. Il processo prevede un riscontro entro novanta giorni, con un meccanismo di silenzio assenso. Se l’Agenzia non comunica esiti negativi entro i termini, l’elenco si intende convalidato.

 

Qual è l'impatto reale sulle organizzazioni della Determinazione ACN del 13 aprile?

La Determinazione assegna la responsabilità agli organi di amministrazione in modo diretto.

I vertici rispondono dei dati trasmessi e devono garantirne correttezza e aggiornamento.

Per gestire una responsabilità personale di questo livello, devono capire che cosa venga dichiarato e verificare che dietro ogni dato esistano processi reali e funzionanti.

Anche le strutture IT e sicurezza sono chiamate a cambiare modo di operare. Il loro lavoro non può più limitarsi agli aspetti tecnici, perché diventa necessaria un’integrazione stabile con le funzioni acquisti, legale e risk management.

La gestione della supply chain diventa così un’attività condivisa che attraversa tutta l’organizzazione.

 

Il passaggio strategico chiesto da ACN

Se si guarda il quadro d’insieme, il cambiamento è evidente.

Si passa da un approccio formale a un sistema basato su capacità misurabili.

Prima era possibile limitarsi a descrivere i fornitori mentre oggi bisogna classificarli, monitorarli, collegarli ai servizi e ricostruire le dipendenze che li rendono critici.

La Determinazione costruisce una grammatica operativa della sicurezza nella quale ogni obbligo è collegato a un processo, ogni processo produce un dato e ogni dato è tracciato e verificabile.

In questo modo, la sicurezza diventa osservabile e quindi valutabile.

 

Verso una resilienza reale

Nei mesi di maggio e giugno le organizzazioni saranno chiamate ad analizzare attività e servizi e a costruire la categorizzazione. Questo sarà un test.

Chi ha costruito nel tempo processi coerenti riuscirà a produrre dati solidi; chi, invece, non lo ha fatto non saprà che cosa dichiarare.

La mappatura delle interdipendenze diventa così il vero indicatore di maturità. Oltre ad essere un adempimento è la fotografia della capacità di governare il proprio sistema.

 

Conclusioni

In conclusione la Determinazione 127437 dell’ACN non aggiunge un livello di complessità ma toglie spazio all’ambiguità, perché costringe le organizzazioni a rendere esplicito ciò che troppo spesso resta implicito.

Chi continua a leggere la NIS 2 come un insieme di obblighi formali commette un errore strategico. L’ACN sta costruendo un sistema che misura la capacità reale di resistere agli incidenti.

Chi non si adegua rischia di restare indietro, perché espone un’incapacità operativa che diventa evidente.

Chi invece saprà cogliere questo passaggio potrà costruire una resilienza autentica, fondata su processi reali, dati affidabili e consapevolezza delle proprie dipendenze.