ACN ha pubblicato il 13 aprile 2026 due nuove determinazioni: https://www.acn.gov.it/portale/w/nis-online-le-determine-sugli-adempimenti-per-i-nuovi-soggetti-e-sulle-modalita-di-accesso-alla-piattaforma-acn.

La prima è la 127434/2026 e stabilisce i nuovi termini che i soggetti inseriti per la prima volta nel 2026 nell’elenco dei soggetti NIS devono rispettare. Mi viene da pensare che potevano fare una cosa generale, valida anche per i soggetti inseriti per la prima volta negli anni successivi al 2025. Ma avranno avuto le loro ragioni.

La seconda è la 127437/2026 (sostituisce la precedente Determinazione ACN 379887/2025) e mi mette un po' di paura perché regolamenta due nuovi punti.

Il primo perché richiede ai soggetti NIS di indicare i fornitori rilevanti. Questo perché così c'è il rischio che non ci sia un vero limite a chi potrà essere o non essere designato come soggetto NIS (già adesso "esperti" fantasiosi richiedono che tutti i fornitori di un soggetto NIS siano soggetti NIS, anche gli organismi di certificazione!).

Il secondo perché richiede ai soggetti NIS di elencare e categorizzare le proprie attività e i propri servizi. Qui temo il ritorno del censimento "tattico" degli asset (quando mai fu introdotto negli anni Ottanta!) e i minuziosi distinguo. Vedremo tra poco tempo i dettagli (è prevista a breve una nuova Determinazione).

Ho visto alcuni post che elogiano questo approccio molto dirigista di ACN. Io ho le mie perplessità perché sicuramente non soddisfa il principio di responsabilizzazione che avrebbe dovuto permeare queste normative. E' vero che un approccio molto normativo, lo abbiamo visto con la privacy, aumenta l'attenzione delle imprese verso la sicurezza, ma allora era meglio non scrivere "accountability" sulla Direttiva.

Temo anche la deriva verso eccessive richieste documentali (peraltro utili) e non verso misure operative, vero un approccio da grande società di consulenza per grandi imprese e non pragmatico per le PMI. Spero di sbagliarmi.