Con le nuove determinazioni NIS2 pubblicate ad aprile 2026, ci sono importantissime novità che tutte le aziende devono conoscere, che riguardano l’aggiornamento delle scadenze operative, nuovi obblighi legati ai fornitori e alla supply chain e infine alcune linee operative per la sicurezza dei domini.
Vediamole nel dettaglio.
1. Le scadenze per chi entra ora nel perimetro
Sono state definite in modo più chiaro le tempistiche per i soggetti che nel 2026 entrano per la prima volta nel perimetro NIS2.
Per queste aziende, la roadmap è stata definita:
- 1 gennaio 2027: obbligo di notifica degli incidenti (allegato 3-4 determinazione 379907)
- 31 luglio 2027: adozione delle misure di sicurezza (allegato 1-2 determinazione 379907)
Per i soggetti già inclusi nel 2025, invece, non cambia il calendario: restano valide le scadenze già previste.
C’è però una finestra che riguarda tutti:
- dal 1° maggio al 30 giugno 2026 sarà necessario comunicare o aggiornare l’elenco delle proprie attività e servizi tramite la piattaforma dedicata.
2. Fornitori sotto osservazione: la supply chain entra nella NIS2
La seconda grande novità è probabilmente la più impattante.
Viene introdotto un nuovo obbligo: le aziende NIS2 devono censire e comunicare i propri fornitori rilevanti.
Non si tratta solo di un elenco, ma di un vero processo di valutazione.
In particolare:
- devono essere identificati i fornitori critici
- devono essere valutati in base alla loro importanza e sostituibilità
- l’elenco deve essere aggiornato periodicamente
Questo cambia radicalmente il perimetro della sicurezza: non riguarda più solo l’azienda, ma tutta la sua filiera.
Chi è un “fornitore rilevante NIS”
Un fornitore è da considerarsi “rilevante ai fini NIS” se fornisce servizi/prodotti a un soggetto NIS2 e soddisfa almeno uno dei seguenti criteri di rilevanza:
- la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS2 (fornitura ICT), dunque Infrastrutture digitali e Gestione servizi TIC;
- l’interruzione o la compromissione della fornitura comportano un impatto significativo sulla capacità del soggetto NIS, anche per effetto dell’indisponibilità di fornitori alternativi di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS2 (fornitura non fungibile).
Indicando il fornitore è richiesto di segnalare anche a quale dei due criteri corrisponde. È possibile che possa rientrare in entrambi i criteri.
Attenzione quindi anche a chi non è nel perimetro
Questa novità non riguarda solo le aziende direttamente incluse nella NIS2.
Se un’azienda è nel perimetro dovrà garantire e monitorare la sicurezza dei propri fornitori.
Se invece non lo è potrebbe comunque essere coinvolta come fornitore critico e quindi adeguarsi alle richieste dei clienti soggetti a NIS2.
In pratica, la normativa si estende indirettamente a tutta la supply chain.
Linee guida per una gestione delle email aziendale più sicura: basta finte comunicazione a tuo nome
Oltre a queste novità, l’Agenzia per la Cybersicurezza Nazionale ha pubblicato anche nuove linee guida sulla gestione della posta elettronica aziendale.
Il punto centrale è molto semplice: oggi non basta avere una mail aziendale, bisogna dimostrare che è autentica.
Le indicazioni vanno tutte nella stessa direzione:
- proteggere il dominio aziendale
- impedire che qualcuno possa inviare email a tuo nome
- rendere riconoscibili e verificabili le comunicazioni ufficiali
Tradotto in pratica, se la configurazione è corretta, nessuno può più scrivere a clienti o partner fingendo di essere la tua azienda.
È un passaggio fondamentale, perché molte delle minacce più diffuse – come phishing o frodi “finto fornitore” – si basano proprio su questo meccanismo.
Queste linee guida non introducono tecnologie nuove, ma rendono ufficiale un principio chiaro: la sicurezza della posta elettronica diventa una responsabilità aziendale e non solo tecnica.
Non solo normativa
La NIS2 non è solo un insieme di obblighi da rispettare.
La cybersecurity, infatti, dovrebbe agire prima che si verifichi un problema. Quando un incidente accade, si entra già in una fase reattiva, spesso con impatti concreti sul business.
Adottare una corretta postura di sicurezza significa invece prevenire, riducendo il rischio di dover intervenire in emergenza.
Questo approccio consente di evitare conseguenze come:
- perdite economiche
- danni reputazionali
- interruzioni operative
In questo senso, la NIS2 rappresenta non solo un vincolo normativo, ma anche un’opportunità: rafforzare la resilienza dell’azienda e proteggere il proprio valore nel tempo.
Desideri essere supportato?
Antelma Secure ti affianca in:
- Assessment tecnico e costruzione di un piano personalizzato di cyber security
- Supporto compliance in tema NIS2, GDPR e gestione dei dati
- Formazione continua
