NEWS

NIS2, adempimenti in scadenza al 30 giugno: l’ACN pubblica il modello di categorizzazione delle attività e dei servizi 

NIS2, adempimenti in scadenza al 30 giugno: l’ACN pubblica il modello di categorizzazione delle attività e dei servizi 

A cura di Avv. Riccardo Piselli e Dott.ssa Matilde Massimo

Lo scorso aprile, è stata pubblicata sul sito istituzionale dell’ACN la Determinazione n. 155238/2026, costitutiva di due Allegati, con la quale l’Autorità ha finalmente elaborato il modello di categorizzazione volto all’implementazione delle misure di cui all’art. 30 del decreto NIS (D.lgs. 138/2024) concernenti elencazione, caratterizzazione e categorizzazione delle attività e dei servizi dei soggetti NIS. 

Un corretto adempimento di tale obbligo potrebbe avere un impatto fondamentale nei confronti del soggetto essenziale o importante, poiché consente all’Autorità di determinare, secondo criteri di proporzionalità, l’estensione e l’intensità delle misure di sicurezza concretamente applicabili ai soggetti interessati. 

La determina costituisce, senza dubbio,  uno strumento di indirizzo a sostegno dei soggetti essenziali e importanti che, ai sensi del citato art. 30 del decreto, dal 1° maggio al 30 giugno di ogni anno, sono tenuti a comunicare e aggiornare – tramite la piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS – un elenco delle proprie attività e dei propri servizi comprensivo di tutti gli elementi necessari alla loro caratterizzazione e alla relativa attribuzione di una categoria di rilevanza.  

Contestualmente alla Determinazione, l’ACN ha altresì pubblicato le Linee guida NIS – Modello di categorizzazione – Guida alla lettura, nelle quali viene descritto il modello di categorizzazione predisposto dall’Agenzia e presentato un possibile processo per l’elencazione e la categorizzazione delle attività e dei servizi, costituendo tale documento un supporto interpretativo e metodologico per i soggetti coinvolti. 

Indice

Le finalità sottese agli obblighi di categorizzazione: principio di proporzionalità nell’applicazione delle misure NIS

L’obbligo di elencazione e categorizzazione risponde all’esigenza di consentire una classificazione omogenea delle attività e dei servizi NIS sulla base del relativo livello di rilevanza, in coerenza con quanto previsto dall’articolo 31 del Decreto. Tale disposizione stabilisce, infatti, che le misure di sicurezza debbano essere differenziate in funzione della categoria di rilevanza delle attività e dei servizi supportati, svolti o erogati tramite sistemi informativi e di rete, di modo che gli obblighi imposti siano proporzionati in considerazione del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.

L’ACN ha individuato a tal proposito 4 categorie di rilevanza in base al livello dell’impatto di una possibile compromissione di quell’attività o di quel servizio sulla capacità del soggetto di svolgere correttamente le attività e i servizi NIS: “livello minimo”, “livello basso”, “livello medio” e “livello alto”. 

La collocazione in una di queste categorie è pertanto il presupposto per l’identificazione delle adeguate misure di sicurezza che il soggetto NIS deve mettere in atto, incluse le cosiddette “misure di sicurezza a lungo termine” che saranno stabilite entro la fine del 2026, mediante successive determinazioni dell’ACN, e riguarderanno le fasi successive a quelle di prima applicazione.

Ad oggi, infatti, sono state definite – con la Determina n. 379907/2025 – esclusivamente le misure di sicurezza di base, trovandoci in una fase di prima applicazione della norma. 

Dunque, senza dubbio, una corretta attività di categorizzazione costituisce un fattore decisivo per un’applicazione delle misure di sicurezza proporzionata al proprio livello di esposizione al rischio e alle specifiche caratteristiche organizzative dell’azienda.

 

La nuova Determinazione ACN n. 155238/2026: il modello di categorizzazione 

Il Modello di categorizzazione, disciplinato dalla Determina n. 155238/2026, dovrà essere utilizzato dai soggetti NIS per predisporre il proprio elenco di attività e servizi, comprensivo della relativa categoria di rilevanza.

Tale modello consente alle imprese di ricollocarsi in una o più delle categorie di rilevanza attraverso la strutturazione delle attività e dei servizi dell’organizzazione in macro-aree (ciascuna delle quali rappresenta un insieme astratto di attività e servizi che possono essere caratterizzati da elementi in comune come, ad esempio, utenti, finalità o tipologia di prestazione), ognuna delle quali è caratterizzata da una denominazione, una descrizione e una categoria di rilevanza pre-assegnata, e, di individuare, pertanto, l’impatto di una compromissione di un’attività o di un servizio riconducibile a quella macro-area.

Pertanto, in tale contesto, la categoria di rilevanza costituisce la categoria in grado di misurare l’impatto di una possibile compromissione dell’attività o del servizio sulla capacità del soggetto di svolgere correttamente le attività e i servizi NIS, ossia le attività e i servizi per i quali il soggetto rientra nell’ambito di applicazione del decreto.  

 

Linee guida operative dell’ACN per l’adempimento degli obblighi di categorizzazione NIS 

Le Linee guida – Modello di categorizzazione – Guida alla lettura pubblicate dall’ACN accompagnano e arricchiscono il modello di categorizzazione disciplinato dalla Determina 155238/2026, fornendo utili indicazioni a sostegno dei soggetti NIS.

Il documento si caratterizza, in particolare, per l’approccio flessibile adottato dall’Autorità, che nel definire il processo che ciascun soggetto dovrebbe seguire per adempiere al meglio agli obblighi di categorizzazione, non impone uno specifico modello, ma rappresenta che ogni soggetto può adottare quello che risulta più idoneo al proprio contesto tecnico-organizzativo. A tal fine il documento costituisce una vera e propria guida alla lettura della determinazione! 

Orbene, il processo inquadrato dall’Autorità per adempiere agli obblighi di categorizzazione dovrebbe di fatto articolarsi nelle seguenti fasi: 

  • identificazione attività/servizi: sono individuati tutti i servizi e le attività dell’organizzazione; 
  • mappatura attività/servizi in macro-aree: le attività e i servizi individuati sono associati alle macroaree definite dal modello di categorizzazione; 
  • attribuzione categoria di rilevanza: per ogni attività/servizio individuato è assegnata una specifica categoria di rilevanza.

L’assegnazione della categoria di rilevanza si fonda, sostanzialmente, su una Business Impact Analysis (“BIA”) semplificata, basata sulla valutazione delle principali dimensioni della sicurezza informatica. Con riferimento a tale analisi, non è richiesta una specifica metodologia, ma ogni soggetto potrà quindi utilizzare quella maggiormente adatta al proprio contesto. 

 

Conclusioni 

In definitiva, la Determinazione ACN n. 155238/2026 rappresenta un ulteriore tassello nel percorso di concreta attuazione del decreto NIS e conferma l’approccio sempre più strutturato adottato dall’ACN nella definizione degli obblighi a carico dei soggetti essenziali e importanti.

Infatti, nel corso del mese di aprile l’Autorità ha provveduto già, con Determinazione n. 127434/2026, ad individuare i termini per la scadenza degli obblighi di adozione delle misure di sicurezza di base e di notifica degli incidenti per i soggetti iscritti nell’elenco NIS per la prima volta nel 2026, oltre che a introdurre nuovi adempimenti in tema di aggiornamento delle informazioni, con Determina n. 127437/2026. Quest’ultima, ha reso vincolante per i soggetti NIS l’elencazione dei fornitori rilevanti nell’ambito dell’aggiornamento annuale delle informazioni.

Ebbene, ci troviamo di fronte a un quadro normativo sempre più articolato, nel quale, di fatto, la compliance con la normativa NIS2, assume per le imprese un essenziale strumento su cui investire, volto ad impattare sul piano organizzativo non solo a livello interno ma anche nei rapporti esterni, rendendo sempre più necessario un costante aggiornamento rispetto alle evoluzioni normative e regolatorie del settore.

Torna su
Cerca
Piselli & Partners
Cookie Policy

Utilizziamo i cookie per analizzare il traffico sul nostro sito web: grazie ai cookie possiamo ottimizzare la nostra offerta di servizi e la nostra comunicazione in modo da offrirti un’esperienza sempre migliore.

Puoi trovare maggiori informazioni sulla nostra Privacy e Cookie Policy.