La categorizzazione delle attività e dei servizi nel sistema NIS 2 è ufficialmente entrata nella sua fase attuativa. Con la Determinazione del Direttore Generale n. 155238 del 20 aprile 2026, adottata in attuazione dell’art. 30, comma 2, del D. Lgs. 4 settembre 2024, n. 138, l’Agenzia per la Cybersicurezza Nazionale ha fornito il modello attraverso il quale gli operatori ricompresi nel perimetro NIS sono chiamati a procedere alla categorizzazione delle proprie attività e dei propri servizi, secondo criteri omogenei.
La categorizzazione serve a qualificare le attività rilevanti e a comprendere quale impatto potrebbe derivare dalla compromissione di un determinato servizio o processo sulla capacità del soggetto NIS di continuare a svolgere correttamente le attività per le quali rientra nell’ambito di applicazione del Decreto.
In questo breve articolo vogliamo offrire un quadro aggiornato degli obblighi derivanti dall’art. 30 del D. Lgs. 138/2024 e dalla nuova Determina ACN, con particolare attenzione agli adempimenti che devono essere assolti, ogni anno, nella finestra temporale compresa tra il 1° maggio e il 30 giugno.
L’obbligo annuale di elencazione, caratterizzazione e categorizzazione
L’art. 30 del D. Lgs. 138/2024 prevede che, dal 1° maggio al 30 giugno di ogni anno, a partire dalla ricezione della prima comunicazione di inclusione nell’elenco dei soggetti NIS, i soggetti essenziali e i soggetti importanti debbano comunicare e aggiornare, tramite la piattaforma digitale di cui all’art. 7, comma 1, l’elenco delle proprie attività e dei propri servizi, comprensivo degli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
La disposizione attribuisce alla categorizzazione una funzione – per così dire – sistematica, poiché essa consente di raccordare l’identità operativa del soggetto NIS con il complesso degli obblighi di sicurezza, gestione del rischio e continuità operativa previsti dal decreto
In questa prospettiva, l’art. 30 va letto in stretta connessione con l’art. 24 del decreto, relativo agli obblighi in materia di misure di sicurezza. L’elencazione e la categorizzazione delle attività e dei servizi costituiscono infatti la base informativa sulla quale il soggetto NIS è chiamato a costruire un sistema di presidio coerente, proporzionato e documentabile.
Ciò posto, la Determinazione del 20 aprile 2026 interviene per stabilire le categorie di rilevanza, nonché il processo, le modalità e i criteri attraverso i quali i soggetti NIS devono procedere all’elencazione, alla caratterizzazione e alla categorizzazione delle proprie attività e dei propri servizi. Nel dettaglio, ACN ha introdotto un modello uniforme, fondato su dieci macro-aree e su quattro categorie di rilevanza, destinato a guidare i soggetti obbligati nella rappresentazione ordinata delle proprie attività e dei propri servizi.
La Determina distingue, inoltre, tra due modelli di categorizzazione, contenuti negli Allegati 1 e 2, applicabili a diverse tipologie di soggetti NIS. Il primo modello riguarda i soggetti riconducibili alle tipologie espressamente richiamate dall’art. 2, comma 2, della Determinazione (la maggior parte dei soggetti essenziali); il secondo si applica, invece, in via residuale, a tutti i soggetti NIS non ricompresi in tale previsione (soggetti importanti e altre categorie soggettive).
È bene precisare che la Determinazione si applica a decorrere dal 1° maggio 2026, data che coincide con l’apertura della finestra annuale prevista dall’art. 30 del decreto. Ne deriva che, già a partire dal primo ciclo applicativo successivo alla sua entrata in vigore, i soggetti essenziali e importanti sono tenuti a utilizzare il modello ACN quale parametro di riferimento per la corretta categorizzazione delle attività e dei servizi comunicati tramite la piattaforma digitale.
Le categorie di rilevanza nella categorizzazione: impatto alto, medio, basso e minimo
La Determinazione ACN n. 155238 del 20 aprile 2026 individua quattro categorie di rilevanza, denominate impatto alto, impatto medio, impatto basso e impatto minimo. In tali categorie il soggetto NIS dovrà qualificare ciascuna attività e ciascun servizio oggetto di comunicazione, valutando l’incidenza che una possibile compromissione potrebbe avere sulla capacità dell’organizzazione di svolgere correttamente le attività e i servizi rilevanti ai fini del decreto NIS.
Il modello ACN assegna alle macro-aree una categoria di rilevanza predefinita, ma il soggetto NIS resta chiamato a verificare se, nel proprio specifico contesto organizzativo, la compromissione di una determinata attività o di un determinato servizio possa produrre effetti più gravi o meno gravi rispetto alla classificazione ordinaria. Proprio per questa ragione, la Determina consente di indicare una categoria diversa da quella pre-assegnata, purché tale scelta sia sorretta da una valutazione interna e dalla conservazione della relativa documentazione.
I modelli di categorizzazione allegati alla Determina: le dieci macro-aree
Il modello dell’Agenzia si fonda sull’individuazione di dieci macro-aree, destinate a costituire la “griglia” attraverso la quale i soggetti NIS dovranno rappresentare le attività svolte e i servizi erogati.
Gli Allegati 1 e 2 contemplano, in particolare, le macro-aree del monitoraggio e controllo, della produzione di beni e servizi, della ricerca, sviluppo e progettazione, della gestione finanziaria, della gestione dei clienti, della gestione delle risorse umane, della logistica, della comunicazione e marketing, della gestione amministrativa e, in via residuale, degli altri servizi e attività.
Emerge ictu oculi come la categorizzazione non riguardi soltanto le componenti strettamente tecniche o informatiche, ma investe l’intero assetto operativo del soggetto NIS, includendo anche attività interne, servizi di supporto, funzioni amministrative, rapporti con i clienti, gestione dei fornitori e processi organizzativi trasversali.
Particolare rilievo assume la macro-area “monitoraggio e controllo”, alla quale entrambi gli allegati attribuiscono la categoria di impatto alto. Essa comprende le attività e i servizi finalizzati al supporto degli organi di amministrazione e direttivi, all’orchestrazione e al coordinamento della sicurezza informatica e fisica, alla continuità operativa, al controllo di qualità e al controllo di conformità, anche in relazione ai fornitori.
Le macro-aree relative alla produzione di beni e servizi e alla ricerca, sviluppo e progettazione sono invece pre-classificate a impatto medio, mentre la gestione finanziaria, la gestione dei clienti e la gestione delle risorse umane sono collocate nell’area dell’impatto basso. Comunicazione e marketing, gestione amministrativa e altri servizi e attività sono ricondotti all’impatto minimo.
Il processo operativo sulla piattaforma digitale ACN
Sul piano procedimentale, la Determinazione ACN del 20 aprile 2026 stabilisce che i soggetti NIS provvedano all’elencazione e alla categorizzazione delle attività e dei servizi tramite la piattaforma digitale di cui all’art. 7, comma 1, del D. Lgs. 138/2024.
L’adempimento deve essere svolto secondo le modalità stabilite dalla Determinazione adottata ai sensi dell’art. 40, comma 5, lett. b), e si colloca nella finestra temporale annuale prevista dall’art. 30, vale a dire tra il 1° maggio e il 30 giugno di ciascun anno.
La comunicazione tramite il Portale deve riguardare tutte le attività svolte e tutti i servizi erogati dal soggetto NIS, sia internamente sia esternamente. Devono essere considerate anche le attività interne che concorrono al funzionamento dell’organizzazione e che, in caso di compromissione, potrebbero incidere sulla capacità del soggetto di assicurare la continuità e la correttezza delle attività e dei servizi NIS.
Per ciascuna attività o servizio, il soggetto deve indicare la macro-area corrispondente, la denominazione e la descrizione dell’attività o del servizio, nonché la relativa categoria di rilevanza. La compilazione richiede, pertanto, una previa attività di mappatura organizzativa, idonea a ricostruire i processi effettivamente svolti, le dipendenze operative, le funzioni di supporto, le interazioni con i fornitori e le aree suscettibili di incidere sulla continuità aziendale o istituzionale. La Determina precisa, inoltre, che il soggetto NIS non è tenuto a indicare attività o servizi per una o più macro-aree qualora non svolga attività e non eroghi servizi riconducibili alle stesse.
È riconosciuta la possibilità ai soggetti NIS di attribuire a una determinata attività o a un determinato servizio una categoria di rilevanza diversa da quella pre-assegnata alla macro-area di riferimento. Tale facoltà consente di evitare che il modello di categorizzazione operi in modo rigido o meramente tabellare, valorizzando invece la concreta realtà organizzativa del soggetto obbligato e l’effettivo impatto che la compromissione di un’attività o di un servizio potrebbe produrre sulla continuità delle attività e dei servizi NIS.
In termini operativi, la documentazione dovrebbe quindi dare conto dei criteri utilizzati, delle funzioni coinvolte, delle dipendenze organizzative e tecnologiche considerate, nonché degli effetti prevedibili in caso di compromissione.
La procedura di valutazione e il riscontro di ACN
L’art. 30 del D. Lgs. 138/2024 disciplina anche la successiva fase di verifica da parte dell’Autorità nazionale competente NIS. Entro novanta giorni dalla comunicazione effettuata tramite la piattaforma digitale, l’ACN fornisce riscontro ai soggetti essenziali e importanti circa la conformità di quanto comunicato rispetto alle modalità e ai criteri stabiliti ai sensi del comma 2. Tale termine può essere prorogato, per una sola volta, fino a un massimo di ulteriori sessanta giorni, qualora sia necessario svolgere approfondimenti.
La disciplina prevede altresì che, ove l’Autorità richieda integrazioni o informazioni aggiuntive, i termini siano interrotti sino alla data di ricevimento delle stesse. Le integrazioni devono essere rese dal soggetto NIS entro il termine di trenta giorni dalla richiesta.
Particolarmente rilevante è poi la previsione secondo cui, in assenza del riscontro dell’ACN entro i termini previsti, la conformità della comunicazione si intende convalidata.
La Determinazione ACN introduce, infine, due importanti clausole di coordinamento. I soggetti NIS che hanno già svolto la classificazione dei dati e dei servizi ai sensi del Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024 applicano quel modello ai fini dell’elencazione e della categorizzazione, in luogo del modello previsto dalla Determina.
Inoltre, alle attività e ai servizi soggetti agli obblighi del perimetro di sicurezza nazionale cibernetica è attribuita direttamente la categoria di impatto alto, con esclusione dall’ordinario processo di cui all’art. 3 della Determinazione.
Assistenza nella categorizzazione di attività e servizi per soggetti NIS 2
Nel periodo compreso tra il 1° maggio e il 30 giugno di ogni anno si apre una finestra temporale, in cui i soggetti NIS dovranno “mappare” le proprie attività e servizi. Il corretto adempimento dei dettami dell’art. 30 D. Lgs. 138/2024 richiede un approccio integrato tra comprensione dei processi aziendali e valutazione dei profili tecnico-organizzativi.
Il nostro Studio assiste imprese e destinatari della disciplina nell’interpretazione degli obblighi derivanti dal D. Lgs. 138/2024, nella predisposizione della documentazione interna, nella mappatura dei processi e nella definizione di percorsi di compliance in materia di cybersecurity e NIS 2.
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.