Tra le numerose scadenze introdotte dal decreto legislativo 4 settembre 2024, n. 138, di recepimento della Direttiva (UE) 2022/2555 (NIS2), quella del 30 giugno 2026 rischia di essere fraintesa. Molti soggetti essenziali e importanti la stanno affrontando come l’ennesimo adempimento amministrativo da completare sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale. In realtà, la comunicazione dell’elenco delle attività e dei servizi, comprensivo della loro caratterizzazione e categorizzazione, costituisce uno dei passaggi più significativi dell’intero percorso di conformità.
L’obbligo trova fondamento nell’articolo 30 del decreto NIS e ha trovato concreta attuazione attraverso la Determinazione ACN n. 155238 del 20 aprile 2026, che ha definito il modello di categorizzazione, e nella Determinazione n. 127437/2026, che disciplina modalità e termini di trasmissione. Dal 1° maggio al 30 giugno di ogni anno, i soggetti NIS sono chiamati a trasmettere, attraverso la piattaforma ACN, l’elenco delle proprie attività e dei propri servizi, attribuendo a ciascuno una categoria di rilevanza sulla base del modello predisposto dall’Autorità.
A una lettura superficiale potrebbe sembrare una mera classificazione amministrativa. In realtà, è qualcosa di molto diverso. Per la prima volta il legislatore non domanda alle organizzazioni quali tecnologie utilizzino o quali misure di sicurezza abbiano implementato, ma chiede loro di spiegare quali siano le attività realmente essenziali per il proprio funzionamento e quale impatto deriverebbe da una loro compromissione. È un esercizio di consapevolezza organizzativa prima ancora che di compliance normativa. In tema abbiamo pubblicato il Master in Cybersecurity e compliance integrata – NIS2, GDPR, DORA, AI Act e CRA: le interazioni e gli obblighi per imprese e pubbliche amministrazioni. Abbiamo anche pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon
Indice
- 1. L’attenzione si sposta dai sistemi informativi alle attività dell’organizzazione
- 2. La categorizzazione è una vera analisi di impatto
- 3. Non è un compito da delegare esclusivamente all’IT
- 4. Le categorie di rilevanza non sono etichette formali
- 5. La categorizzazione rappresenta la fotografia ufficiale dell’organizzazione
- 6. La compliance non si costruisce compilando un modulo
- 7. Gli errori più frequenti
- 8. Conclusioni
- Formazione per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. L’attenzione si sposta dai sistemi informativi alle attività dell’organizzazione
Uno degli aspetti più interessanti della Determinazione ACN è ciò che sceglie di non chiedere.
Il modello di categorizzazione non parte dall’inventario degli asset tecnologici, dai server, dalle reti o dagli applicativi. Parte invece dalle attività e dai servizi che l’organizzazione svolge. Le dieci macro-aree individuate dall’Autorità rappresentano infatti un modo uniforme di descrivere il funzionamento di qualsiasi soggetto NIS, indipendentemente dal settore di appartenenza. Produzione di beni e servizi, monitoraggio e controllo, ricerca e sviluppo, gestione finanziaria, gestione dei clienti, risorse umane, logistica, comunicazione, amministrazione e una categoria residuale consentono di rappresentare l’organizzazione nella sua dimensione operativa, non semplicemente tecnologica.
Questa scelta non è casuale.
La sicurezza informatica non viene più considerata come una disciplina confinata all’interno del dipartimento IT, ma come uno strumento al servizio della continuità delle attività aziendali. Un ransomware, un’interruzione dei sistemi, una compromissione della supply chain o un attacco ai servizi cloud non assumono rilievo perché colpiscono un’infrastruttura tecnologica, ma perché impediscono all’organizzazione di continuare a svolgere le proprie funzioni essenziali.
L’oggetto della tutela, quindi, non è il server. È il servizio che quel server rende possibile. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. La categorizzazione è una vera analisi di impatto
L’ACN definisce espressamente il processo come un’analisi di impatto semplificata, armonizzata e condivisa. Non è un’espressione di poco conto.
Ciò significa che ogni organizzazione è chiamata a valutare quale sarebbe l’effetto di una compromissione delle proprie attività sulla capacità di continuare a erogare i servizi per i quali rientra nell’ambito di applicazione della disciplina NIS. Non viene richiesto di effettuare una complessa Business Impact Analysis secondo gli standard internazionali, ma la logica è sostanzialmente la medesima: identificare ciò che conta davvero e misurarne la criticità.
È probabilmente questa la vera novità introdotta dall’articolo 30 del decreto.
Per anni strumenti come la Business Impact Analysis sono rimasti patrimonio quasi esclusivo dei professionisti della continuità operativa e della gestione del rischio. Oggi quella logica entra, seppure in forma semplificata, all’interno di un obbligo giuridico.
Le organizzazioni devono quindi rispondere a domande molto concrete.
Quali attività non possono interrompersi? Quali servizi sono indispensabili? Quali processi sostengono realmente il business? Quali funzioni, se compromesse, produrrebbero effetti significativi sugli utenti, sui cittadini, sulla filiera o sulla continuità operativa?
Sono interrogativi che nessun responsabile IT può affrontare da solo.
3. Non è un compito da delegare esclusivamente all’IT
Uno dei rischi più frequenti che si osservano nella pratica consiste nell’affidare integralmente la categorizzazione al reparto informatico o al fornitore tecnologico.
È una scelta comprensibile, ma errata.
Il responsabile dei sistemi informativi conosce perfettamente le infrastrutture tecnologiche. Non necessariamente conosce, però, il peso strategico delle attività aziendali, le priorità del management, gli obblighi regolatori, gli impatti economici derivanti dall’interruzione di un servizio o le conseguenze reputazionali di un incidente.
La categorizzazione richiede invece il coinvolgimento di tutte le principali funzioni aziendali: direzione generale, operation, compliance, risk management, sicurezza informatica, responsabili di business e, ove presente, funzione legale.
Non è un documento informatico. È un documento di governance.
Ed è probabilmente il primo documento NIS che costringe realmente l’organizzazione a ragionare in modo interdisciplinare.
4. Le categorie di rilevanza non sono etichette formali
Il modello predisposto dall’ACN assegna a ciascuna macro-area una categoria di rilevanza predefinita, distinguendo quattro livelli di impatto: minimo, basso, medio e alto.
La presenza di una categoria già attribuita potrebbe indurre a ritenere che il lavoro dell’organizzazione consista semplicemente nel confermare quanto proposto dal modello.
Non è così.
La Determinazione consente infatti di attribuire una categoria diversa rispetto a quella preassegnata, purché tale scelta sia il risultato di una valutazione motivata e adeguatamente documentata.
Questa previsione è particolarmente significativa perché introduce un principio ormai ricorrente nella normativa europea sulla cybersicurezza: l’Autorità definisce una metodologia comune, ma lascia all’organizzazione la responsabilità delle proprie valutazioni, pretendendo tuttavia che esse siano dimostrabili e sostenibili in sede ispettiva.
Non basta quindi attribuire una categoria, occorre poter spiegare perché quella categoria sia stata scelta.
5. La categorizzazione rappresenta la fotografia ufficiale dell’organizzazione
Un altro errore consiste nel considerare l’adempimento come un’attività destinata esclusivamente a soddisfare una richiesta dell’Autorità.
In realtà il documento trasmesso all’ACN diventa la rappresentazione ufficiale dell’organizzazione sotto il profilo delle proprie attività rilevanti.
Sarà su questa rappresentazione che l’Autorità potrà successivamente costruire le proprie valutazioni, verificare la proporzionalità delle misure di sicurezza adottate, comprendere il livello di esposizione dell’organizzazione e orientare le attività di vigilanza.
Per questa ragione la qualità della categorizzazione assume un’importanza ben superiore rispetto a quella normalmente attribuita agli adempimenti amministrativi.
Una categorizzazione superficiale non produce soltanto un documento poco accurato.
Produce una rappresentazione distorta dell’organizzazione.
6. La compliance non si costruisce compilando un modulo
Vi è poi un ulteriore aspetto che merita attenzione.
La disciplina NIS2 è spesso raccontata attraverso una successione di scadenze: registrazione, aggiornamento dei dati, categorizzazione, misure di sicurezza, notifica degli incidenti.
È un’impostazione utile dal punto di vista operativo, ma rischia di nascondere la logica complessiva del sistema.
Gli adempimenti non sono indipendenti l’uno dall’altro.
La categorizzazione costituisce infatti il punto di partenza sul quale verranno costruite le successive misure organizzative e tecniche, le valutazioni sulla supply chain, la gestione dei rischi e, più in generale, l’intero sistema di sicurezza richiesto dalla normativa. La stessa ACN chiarisce che la categorizzazione costituisce il presupposto per la successiva applicazione degli obblighi previsti dal decreto NIS.
In altre parole, ciò che oggi viene comunicato alla piattaforma ACN continuerà a produrre effetti ben oltre la scadenza del 30 giugno.
7. Gli errori più frequenti
L’esperienza maturata in questi mesi consente già di individuare alcuni errori ricorrenti.
Il primo consiste nel descrivere esclusivamente gli strumenti tecnologici anziché le attività che essi supportano.
Il secondo è quello di attribuire automaticamente le categorie predefinite senza interrogarsi sulla reale criticità dei processi aziendali.
Il terzo riguarda il coinvolgimento limitato dell’area IT, con l’assenza di un confronto con il management e con le funzioni operative.
Infine, uno degli aspetti più sottovalutati riguarda la documentazione delle valutazioni effettuate. Qualora l’organizzazione decida di discostarsi dalle categorie suggerite dal modello ACN, sarà essenziale conservare le motivazioni e gli elementi che hanno condotto a tale decisione, affinché possano essere esibiti in caso di controlli.
8. Conclusioni
La tentazione, come spesso accade quando si avvicina una scadenza normativa, è quella di concentrarsi esclusivamente sull’adempimento. Verificare che il caricamento sulla piattaforma ACN sia andato a buon fine, controllare di aver compilato tutti i campi richiesti e archiviare la pratica in attesa del successivo obbligo. Sarebbe però una lettura miope.
La categorizzazione prevista dall’articolo 30 del decreto NIS non è stata introdotta per raccogliere dati statistici né per aumentare il carico amministrativo delle organizzazioni. La sua funzione è molto più ambiziosa: costringere imprese e pubbliche amministrazioni a compiere un esercizio che, fino a oggi, molte non avevano mai affrontato con metodo, ossia individuare ciò che è davvero essenziale per la propria esistenza e comprendere quali conseguenze deriverebbero dalla sua compromissione.
È significativo che il legislatore non abbia chiesto di descrivere firewall, server, reti o software. Ha chiesto di descrivere attività e servizi. La differenza non è terminologica. Significa riconoscere che la cybersicurezza non tutela la tecnologia in quanto tale, ma la capacità dell’organizzazione di continuare a svolgere la propria funzione economica o istituzionale. I sistemi informativi sono importanti perché sostengono il business, non il contrario.
Da questo punto di vista, il 30 giugno rappresenta molto più di una scadenza. È il momento in cui la cybersicurezza esce definitivamente dai confini dell’area IT e diventa una responsabilità del vertice aziendale. Le decisioni assunte oggi nella categorizzazione influenzeranno il modo in cui saranno progettate le misure di sicurezza, valutati i fornitori, gestiti gli incidenti e, più in generale, interpretato il rischio all’interno dell’organizzazione.
In fondo, è questa la vera novità della NIS2. La direttiva non pretende semplicemente che le organizzazioni siano più sicure. Pretende che sappiano spiegare perché proteggono determinate attività, quali conseguenze deriverebbero dalla loro interruzione e quali scelte hanno compiuto per governare quel rischio. È un approccio che sposta l’attenzione dalla conformità documentale alla responsabilità decisionale.
Ed è probabilmente questa la trasformazione più importante introdotta dalla disciplina europea: ricordare che la governance non coincide con l’insieme delle regole da rispettare, ma con la capacità di assumere decisioni consapevoli, documentarle e risponderne. Se la categorizzazione sarà affrontata con questo spirito, il 30 giugno non sarà ricordato come il giorno in cui è stato trasmesso un file all’ACN, ma come il momento in cui molte organizzazioni hanno iniziato, finalmente, a conoscere davvero se stesse.
Formazione per professionisti
Master in Cybersecurity e compliance integrata – NIS2, GDPR, DORA, AI Act e CRA: le interazioni e gli obblighi per imprese e pubbliche amministrazioni
Il Master, giunto alla III edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il regolamento AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento