Con la Determina ACN del 13 aprile 2026 (la “Determina“), adottata ai sensi dell’articolo 30, comma 2, del decreto legislativo 4 settembre 2024, n. 138 (c.d. decreto NIS), è stato introdotto per i soggetti essenziali e i soggetti importanti l’obbligo di elencazione, caratterizzazione e categorizzazione delle proprie attività e dei propri servizi.
L’obiettivo della categorizzazione è quello di permettere ad ACN di determinare le misure di sicurezza aggiuntive che dovranno essere applicate dai soggetti NIS2 a seconda dei servizi eventualmente resi. In aggiunta alle c.d. misure di sicurezza di base, ACN indicherà quindi ulteriori misure di sicurezza c.d. “a lungo termine” che, progressivamente, le società dovranno adottare sui servizi informativi e di rete a seconda delle categorie di rilevanza delle attività effettuate.
I modelli di categorizzazione indicati da ACN e le categorie di rilevanza
La Determina adotta due distinti modelli di categorizzazione, entrambi articolati in dieci macroaree omogenee – sviluppate con l’obiettivo di coprire tutti gli ambiti di un’organizzazione – alle quali è preassegnata una categoria di rilevanza, volta a misurare l’impatto di una possibile compromissione di quell’attività o di quel servizio sulla capacità del soggetto di svolgere correttamente le proprie attività e servizi.
Il modello di categorizzazione di cui all’allegato 1 alla Determina, si applica quindi ai soggetti riconducibili ai settori quali energia, trasporti, sanità, PA ed acque (reflue e potabili), ai servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione alimentare, trasformazione e distribuzione, fabbricazione di dispositivi medici e dispositivi medico-diagnostici in vitro nonché ai fornitori di servizi di gestione ICT. Il modello di categorizzazione di cui all’allegato 2 alla Determina invece si applica ai rimanenti soggetti NIS, quali cloud provider, data center, marketplace online.
Quali sono però queste macroaree? ACN ne identifica 10: (1) Monitoraggio e controllo, (2) Produzione di beni e servizi, (3) Ricerca, sviluppo e progettazione, (4) Gestione finanziaria, (5) Gestione dei clienti, (6) Gestione delle risorse umane, (7) Logistica, (8) Comunicazione e marketing, (9) Gestione amministrativa e (10) Altri servizi e attività.
È interessante come notare come le macroaree descritte siano sostanzialmente identiche in entrambi i modelli di categorizzazione di cui all’allegato 1 e 2 con una unica differenza rispetto all’area logistica che, nelle logiche di ACN, ha un impatto leggermente maggiore per i soggetti di cui all’allegato 1.
Per ciascuna macroarea è poi identificata una possibile categoria di rilevanza. La Determina ne prevede quattro:
- impatto alto,
- impatto medio,
- impatto basso e
- impatto minimo.
La scala riflette l’incidenza che una compromissione del servizio avrebbe sull’operatività complessiva del soggetto NIS fermo restando che tale categoria può essere liberamente modificata sulla base dell’assessment della società in considerazione della propria concreta operatività.
Questo comporta tuttavia una analisi attenta da parte delle società nel perimetro che si trovano non solo a catalogare la totalità dei propri servizi ma anche a dover stabilire, per ciascuno degli stessi, l’impatto sulla propria operatività dovendo registrare – in una ottica di compliance – eventuali deviazioni dalle categorie di rilevanza preassegnate da ACN.
Se infatti è legittimo che le società si discostino da tale modello in considerazione della propria operatività è altrettanto probabile che l’Autorità chieda prova di tali valutazioni in sede di controllo della conformità alle disposizioni NIS2.
Cosa devono fare le società
Alla luce degli obblighi sopra descritti, i soggetti NIS sono quindi tenuti a elencare e categorizzare tutte le attività svolte e i servizi erogati, sia internamente che esternamente, suddividendoli nelle macroaree del modello applicabile. Per ciascuna attività o servizio, la Determina richiede di indicare:
- la macroarea corrispondente;
- la denominazione e la descrizione dell’attività o del servizio;
- la categoria di rilevanza attribuita.
Ai fini dell’individuazione delle attività e dei servizi, non è richiesto l’uso di una specifica metodologia, cosicché ogni entità è libera di utilizzare quella maggiormente adatta al proprio contesto. Rimane però un impegno significativo per le società che non solo devono mappare la totalità dei propri servizi ma anche effettuare una valutazione di rischio concreto per determinare poi la categoria di rilevanza applicabile.
La categorizzazione deve essere completata e trasmessa ad ACN tramite il Portale entro il 30 giugno di ciascun anno. Per il 2026, si tratta della prima applicazione dell’obbligo, il che rende particolarmente importante avviare il processo quanto prima.
Infine, va tenuto presente che la categorizzazione non è un esercizio a sé stante: essa è il presupposto per la corretta applicazione delle misure di sicurezza informatica e organizzativa previste dal decreto NIS, e sarà pertanto oggetto di verifica da parte dell’Autorità nelle attività di supervisione e controllo.
Autrice: Giulia Zappaterra
About the Author: Giulia Zappaterra
