È stata pubblicata sul sito istituzionale dell’Agenzia per la cybersicurezza nazionale la nuova determinazione che disciplina processo, modalità e criteri per l’elencazione e la categorizzazione delle attività e dei servizi ai sensi dell’articolo 30 del decreto Direttiva NIS. Il provvedimento si inserisce nel quadro degli aggiornamenti recentemente comunicati dal Tavolo NIS, in particolare per quanto riguarda le scadenze degli adempimenti per i nuovi soggetti e l’introduzione dell’indicazione dei fornitori rilevanti.
Obiettivo: rafforzare la gestione del rischio
La finalità della misura è strutturare in modo uniforme e condiviso la classificazione delle attività e dei servizi svolti dalle organizzazioni soggette alla normativa. Questo processo consentirà di aggregare tali elementi in base al loro livello di rilevanza, creando un presupposto operativo fondamentale per individuare le porzioni dei sistemi informativi e di rete che richiedono interventi di mitigazione del rischio più mirati e incisivi.
Una volta completato l’adeguamento alle cosiddette “misure di sicurezza di base”, le organizzazioni dovranno integrare ulteriori requisiti attraverso le future “misure di sicurezza a lungo termine”, che saranno definite da ACN nel rispetto dei principi di proporzionalità e gradualità.
Dieci macro-aree e quattro livelli di impatto
Con la determinazione n. 155238 del 20 aprile 2026, l’Agenzia ha introdotto – attraverso gli allegati 1 e 2 – un modello organizzativo basato su dieci macro-aree, entro le quali classificare attività e servizi. A ciascun elemento dovrà essere attribuita una delle quattro categorie di rilevanza previste:
- impatto minimo
- impatto basso
- impatto medio
- impatto alto
Questa classificazione rappresenta il cuore dell’analisi di impatto, concepita per essere semplificata, armonizzata e coerente tra i diversi soggetti coinvolti.
Scadenze operative
Gli esiti dell’analisi dovranno essere trasmessi all’Autorità nazionale competente NIS tramite la piattaforma ACN. La finestra temporale per l’invio è fissata dal 1° maggio al 30 giugno 2026, secondo quanto previsto dalla determinazione n. 127437/2026, in particolare agli articoli 20 e 21.
Un passaggio chiave per la maturità cyber
Il nuovo impianto normativo rappresenta un ulteriore passo verso una gestione più strutturata e consapevole del rischio cyber a livello nazionale. La categorizzazione delle attività non è solo un adempimento formale, ma uno strumento strategico per indirizzare investimenti, priorità e controlli di sicurezza in modo più efficace.