Agenzia Nazionale per la Cybersicurezza – ACN: NIS 2, pubblicate le modalità per l’elencazione e la categorizzazione delle attività e dei servizi.

In tema di adempimenti discendenti dal quadro normativo NIS 2, l’ACN ha reso disponibile la determinazione relativa al processo, modalità e criteri per l'elencazione e la categorizzazione delle attività e dei servizi di cui all’articolo 30 del decreto NIS.

 
La finalità perseguita attraverso l’elencazione e la categorizzazione è quella di aggregare attività e servizi in funzione della categoria di rilevanza previste dal modello di categorizzazione, presupposto per l’identificazione delle porzioni di sistemi informativi e di rete su cui è necessario procedere ad una mitigazione del rischio più incisiva e mirata, una volta completato il percorso di adeguamento alle “misure di sicurezza di base”, integrandovi ulteriori requisiti con le cosiddette “misure di sicurezza a lungo termine”  che saranno stabilite da ACN nel pieno rispetto dei principi di proporzionalità e gradualità.

 
Con la determinazione 155238 del 20 aprile 2026, attraverso l’allegato 1 e l'allegato 2, sono identificate dieci macro-aree per organizzare le attività e servizi dell’organizzazione, a cui dovrà essere attribuita una delle quattro categoria di rilevanza (“impatto minimo”, “impatto basso”, “impatto medio” e “impatto alto”).
 
Gli esiti di questa analisi di impatto semplificata, armonizzata e condivisa, dovranno essere comunicati all’Autorità nazionale competente NIS tramite la piattaforma ACN, dal primo maggio al 30 giugno, secondo la procedura stabilita dalla determinazione 127437/2026 (articoli 20 e 21)