INFORMATION TECHNOLOGY
Agenzia Nazionale per la Cybersicurezza: entro il 30 giugno 2026 va trasmesso l’elenco delle attività e dei servizi svolti, con la relativa classificazione.
Con la determinazione ACN n. 155238/2026 richiede alle imprese di classificare le proprie attività e i propri servizi l’Agenzia per la Cybersicurezza Nazionale ha definito il modello per l’elencazione e la categorizzazione delle attività e dei servizi dei soggetti rientranti nel perimetro NIS. Si tratta di un adempimento rilevante perché consente di collegare ciascuna attività aziendale al relativo livello di criticità e, in prospettiva, di graduare le misure di sicurezza informatica in modo coerente con il rischio effettivo.
Il modello richiede anzitutto ai soggetti NIS di individuare le attività e i servizi aziendali supportati, svolti o erogati tramite sistemi informatici. Successivamente, ciascuna attività o servizio deve essere ricondotto a una delle macro-aree previste da ACN, che coprono i principali ambiti organizzativi, tra cui monitoraggio e controllo, produzione di beni e servizi, gestione finanziaria, risorse umane, logistica, comunicazione e marketing, ricerca e sviluppo, gestione clienti, attività amministrative e ulteriori servizi non riconducibili alle altre categorie.
A ogni macro-area è associata una categoria di rilevanza predefinita, basata sull’impatto che una compromissione dell’attività o del servizio potrebbe avere sulla capacità del soggetto di svolgere correttamente le proprie attività e i propri servizi NIS. Le categorie previste sono quattro: minimo, basso, medio e alto.
La classificazione non deve però essere trattata come un automatismo. Il soggetto NIS deve verificare se il livello di rilevanza preassegnato sia effettivamente coerente con il proprio contesto organizzativo e operativo. Quando il livello predefinito non rispecchia l’impatto concreto che un’interruzione, un malfunzionamento o una compromissione potrebbe produrre sull’organizzazione, l’impresa può discostarsene, a condizione di motivare e documentare la scelta.
Questo passaggio è particolarmente importante perché la categorizzazione non ha solo una funzione descrittiva. Essa rappresenta la base per orientare le successive misure di cybersecurity, consentendo di concentrare gli investimenti e i presidi tecnici sulle attività più critiche ed evitando interventi sproporzionati su processi a minore impatto.
Il modello ACN conferma inoltre che la sicurezza informatica non è una responsabilità esclusivamente tecnica o IT. La classificazione delle attività e dei servizi richiede il coinvolgimento delle funzioni aziendali, della direzione e degli organi di amministrazione, perché riguarda la continuità e l’affidabilità dei processi essenziali dell’organizzazione.
La scadenza è ravvicinata: i soggetti NIS devono trasmettere tramite la piattaforma ACN, entro il 30 giugno 2026, l’elenco delle attività e dei servizi con la relativa classificazione. Si tratta di un adempimento che precede l’adozione delle misure di sicurezza di base, attese entro ottobre 2026, e che sarà utile anche per l’applicazione dei futuri obblighi più avanzati e differenziati.
Per le organizzazioni interessate, è quindi opportuno procedere con una ricognizione interna delle attività dipendenti da sistemi informatici, verificare il corretto inquadramento nelle macro-aree ACN, valutare la coerenza delle categorie di rilevanza preassegnate e conservare evidenza delle analisi svolte. La categorizzazione, se impostata correttamente, può diventare non solo un obbligo regolatorio, ma anche uno strumento utile per definire priorità, allocare budget e rafforzare la governance cyber.