30/04/2026

NEWS N° 718 APRILE 2026 – NIS 2 – CATEGORIZZAZIONE AZIENDE SUL PORTALE ACN  

Per informazioni rivolgersi a: Ing. Paolo Corradini (paolocorradini@atseco.it)
Reggio Emilia, 30/04/2026

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato la Determinazione n. 155238/2026 e Linee Guida NIS che descrivono un “Modello di Categorizzazione” delle attività e dei servizi per tutti i soggetti NIS2 (essenziali e importanti).
Le imprese dal 1° maggio al 30 giugno di ogni anno, devono comunicare ad ACN, e successivamente aggiornare, tramite la piattaforma digitale, un elenco delle proprie attività o dei propri servizi unitamente a tutti gli elementi necessari per la loro categorizzazione e attribuzione della categoria di rilevanza.

Modello di categorizzazione di ACN
I destinatari del presente documento sono i soggetti NIS essenziali e importanti che, per adottare il modello di categorizzazione elaborato dall’Agenzia (sulla base dell’ art. 30 comma 2 e 40 del D.Lgs. n. 138/2024), devono adottare un processo articolato nelle seguenti fasi:

  1. identificazione delle attività/servizi: sono individuati tutti i servizi e le attività dell’organizzazione;
  2. mappatura delle attività/servizi in macro-aree: le attività e i servizi individuati sono associati alle macro-aree definite dal modello di categorizzazione;
  3. attribuzione di una categoria di rilevanza per ogni attività/servizio individuato è assegnata una specifica categoria di rilevanza.

Struttura e fasi operative
La categorizzazione è suddivisa in specifiche fasi che hanno un perimetro, una metodologia di riferimento e producono un output che alimenta la fase successiva (vedi FAQ sezione Categorizzazione da CAT. 1 a CAT.9).

Individuazione 
Il primo passo consiste nell’identificare tutte le attività svolte e i servizi erogati, sia internamente che verso terzi, che rientrano nel perimetro NIS del soggetto.
Secondo le Linee Guida NIS che descrivono un “Modello di Categorizzazione”, non è richiesto l’uso di una metodologia specifica: ogni impresa può avvalersi di quella più adatta al proprio contesto ad esempio sulla base di analisi dei processi organizzativi già disponibili, di valutazioni del rischio preesistenti, di Business Impact Analysis (BIA) già condotte oppure di mappature effettuate per altri regimi normativi (es. DORA, GDPR, Regolamento Cloud ACN).
Nell’individuazione delle attività e dei servizi, non è richiesto uno specifico livello di dettaglio che è determinato dal soggetto NIS; secondo ACN è opportuno “individuare attività e servizi sufficientemente unitari ai fini dell’attribuzione della categoria di rilevanza”. L’impresa deve procedere a una progressiva “scomposizione delle attività e dei servizi“, sino a individuare elementi caratterizzati da una categoria rilevanza omogenea, evitando al contempo un’eccessiva frammentazione, laddove ulteriori livelli di dettaglio non comportino differenze in termini di categoria di rilevanza ma solo un aumento della complessità non necessario. Ad esempio qualora il soggetto NIS della macro-area “Produzione di beni e servizi” ritenga che l’insieme di attività e servizi corrispondenti a tale macro-area siano raggruppabili in due categorie di rilevanza, potranno essere indicate due attività o servizi. Il soggetto potrebbe prevedere ulteriori livelli di dettaglio per quelle attività/servizi senza tuttavia necessità che siano comunicati.

Mappatura in macro-aree
Il secondo passo è costituito dalla mappatura delle attività/servizi in macro-aree. La mappatura consiste nel ricondurre le attività e i servizi dell’impresa individuati ad una o più delle dieci macro-aree che meglio ne rappresenta le finalità e le caratteristiche, secondo la Determina n. 155238/2026.
Ogni macro-area rappresenta un insieme omogeneo e astratto tipizzato da ACN e a ciascuna è pre-assegnata una categoria di rilevanza. Ad esempio, Macro-area – Risorse umane e formazione, Contenuto tipico – formazione cyber, consapevolezza, gestione dei ruoli e delle autorizzazioni del personale. Categoria pre-assegnata (es.) – Basso / Medio.
La mappatura è fondamentale perché costituisce il punto di partenza per l’attribuzione della categoria di rilevanza: la pre-assegnazione della macro-area rappresenta il valore di default che il soggetto NIS può confermare o, eventualmente, modificare nella fase successiva, motivando la scelta con apposita documentazione.

Attribuzione categoria di rilevanza
Per ogni attività o servizio individuato, il soggetto NIS deve attribuire una delle quattro categorie di rilevanza previste dal modello (Alto, Medio, Basso o Minimo).
ACN attribuisce una categoria pre-assegnata alla macro-area di appartenenza dell’attività o del servizio. Il soggetto può, tuttavia, indicare una categoria differente, in esito a una valutazione dell’impatto di una possibile compromissione sulla capacità di svolgere correttamente le proprie attività e i propri servizi NIS. È importante sottolineare che una stessa macro-area può contenere attività e servizi con categorie di rilevanza diverse, qualora l’analisi di impatto produca esiti differenziati all’interno della medesima macro-area.
La valutazione si può basare su una Business Impact Analysis (BIA) semplificata che considera le tre dimensioni fondamentali della sicurezza informatica: riservatezza, integrità e disponibilità. Questa analisi non è obbligatoria come procedura formale per l’intera elencazione, ma può rappresentare un riferimento metodologico nel momento in cui si intende modificare la categoria pre-assegnata.

La categorizzazione come valutazione “strategica”
Completata la categorizzazione, l’elenco deve essere trasmesso tramite il “Servizio NIS/Categorizzazione” del Portale ACN entro il 30 giugno 2026. Trascorso tale termine, l’elenco si intende definitivamente acquisito e non più modificabile.
La categorizzazione non è un adempimento esclusivamente formale da esaurire entro il 30 giugno ma è il presupposto su cui ACN modulerà le future misure di sicurezza “a lungo termine”, che si affiancheranno alle misure di base (Determina ACN n. 379907/2025) a partire dalla fine del 2026 e saranno differenziate per categoria di rilevanza. Una analisi sottostimata espone il soggetto a future misure inadeguate o, al contrario, a contestazioni in sede ispettiva.

ATS-Consulenti Associati srl è in grado di fornire supporto per:

  • Verifica dell’inclusione tra i soggetti NIS
  • Supporto completo nell’aggiornamento annuale sulla piattaforma ACN
  • Implementazione tecnica del Framework Nazionale per la Cybersecurity (FNCS 2025)
  • Consulenza sulla compliance e gestione degli incidenti
  • Formazione personalizzata per organi direttivi e personale operativo