Conformità NIS2: entro il 30 giugno devi trasmettere ad ACN l’elenco categorizzato delle attività e dei servizi

Giugno 2026: l'adempimento che non puoi rimandare

Se la tua organizzazione rientra nell'ambito di applicazione della NIS2,  la normativa europea sulla cybersicurezza, c'è un adempimento attivo in questo momento che non puoi ignorare. 

Nel periodo compreso tra il 1° maggio e il 30 giugno di ogni anno, a partire dal 2026, i soggetti essenziali e importanti inclusi nel perimetro NIS e destinatari della comunicazione ACN devono aggiornare e trasmettere tramite piattaforma digitale l’elenco delle attività e dei servizi. 

Non è un questionario generico, è un obbligo di legge con conseguenze concrete. L’elenco categorizzato costituisce uno degli elementi rilevanti ai fini dell’applicazione progressiva e proporzionata degli obblighi di sicurezza previsti dalla NIS. 

In altre parole: più la categorizzazione è precisa, più le misure richieste saranno proporzionate alla tua realtà. 

Se la fai in fretta, macro-aree assegnate a caso, categorie tutte al minimo, nessuna motivazione documentata, rischi di ritrovarti con obblighi sproporzionati, lacune nella protezione e una posizione indifendibile in caso di ispezione.

In termini semplici, immagina di dover fare un inventario di tutto quello che la tua azienda fa e di quanto sarebbe grave se ognuna di quelle cose smettesse di funzionare. 

Questo è l'esercizio richiesto dall’attuale normativa, in questo articolo ti spiego come approcciare l’adempimento in modo corretto. 

ACN ha aggiornato le regole: ecco cosa prevedono

Il 13 aprile 2026, ACN ha adottato le Determinazioni 127434/2026 e 127437/2026, che aggiornano il quadro operativo per tutti i soggetti rientranti nell'ambito del D.Lgs. 138/2024. A queste si aggiunge la Determinazione 155238 del 20 aprile 2026, che introduce il Modello di Categorizzazione ufficiale.

In pratica, dal 1° maggio al 30 giugno di ogni anno, i soggetti essenziali e importanti inclusi nel perimetro NIS e destinatari della comunicazione ACN devono trasmettere tramite la piattaforma digitale l’elenco completo e aggiornato delle attività e dei servizi, classificati per macro-area e categoria di rilevanza.

Questo non è un adempimento burocratico, è come preparare la piantina dell'edificio prima dell'impianto antincendio

Qui sta il punto che molti sottovalutano. L’elenco categorizzato costituisce un elemento rilevante per l’applicazione progressiva e proporzionata degli obblighi NIS, in coerenza con il grado di esposizione al rischio, la dimensione del soggetto e l’impatto potenziale degli incidenti.

Con questo adempimento, ACN non si limita più all’identificazione dei soggetti NIS: la categorizzazione si inserisce in un modello strutturato di governance e proporzionalità degli obblighi. 

La parola chiave è "dimostrabile": non basta fare le cose, bisogna saperle documentare e comunicare in forma strutturata.

Il modello di categorizzazione ACN: 10 macro-aree, 4 livelli di impatto

Il modello ACN prevede una categoria di rilevanza preassegnata per ciascuna macro-area, secondo i criteri indicati negli allegati alla Determinazione 155238/2026. Il soggetto NIS deve tuttavia verificare se, nel proprio contesto organizzativo, l’impatto effettivo della compromissione giustifichi una conferma o una diversa classificazione, conservando la documentazione a supporto. 

Le 10 macro-aree NIS2

Le macro-aree sono:

• Monitoraggio e controllo.
• Produzione di beni e servizi.
• Ricerca, sviluppo e progettazione.
• Gestione finanziaria.
• Gestione dei clienti.
• Gestione delle risorse umane.
• Logistica.
• Comunicazione e marketing.
• Gestione amministrativa.
• Altri servizi e attività.

La macro-area Monitoraggio e controllo, che comprende supervisione dei sistemi, sicurezza informatica e continuità operativa, ha categoria di default Alto. 

Produzione di beni e servizi e Ricerca e sviluppo hanno default Medio. Le restanti macro-aree presentano categorie preassegnate generalmente collocate tra Basso e Minimo, ma il soggetto NIS deve verificarne la coerenza rispetto al proprio contesto operativo e al potenziale impatto sul servizio. 

Le 4 categorie di rilevanza NIS2: da Minimo ad Alto

Ogni attività riceve una delle quattro categorie in base all'impatto che la sua compromissione avrebbe sulla capacità di erogare il servizio NIS:

1. Alto: la compromissione blocca completamente il servizio NIS, impossibilità di erogazione senza workaround realistici.
2. Medio: la compromissione causa seri problemi operativi, alcune funzionalità critiche non possono essere garantite.
3. Basso: la compromissione crea disagi significativi, ma il servizio continua a funzionare.
4. Minimo: la compromissione ha impatto trascurabile sul servizio NIS.

Dal punto di vista operativo, il lavoro richiesto richiama una logica simile a una Business Impact Analysis (BIA): ogni voce dell’elenco richiede di valutare quale impatto avrebbe la compromissione dell’attività sulla capacità di erogare il servizio NIS. 

Il processo di lavoro in 4 passi

Capire macro-aree e categorie di rilevanza è necessario, ma non sufficiente. Il modello ACN funziona solo se le attività che ci finiscono dentro sono state identificate in modo completo e rigoroso: non si può categorizzare ciò che non si è prima censito.

Per questo il vero lavoro di conformità alla NIS2 inizia un passo prima, nella struttura interna dell'organizzazione, e segue una sequenza precisa che non ammette scorciatoie.

Il lavoro si struttura in quattro fasi sequenziali. Saltare l'ordine è il primo errore: ogni fase alimenta la successiva.

Passo 1 - Organigramma funzionale: disegna la mappa dell'azienda

Prima di qualsiasi altra cosa, mappa tutte le aree operative dell'organizzazione, non i singoli dipendenti, le aree di lavoro. È la piantina dell'edificio. Se salti questo passaggio e vai direttamente a elencare i processi, rischi di dimenticare interi reparti, tipicamente quelli di supporto come amministrazione, compliance o HR, che possono incidere sull’erogazione dei servizi e rientrare nell’elencazione richiesta dal modello di categorizzazione ACN. 

E’ importante considerare che se una funzione è esternalizzata (es. contabilità affidata a uno studio), l'area va comunque inserita. Il fatto che il lavoro lo faccia un fornitore esterno non elimina il processo, significa che quel processo è supportato da un soggetto terzo, informazione rilevante anche per la valutazione della sicurezza supply chain NIS2.

Passo 2 - Processi: trasforma le attività interne in voci per ACN

Per ogni area, identifica cosa fanno concretamente le persone. Nel modello di categorizzazione è generalmente più utile rappresentare il risultato dell’attività (es. "ciclo attivo") piuttosto che la singola operazione interna (es. "emissione fatture"), così da rendere l’elenco coerente con la logica del servizio.

Passo 3 - Elenco ACN: compila e categorizza

Trasferisci nel template fornito dall’ACN le attività individuate, assegna macro-area e categoria. Qualora il soggetto NIS attribuisca una categoria di rilevanza diversa da quella preassegnata, la scelta deve essere fondata su una valutazione interna dell’impatto e supportata da documentazione conservata, così da renderla verificabile in caso di controllo. 

Passo 4 , Fornitori: censisci le dipendenze rilevanti e verifica l’obbligo di comunicazione

Ogni attività dell'elenco ACN è supportata da uno o più fornitori esterni:

• Il provider cloud.
• Il gestionale in SaaS.
• Il fornitore di sicurezza.
• Il manutentore degli impianti OT.

Censirli non è un esercizio accessorio è parte integrante della categorizzazione, perché senza sapere da chi dipende ogni attività non è possibile valutarne correttamente il rischio e la criticità.

Tra i fornitori normalmente da censire rientrano cloud provider, infrastrutture, fornitori di sicurezza, connettività e altri soggetti la cui indisponibilità o compromissione possa incidere in modo significativo sull’erogazione del servizio NIS.  

Per ognuno indica quale attività supporta, quale macro-area coinvolge e se la sua eventuale compromissione modificherebbe la categoria di rilevanza assegnata.

Il censimento interno dei fornitori è opportuno anche ai fini della categorizzazione, perché consente di comprendere le dipendenze tecnologiche delle attività e dei servizi. Tuttavia, l’obbligo formale di aggiornamento dei fornitori rilevanti sulla piattaforma ACN segue la disciplina dell’aggiornamento annuale delle informazioni e va tenuto distinto dalla trasmissione dell’elenco categorizzato delle attività e dei servizi. 

Se lo hai fatto entro il 31 maggio 2026, il censimento del Passo 4 e l'adempimento formale previsto dalla normativa sono allineati. Se non lo hai ancora verificato, è il momento di farlo: i due livelli si tengono insieme e la sicurezza supply chain NIS2 sarà sempre più al centro delle verifiche ACN.

Cosa fare adesso: la checklist per la categorizzazione

Non si tratta di spuntare voci in fretta. Si tratta di produrre un elenco completo, coerente e difendibile. Ecco i passaggi concreti:

1. Mappa l'organigramma funzionale: elenca tutte le aree operative dell'organizzazione, incluse quelle di supporto e quelle esternalizzate. Nessun reparto va dimenticato , ogni area che usa sistemi informatici è potenzialmente rilevante.
2. Per ogni area, identifica i processi e trasformali in Attività/Servizi per ACN: non descrivere cosa si fa, ma cosa si produce (sostantivi che descrivono un risultato). Questo è il passaggio più critico, e quello dove si commettono più errori.
3. Assegna la macro-area corretta a ciascuna attività: la macro-area descrive la finalità dell'attività, non il sistema informatico usato per svolgerla. Stessa piattaforma, macro-area diversa, a seconda di cosa produce quel processo.
4. Assegna la categoria di rilevanza: per ogni attività chiediti “se si blocca, cosa succede al mio servizio NIS?”. Se modifichi la categoria di default, scrivi subito la motivazione , senza documentazione, ACN può contestare la scelta.
5. Indica i sistemi e i fornitori di supporto per ogni voce dell'elenco: ERP, cloud provider, piattaforme SaaS, strumenti di monitoraggio. Questi dati alimenteranno anche il registro delle dipendenze per la sicurezza supply chain NIS2.
6. Documenta lo scoping interno: per ogni attività esclusa dall'elenco ACN, annota il motivo. Quella documentazione non va sulla piattaforma , va tenuta internamente, ma è la tua prima linea di difesa in caso di verifica.
7. Carica l'elenco sul Servizio NIS/Categorizzazione della piattaforma digitale ACN entro il 30 giugno: prima della trasmissione, verifica sulla piattaforma ACN che tutte le attività e i servizi risultino correttamente validati e inclusi nell’invio finale. 

Il 30 giugno non è lontano.  "Fatto in fretta" non è una risposta

La categorizzazione delle attività e dei servizi non è burocrazia fine a sé stessa. È il fondamento su cui verranno costruite tutte le misure di sicurezza che la tua organizzazione dovrà adottare nei prossimi anni. Se la fai bene, avrai misure proporzionate e sensate. Se la fai male, rischi obblighi sproporzionati, lacune nella protezione e , come abbiamo visto , nessuna documentazione a difenderti in caso di verifica.

La conformità alla normativa NIS2 non è un progetto one-shot: è un modello di governance che trasforma la sicurezza in responsabilità dimostrabile, anno dopo anno. 

La categorizzazione entro il 30 giugno è il primo mattone. Costruiscilo bene, e documentalo.