Se la tua organizzazione rientra nella NIS2 (la normativa europea sulla cybersicurezza recepita in Italia con il decreto legislativo 138/2024), c'è una scadenza che non puoi ignorare. Dal 1° maggio al 30 giugno 2026 devi fare una cosa precisa: dire all'Agenzia per la Cybersicurezza Nazionale (ACN) quali attività svolge la tua azienda, quali servizi eroga e quanto sono importanti per il suo funzionamento.
Non è un questionario generico. È un obbligo di legge che ha conseguenze concrete: In pratica, non stai compilando un modulo che genera automaticamente nuovi obblighi. Stai spiegando all’ACN quali attività sono più critiche per la tua organizzazione. Questa informazione aiuta a capire dove servono più attenzione, più controlli e più protezione, ma le misure di sicurezza da adottare derivano dalle regole NIS già definite.
In parole semplici: immagina di dover fare un inventario di tutto quello che la tua azienda fa e di quanto sarebbe grave se ognuna di quelle cose smettesse di funzionare. Questo è l'esercizio richiesto dalla NIS2.
Cosa devi fare concretamente
L'obbligo si chiama categorizzazione delle attività e dei servizi. Vediamo cosa significa con un esempio.
Pensa alla tua azienda come a un ospedale. Ha un pronto soccorso (le attività più critiche), degli ambulatori specialistici (attività importanti ma meno urgenti), un ufficio amministrativo (necessario ma non salvavita) e un bar interno (utile, ma se chiude un giorno non succede nulla di grave).
La NIS2 ti chiede di fare esattamente questo: prendere tutte le attività e i servizi della tua organizzazione e dire quanto ognuno è critico per la sicurezza e la continuità del business. Non con un giudizio soggettivo, ma seguendo un modello preciso definito dall'ACN.
Tutto questo va comunicato attraverso la piattaforma digitale dell'ACN (un portale online) entro il 30 giugno 2026. E va aggiornato ogni anno.
Le date da segnare in agenda
Nel 2026 ci sono due finestre ravvicinate e parzialmente sovrapposte, ma riguardano adempimenti diversi. . Attenzione a non confonderle:
Cosa devi fare | In cosa consiste | Entro quando |
Aggiornamento annuale informazioni NIS, inclusi i fornitori rilevanti NIS | Aggiornare sul Portale ACN le informazioni NIS dell’organizzazione e indicare i fornitori rilevanti per la sicurezza, la continuità o l’erogazione dei servizi | 15 apr - 31 mag 2026 |
Categorizzazione attività e servizi | Elencare cosa fa la tua azienda e quanto ogni attività è critica | 1 mag - 30 giu 2026 |
Le due attività sono collegate: per valutare correttamente un fornitore, bisogna capire quali attività o servizi supporta e quale impatto avrebbe la sua interruzione o compromissione.
Se un fornitore supporta attività o servizi ad alto impatto, sistemi ICT critici o componenti difficilmente sostituibili, va valutato con particolare attenzione come possibile fornitore rilevante NIS.
Il modello ACN: come funziona in pratica
L'ACN non ti lascia solo. Ha creato un modello di categorizzazione (approvato il 9 aprile 2026) che ti dice esattamente come procedere. Il modello funziona con due concetti chiave: le macro-aree e le categorie di rilevanza.
Le 10 macro-aree: i contenitori per le attività della tua azienda
L'ACN ha definito 10 macro-aree che coprono tutto quello che un'organizzazione può fare. Pensa a queste macro-aree come a 10 grandi cassetti in cui devi mettere le attività della tua azienda. Ogni cassetto ha già un'etichetta che dice quanto è critico il suo contenuto.
Macro-area | Cosa include (esempi) | Quanto è critica |
Monitoraggio e controllo | Supervisione, sicurezza, controllo qualità, continuità operativa | IMPATTO ALTO |
Produzione di beni e servizi | Tutto ciò che l'azienda produce o eroga ai clienti | Impatto medio |
Ricerca, sviluppo e progettazione | Innovazione, brevetti, sviluppo nuovi prodotti | Impatto medio |
Gestione finanziaria | Fatture, pagamenti, contabilità, bilancio | Impatto basso |
Gestione dei clienti | CRM, help desk, assistenza, onboarding clienti | Impatto basso |
Gestione delle risorse umane | Assunzioni, stipendi, formazione del personale | Impatto basso |
Logistica | Magazzino, spedizioni, distribuzione | Imp. minimo/basso* |
Comunicazione e marketing | Social media, eventi, campagne, ufficio stampa | Impatto minimo |
Gestione amministrativa | Contratti, immobili, pratiche burocratiche | Impatto minimo |
Altri servizi e attività | Tutto ciò che non rientra nelle altre categorie | Impatto minimo |
* Per la Logistica il livello dipende dal tipo di organizzazione: per alcune aziende (es. trasporti, energia, sanità) la logistica è più critica
Perché la supervisione e il controllo sono al livello massimo?
Pensa al monitoraggio e controllo come alla torre di controllo di un aeroporto. Se la torre smette di funzionare, non è solo un volo a restare a terra: è l'intero aeroporto a bloccarsi. Allo stesso modo, se le funzioni di supervisione, sicurezza e coordinamento della tua azienda vengono compromesse, tutto il resto ne risente. Per questo l'ACN assegna a quest'area il livello di criticità più alto.
I 4 livelli di criticità: dal minimo all'alto
Ogni attività o servizio riceve un livello di criticità (chiamato "categoria di rilevanza") che risponde a una domanda semplice: se questa attività venisse bloccata o compromessa, quanto sarebbe grave per l'azienda?
Livello | Cosa significa in pratica |
Impatto minimo | Se si blocca, l'azienda continua a funzionare senza problemi significativi |
Impatto basso | Se si blocca a lungo, l'azienda inizia ad avere problemi seri |
Impatto medio | Se si blocca, l'azienda ha subito difficoltà importanti nel suo lavoro principale |
Impatto alto | Se si blocca, l'azienda non riesce più a funzionare correttamente |
I tre passi da seguire: semplici ma non banali
Il processo previsto dall'ACN si articola in tre fasi. Non serve essere esperti di cybersicurezza per capirle, ma serve coinvolgere le persone giuste in azienda.
Passo 1: Fai l'inventario di tutto quello che fa la tua azienda
Il primo passo è semplice nel concetto: elenca tutte le attività e i servizi della tua organizzazione che utilizzano computer, reti, software o qualsiasi sistema digitale. Non serve un elenco infinito di dettagli: serve capire quali sono le "grandi funzioni" dell'azienda.
Esempio pratico:
Un'azienda manifatturiera potrebbe identificare: gestione degli ordini clienti, produzione e controllo qualità, fatturazione, gestione del personale, manutenzione degli impianti, monitoraggio della sicurezza IT.
Come procedere? Si può partire dall'alto, guardando l'organigramma e chiedendosi: "cosa fa ogni reparto?" oppure dal basso, guardando i sistemi informatici e chiedendosi: "a cosa serve questo software? Quale attività supporta?". L'ideale è fare entrambe le cose e confrontare i risultati.
Passo 2: Metti ogni attività nel cassetto giusto
Ora che hai l'elenco, devi associare ogni attività a una delle 10 macro-aree dell'ACN (quelle della tabella qui sopra). È come smistare la posta: ogni busta va in una sola cassetta.
Se un'attività potrebbe stare in due macro-aree diverse, va spezzata in sotto-attività più specifiche. Se la tua azienda non svolge attività legate a una certa macro-area (ad esempio non fa ricerca e sviluppo), semplicemente lasci quel cassetto vuoto.
Passo 3: Assegna il livello di criticità
Ogni macro-area ha già un livello di criticità pre-assegnato dall'ACN (quello che vedi nella tabella). Nella maggior parte dei casi, puoi tenerlo così com'è.
Però, se nella tua realtà un'attività è più (o meno) critica di quanto suggerito dall'ACN, puoi cambiare il livello. L'importante è che tu possa spiegare perché e che conservi la documentazione della tua analisi. In pratica devi chiederti: "se questa attività si bloccasse, quanto sarebbe grave in termini di perdita di dati, alterazione delle informazioni o interruzione del servizio?"
Attenzione
Questo esercizio si chiama tecnicamente Business Impact Analysis (BIA) semplificata. Non fatevi spaventare dal nome: è semplicemente una valutazione ragionata di cosa succederebbe se qualcosa andasse storto.
E i fornitori? Perché c'entrano con la categorizzazione
Molte aziende dipendono da fornitori esterni per funzionare: il provider che ospita i server, l'azienda che gestisce la sicurezza informatica, il software gestionale in cloud, il manutentore degli impianti. La NIS2 chiede di identificare i fornitori rilevanti, cioè quelli la cui eventuale "caduta" metterebbe in difficoltà la tua organizzazione.
Il collegamento con la categorizzazione è diretto. Facciamo due esempi concreti:
Esempio 1
Usate un servizio cloud esterno per il portale clienti. Quell'attività rientra nella macro-area "Gestione dei clienti" (impatto basso). Se il provider cloud ha un problema, i vostri clienti non riescono ad accedere. Il fornitore è rilevante? Dipende da quanto quell'attività è importante per voi.
Esempio 2
Avete un fornitore esterno che monitora la sicurezza informatica (un cosiddetto SOC). Quell'attività rientra in "Monitoraggio e controllo" (impatto alto). Se quel fornitore smette di funzionare, non riuscite più a rilevare gli attacchi informatici. Questo fornitore è sicuramente rilevante.
In sintesi: prima capisci cosa fa la tua azienda e quanto è critico, poi valuti quali fornitori sostengono quelle attività. I due adempimenti si tengono insieme.
Sei una Pubblica Amministrazione? C'è una regola diversa
Le PA che hanno già classificato i propri dati e servizi secondo il Regolamento Cloud (con le categorie: ordinari, critici e strategici) usano quel modello invece di quello dell'ACN. In pratica, se hai già fatto quel lavoro, non devi rifarlo da zero ma devi assicurarti che i due elenchi siano coerenti.
Cosa fare concretamente: la checklist in 6 passi
Ecco le azioni da fare, nell'ordine giusto
1. Riunisci le persone giuste. Non è un lavoro solo dell'IT. Servono il responsabile sicurezza, chi si occupa di compliance, gli acquisti, il legale e chi conosce i processi aziendali.
2. Fai l'inventario. Elenca tutte le attività e i servizi che usano sistemi digitali. Parti dall'organigramma e dai sistemi IT.
3. Smista nelle macro-aree. Associa ogni attività a una delle 10 macro-aree dell'ACN. Un'attività = un solo cassetto.
4. Valuta la criticità. Chiediti: se questa attività si bloccasse, quanto sarebbe grave? Tieni o modifica il livello pre-assegnato dall'ACN.
5. Comunica tutto entro il 30 giugno. Accedi alla piattaforma digitale ACN e inserisci l'elenco categorizzato.
6. Conserva le prove. Tieni tutta la documentazione: perché hai scelto certo livelli, chi ha partecipato alla valutazione, le analisi fatte. Ti servirà in caso di controlli.
Dal 1° maggio al 30 giugno di ogni anno. Per il 2026 è la prima volta in assoluto.
Sì, ma devi spiegare perché e conservare la documentazione. Non puoi cambiarlo "a sensazione": serve un ragionamento scritto basato sull'impatto reale.
Non c'è un numero fisso. L'importante è che siano rappresentative di quello che fa la tua azienda. Per ogni macro-area bastano al massimo 4 voci.
No, sono due adempimenti diversi con scadenze diverse. Però sono collegati: i fornitori si valutano in base alle attività che supportano. Prima le attività, poi i fornitori.
Se l’organizzazione è stata inserita nell’elenco dei soggetti NIS, l’obbligo si applica. Le dimensioni possono rilevare ai fini della qualificazione e della proporzionalità degli obblighi, ma non escludono l’adempimento una volta che il soggetto è incluso nell’elenco NIS.
Sì. L'articolo 23 del decreto NIS impone agli organi di amministrazione e direttivi di seguire una formazione in materia di sicurezza informatica. La categorizzazione è il primo adempimento concreto: se il management non capisce cosa sta firmando, c'è un problema.
In conclusione: perché non puoi rimandare
La categorizzazione delle attività e dei servizi non è burocrazia fine a sé stessa. È il fondamento su cui verranno costruite tutte le misure di sicurezza che la tua organizzazione dovrà adottare nei prossimi anni. Se la fai bene, avrai misure proporzionate e sensate. Se la fai male o non la fai, rischi di ritrovarti con obblighi sproporzionati, lacune nella protezione dei tuoi sistemi e una posizione indifendibile in caso di ispezione.
La finestra è stretta: dal 1° maggio al 30 giugno 2026. Due mesi scarsi per un lavoro che richiede coordinamento tra più funzioni aziendali. Il momento di iniziare è oggi.
La formazione non è facoltativa: è un obbligo di legge!
Lo sapevi? L'articolo 23 del decreto NIS obbliga i vertici aziendali a formarsi sulla sicurezza informatica. La categorizzazione è il primo banco di prova concreto. Il nostro percorso formativo ti guida passo dopo passo: dall'identificazione delle attività alla valutazione dell'impatto, fino alla gestione dei fornitori rilevanti. Con esempi pratici, esercitazioni, checklist pronte all'uso e la certificazione finale.
Avv. Andrea Battistella
Avvocato Cassazionista e consulente in digital compliance. Mi occupo di diritto e innovazione con focus su trasformazione digitale, Intelligenza Artificiale, e-commerce e protezione dei dati personali (GDPR), unendo analisi giuridica e impatto operativo.
Avv. Andrea Battistella
Avvocato Cassazionista e consulente in digital compliance. Mi occupo di diritto e innovazione con focus su trasformazione digitale, Intelligenza Artificiale, e-commerce e protezione dei dati personali (GDPR), unendo analisi giuridica e impatto operativo.
NIS2: da maggio 2026 devi classificare le attività della tua azienda. Ecco cosa significa in pratica