Nell’avvio della nuova fase attuativa della disciplina della Direttiva, i soggetti NIS dovranno svolgere un’analisi di impatto semplificata e armonizzata sulle proprie attività e sui propri servizi.

L’Agenzia per la cybersicurezza nazionale (ACN) ha pubblicato la determinazione relativa al processo, modalità e criteri per l’elencazione e la categorizzazione delle attività e dei servizi dei soggetti NIS. La disciplina è quella ai sensi dell’articolo 30 del Decreto NIS.
 
La finalità perseguita attraverso l’elencazione e la categorizzazione è quella “di aggregare attività e servizi in funzione della categoria di rilevanza previste dal modello di categorizzazione“. Si tratta di un presupposto per l’identificazione delle porzioni di sistemi informativi e di rete su cui è necessario procedere ad una mitigazione del rischio più incisiva e mirata.

Il tutto, una volta che è arrivato il completamento del percorso di adeguamento alle “misure di sicurezza di base”, integrandovi ulteriori requisiti con le cosiddette “misure di sicurezza a lungo termine”. Misure, che l’ACN stabilirà nel pieno rispetto dei principi di proporzionalità e gradualità.

L’organizzazione delle aree

Le organizzazioni dovranno condurre un’analisi di impatto semplificata, armonizzata e condivisa sulle proprie attività e sui servizi erogati. Gli obiettivi sono di:

• aggregare attività e servizi per categoria di rilevanza.
• Individuare le porzioni critiche dei sistemi informativi e di rete.
• Orientare interventi di mitigazione del rischio più mirati ed efficaci.

Con la determinazione 155238 del 20 aprile 2026, s’individuano 10 macro-aree organizzative, introducendo 4 livelli di impatto, ossia minimo, basso, medio e alto.

Gli esiti di questa analisi di impatto semplificata, armonizzata e condivisa, dovranno essere comunicati all’Autorità nazionale competente NIS tramite la piattaforma ACN, dal primo maggio al 30 giugno, secondo la procedura stabilita dalla determinazione 127437/2026 (articoli 20 e 21).

L’importanza del passaggio e le scadenze

Questo passaggio, sottolinea l’ACN, “rappresenta un elemento chiave per l’evoluzione delle misure di sicurezza“.

Alle misure di base si affiancheranno progressivamente requisiti più avanzati (misure di sicurezza a lungo termine), che l’ACN stabilirà nel pieno rispetto dei principi di proporzionalità e gradualità.

Per quanto riguarda le “scadenze da ricordare“, la trasmissione dei risultati dell’analisi dovrà avvenire tramite la piattaforma ACN dal 1° maggio al 30 giugno 2026

Per approfondire

• Leggi il Decreto Legislativo 4 settembre 2024, n. 138.
• Determinazione 379907/2025.
• Determina 127434/2026.
• Determinazione 127437/2026.
• Leggi le “Linee guida NIS – Specifiche di base – Definizione del processo di gestione degli incidenti di sicurezza informatica“. 
• Consulta la versione aggiornata delle “Linee guida NIS – Specifiche di base – Guida alla lettura“.
• NIS2, le nuove FAQ.
• NIS – Network Information Security.
• Portale dei Servizi ACN.

Vai al sito di Cybersecurity Italia.

L'articolo NIS, ACN pubblica le modalità per l’elencazione e la categorizzazione delle attività e dei servizi sembra essere il primo su CyberSecurity Italia.