Punti chiave
- ACN ha pubblicato la determinazione sulla categorizzazione, l'Allegato 1, l'Allegato 2, le FAQ e la guida alla lettura per il processo previsto dall'articolo 30 del decreto NIS.
- L'Allegato 1 si applica a un insieme definito di tipologie NIS in energia, trasporti, sanità, acqua, acque reflue, spazio, alcuni settori dell'Allegato II e trasporto pubblico locale. L'Allegato 2 si applica per esclusione agli altri soggetti NIS.
- I soggetti NIS devono comunicare e aggiornare l'elenco categorizzato delle proprie attività e dei propri servizi tramite la piattaforma ACN dal 1 maggio al 30 giugno di ogni anno.
- L'obbligo si applica dall'anno solare 2026 e la determinazione si applica dal 1 maggio 2026.
- Il modello utilizza 10 macro-aree e 4 categorie di rilevanza:
impatto minimo,impatto basso,impatto medioeimpatto alto. - La categoria pre-assegnata alla macro-area è il riferimento di partenza, ma il soggetto può indicare una categoria diversa se documenta una propria valutazione di impatto.
- Le attività e i servizi già soggetti alla disciplina del Perimetro di sicurezza nazionale cibernetica sono trattati come
impatto altoe non rientrano nel processo di elencazione dell'articolo 3 (determinazione ACN sulla categorizzazione, FAQ ACN sulla categorizzazione, Decreto Legislativo 138/2024).
Ambito di questo articolo
Questo articolo spiega cosa ha pubblicato ACN per il processo NIS di categorizzazione delle attività e dei servizi, come è strutturato il modello e cosa dovrebbero preparare le organizzazioni prima dell'invio in piattaforma.
Non sostituisce l'analisi legale del perimetro NIS dell'ente. La determinazione ACN, gli allegati, le FAQ e la guida restano le fonti ufficiali di riferimento.
Cosa ha pubblicato ACN il 24 aprile 2026
ACN ha annunciato la pubblicazione della determinazione sul processo, sulle modalità e sui criteri per l'elencazione e la categorizzazione delle attività e dei servizi ai sensi dell'articolo 30 del Decreto Legislativo 138/2024. La pagina ACN collega la determinazione principale, l'Allegato 1, l'Allegato 2, le FAQ e la guida alla lettura (news ACN).
La news indica che la finalità dell'esercizio è aggregare attività e servizi in funzione della categoria di rilevanza. Questo servirà a supportare la successiva identificazione delle porzioni di sistemi informativi e di rete su cui potrà essere necessaria una mitigazione del rischio più mirata dopo la fase delle misure di sicurezza di base (pagina ACN sulla categorizzazione).
Cosa richiede l'obbligo
L'articolo 30 del decreto NIS richiede ai soggetti essenziali e importanti di comunicare e aggiornare, tramite la piattaforma digitale, un elenco delle proprie attività e dei propri servizi con la relativa categoria di rilevanza. La determinazione precisa che l'obbligo si applica dall'anno solare 2026.
L'articolo 3 della determinazione sulla categorizzazione richiede ai soggetti NIS di elencare e categorizzare tutte le attività svolte e i servizi erogati, internamente ed esternamente, suddivisi nelle macro-aree del modello (determinazione ACN sulla categorizzazione).
Per ogni attività o servizio, il soggetto indica:
- la macro-area corrispondente;
- la denominazione e la descrizione dell'attività o del servizio;
- la categoria di rilevanza.
I soggetti non sono tenuti a indicare attività o servizi per le macro-aree nelle quali non svolgono attività e non erogano servizi (FAQ ACN sulla categorizzazione).
Le 10 macro-aree e le categorie di rilevanza
Il modello utilizza 10 macro-aree. L'Allegato 1 e l'Allegato 2 adottano la stessa struttura, con una differenza pratica: Logistica è pre-assegnata come impatto basso nell'Allegato 1 e come impatto minimo nell'Allegato 2.
| Macro-area | Categoria Allegato 1 | Categoria Allegato 2 |
|---|---|---|
| Monitoraggio e controllo | Impatto alto | Impatto alto |
| Produzione di beni e servizi | Impatto medio | Impatto medio |
| Ricerca, sviluppo e progettazione | Impatto medio | Impatto medio |
| Gestione finanziaria | Impatto basso | Impatto basso |
| Gestione dei clienti | Impatto basso | Impatto basso |
| Gestione delle risorse umane | Impatto basso | Impatto basso |
| Logistica | Impatto basso | Impatto minimo |
| Comunicazione e marketing | Impatto minimo | Impatto minimo |
| Gestione amministrativa | Impatto minimo | Impatto minimo |
| Altri servizi e attività | Impatto minimo | Impatto minimo |
Quale allegato si applica?
L'articolo 2 della Determinazione ACN 155238/2026 definisce la distinzione. In pratica, la prima domanda non è se l'organizzazione sia essenziale o importante; è se l'organizzazione rientra in una delle tipologie di soggetto richiamate per l'Allegato 1.
| Modello | Si applica a | Lettura operativa |
|---|---|---|
| Allegato 1 | Allegato I numeri 1, 2, 5, 6, 7 e 10; Allegato II numeri 1, 2, 3, 4 e 5; Allegato IV numero 1 del decreto NIS | Energia, trasporti, sanità, acqua potabile, acque reflue, spazio, servizi postali e di corriere, gestione rifiuti, chimica, alimentare, alcune attività manifatturiere e trasporto pubblico locale |
| Allegato 2 | Tutti i soggetti NIS non inclusi nel gruppo dell'Allegato 1 | Altre tipologie di soggetti NIS che rientrano nel decreto ma non nell'elenco dell'articolo 2, comma 2 |
La conseguenza operativa è limitata ma importante: la tabella delle macro-aree è quasi identica, ma Logistica ha una categoria pre-assegnata più alta nell'Allegato 1 (impatto basso) rispetto all'Allegato 2 (impatto minimo). Le organizzazioni dovrebbero confermare la propria esatta tipologia di soggetto nel decreto NIS prima di scegliere il modello (Allegato 1, Allegato 2, guida ACN alla lettura).
Come svolgere l'analisi
Le FAQ e la guida ACN descrivono un approccio pratico in tre passaggi:
- identificare tutte le attività e tutti i servizi supportati, svolti o erogati da sistemi informativi e di rete;
- mappare ogni attività o servizio nella macro-area che ne rappresenta meglio finalità e caratteristiche;
- attribuire la categoria di rilevanza.
La guida indica che le organizzazioni possono usare un approccio top-down a partire da funzioni e processi di business, un approccio bottom-up a partire dall'inventario di sistemi e applicazioni, oppure un approccio combinato. ACN non impone una metodologia unica per individuare attività e servizi.
La guida richiama anche il rischio di frammentazione eccessiva. Le attività e i servizi dovrebbero essere abbastanza unitari da consentire l'attribuzione della categoria, ma non serve aggiungere livelli di dettaglio che aumentano la complessità senza modificare la categoria (guida ACN al modello di categorizzazione).
Quando la categoria può differire dal modello
La categoria pre-assegnata alla macro-area è il riferimento di default. Tuttavia, l'articolo 3, comma 3, della determinazione sulla categorizzazione consente a un soggetto NIS di indicare una categoria diversa per una specifica attività o servizio.
La scelta deve basarsi sulla valutazione del soggetto circa l'impatto che una possibile compromissione dell'attività o del servizio avrebbe sulla capacità di svolgere correttamente le attività e i servizi NIS. Il soggetto deve conservare la documentazione a supporto di tale valutazione.
Questo significa che il modello non è un esercizio meccanico di spunta. Se l'organizzazione si discosta dalla categoria pre-assegnata, il fascicolo di governance dovrebbe mostrare ragionamento, evidenze e percorso approvativo della decisione (determinazione ACN sulla categorizzazione).
Coordinamento con classificazione cloud PA e Perimetro
La determinazione include due regole di coordinamento da verificare prima di costruire l'invio.
Primo, i soggetti NIS che hanno svolto la classificazione dei dati e dei servizi ai sensi dell'articolo 3 del Decreto Direttoriale ACN 21007/24 sul cloud per la Pubblica Amministrazione applicano quel modello in luogo del modello di categorizzazione della nuova determinazione.
Secondo, le attività e i servizi soggetti agli obblighi del Decreto-Legge 105/2019 sul Perimetro di sicurezza nazionale cibernetica ricevono la categoria impatto alto e non sono oggetto del processo di elencazione e categorizzazione dell'articolo 3 (FAQ ACN sulla categorizzazione).
Checklist operativa di governance
Per i team compliance, cyber e risk, la pubblicazione ACN crea un pacchetto di lavoro concreto per la finestra di piattaforma di maggio-giugno.
- Confermare quale modello si applica all'ente: Allegato 1, Allegato 2, modello di classificazione cloud PA o trattamento Perimetro.
- Costruire un inventario di attività e servizi collegato ai sistemi informativi e di rete effettivi.
- Mappare ogni elemento a una sola macro-area; scomporre gli elementi che ricadrebbero in più macro-aree.
- Usare la categoria pre-assegnata come baseline.
- Documentare ogni variazione di categoria con razionale di impatto ed evidenze.
- Allineare business owner, system owner, compliance e punto di contatto NIS prima dell'invio in piattaforma.
- Conservare l'elenco categorizzato finale e la valutazione a supporto come evidenza di audit.
FAQ
Quando si svolge la finestra di categorizzazione 2026?
Per il ciclo 2026, la finestra di comunicazione in piattaforma va dal 1 maggio al 30 giugno 2026. La finestra ricorrente dell'articolo 30 va dal 1 maggio al 30 giugno di ogni anno, a partire dalla prima comunicazione di cui all'articolo 7, comma 3, lettera a) (determinazione ACN sulla categorizzazione, determinazione ACN sulla piattaforma).
Il modello ACN è ora disponibile?
Sì. ACN ha pubblicato la Determinazione 155238 del 20 aprile 2026, l'Allegato 1, l'Allegato 2, le FAQ e la guida alla lettura sul sito ufficiale ACN (news ACN).
Una stessa macro-area può contenere attività con categorie diverse?
Sì. Le FAQ ACN spiegano che una stessa macro-area può contenere attività e servizi con differenti categorie di rilevanza quando la valutazione di impatto del soggetto giustifica tale risultato (FAQ ACN sulla categorizzazione).
Come scegliere tra Allegato 1 e Allegato 2?
Si parte dalla tipologia di soggetto prevista dal decreto NIS. L'Allegato 1 si usa solo se l'ente rientra nelle categorie indicate nell'articolo 2, comma 2, della Determinazione ACN 155238/2026. Per gli altri soggetti NIS si usa l'Allegato 2, salvo regole specifiche di coordinamento, come classificazione cloud PA o trattamento Perimetro.
I servizi del Perimetro sono inclusi nell'elenco categorizzato?
No. ACN indica che le attività e i servizi soggetti agli obblighi del Perimetro di sicurezza nazionale cibernetica sono già etichettati come impatto alto e non vanno indicati nell'elenco categorizzato.
Fonti ufficiali
- News ACN: pubblicate le modalità di categorizzazione NIS
- Pagina ACN sulla categorizzazione NIS
- Determinazione ACN sulla categorizzazione di attività e servizi
- Allegato 1 ACN al modello di categorizzazione
- Allegato 2 ACN al modello di categorizzazione
- Guida ACN alla lettura del modello di categorizzazione
- FAQ ACN sulla categorizzazione NIS
- Determinazione ACN sulla piattaforma
- Gazzetta Ufficiale: Decreto Legislativo 138/2024