Direttiva NIS 2, entro il 30 giugno le aziende devono trasmettere all'Agenzia per la Cybersicurezza Nazionale l’elenco delle attività e dei servizi svolti con la relativa classificazione
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha declinato nuovi obblighi in materia di sicurezza informatica dettati dalla cosiddetta “Direttiva NIS 2”, la normativa europea che ha l’obiettivo di incrementare il livello di cybersecurity delle aziende che operano in settori qualificati come essenziali o importanti e dalla norma nazionale di recepimento d. lgs. 138/2024 (cosiddetto “Decreto NIS”).
Nello specifico, La determinazione ACN n. 155238/2026 richiede alle imprese di classificare le proprie attività e i propri servizi riconducendole ad una delle macro-categorie individuate dall’autorità. Questo è un passaggio fondamentale perché consentirà di definire il livello di rischio associato a ciascun processo e implementare misure di sicurezza adeguate e proporzionate alla criticità di ognuno.
La categorizzazione dell’ACN - Il cuore del nuovo provvedimento dell’ACN è un modello di classificazione che chiede alle imprese di fare ordine tra le proprie attività. Innanzitutto, ogni ente dovrà individuare tutte le attività e i servizi aziendali supportati, svolti o erogati da sistemi informatici.
Il secondo passaggio richiede di associare ciascuna di queste attività a una delle dieci macro-aree previste dal modello, che coprono i principali ambiti di un’organizzazione. Tra queste categorie rientrano varie attività, che vanno dal monitoraggio e controllo alla produzione di beni e servizi, dalla gestione finanziaria alle risorse umane, dalla logistica alla comunicazione e marketing, fino alla ricerca e sviluppo, alla gestione dei clienti, alla gestione amministrativa e ad altri servizi e attività, ognuna con un proprio livello di rilevanza predefinito.
Infine, il terzo passaggio prevede di verificare che il suddetto livello di rilevanza preassegnato dall’Agenzia a ciascuna categoria sia coerente con quello che il processo ha per l’azienda, valutando l’impatto di una possibile compromissione dell’attività o del servizio sulla capacità del soggetto di svolgere correttamente le attività e i servizi essenziali o importanti.
Può essere utile sottolineare come l’unica area a cui l’Agenzia ha assegnato un livello di rilevanza “alto” è quella relativa ai servizi finalizzati al monitoraggio e controllo, ivi inclusi il supporto agli organi di amministrazione e direttivi nonché ai vertici dell’organizzazione. Ciò potrebbe rispondere all’esigenza del legislatore di richiamare l’attenzione dei vertici aziendali su questa normativa, che non deve essere letta come di pertinenza esclusivamente IT, bensì come una vera e propria declinazione dell’obbligo per gli organi di direzione delle aziende di implementare assetti organizzativi adeguati anche in ambito cybersecurity.
Tuttavia, le aziende non sono vincolate a questi livelli predefiniti e possono discostarsene, purché motivino la propria scelta attraverso un’analisi specifica che dovrà essere documentata e conservata. In altre parole, le imprese dovranno svolgere un’analisi del rischio valutando quanto un’eventuale interruzione o malfunzionamento potrebbe danneggiare una determinata attività.
La classificazione come risorsa per orientare gli investimenti in cybersecurity - Questa operazione non è un mero esercizio burocratico. Il livello di rilevanza attribuito a ciascuna attività determinerà, in prospettiva, l’intensità delle misure di sicurezza informatica che l’azienda dovrà adottare sui relativi sistemi. Una classificazione accurata consentirà quindi di concentrare gli investimenti in sicurezza dove servono davvero, evitando oneri sproporzionati sulle aree a minor rischio.
Obblighi di base e obblighi a lungo termine: il doppio binario - Le imprese, inoltre, stanno attualmente implementando le cosiddette misure di base, un primo set di requisiti minimi di sicurezza che dovrà essere adottato entro ottobre 2026. In aggiunta, l’ACN introdurrà in futuro degli obblighi a lungo termine, che prevederanno misure più avanzate e differenziate proprio in funzione delle categorie di rilevanza assegnate a ciascuna attività. Questo significa che la classificazione effettuata oggi sarà utile anche per valutare il livello di impegno richiesto alle aziende nei prossimi anni.
Le prossime scadenze - Le scadenze sono estremamente stringenti e ravvicinate. Infatti, prima della scadenza di ottobre 2026 per l’adozione delle misure di sicurezza di base, le imprese dovranno comunicare all’ACN entro il 30 giugno 2026 l’elenco delle proprie attività e servizi, completo della relativa classificazione.
In questo scenario, la scadenza del 30 giugno assume un peso ancora maggiore perché rischia di trovare molte organizzazioni non ancora preparate.
Per affrontare al meglio questo adempimento, è consigliabile verificare quale modello di classificazione sia applicabile alla propria realtà, avviare una ricognizione interna delle attività aziendali che dipendono da sistemi informatici e valutare se i livelli di rilevanza pre-assegnati siano adeguati al contesto specifico dell’impresa, o se sia opportuno motivare un diverso inquadramento.
Fonte: Agenzia per la Cybersicurezza Nazionale
