La Commissione europea ha avviato una fase di confronto strategico in vista dell’elaborazione del futuro…
Direttiva NIS: pubblicata la determinazione ACN su elencazione e categorizzazione di attività e servizi
L’Agenzia per la cybersicurezza nazionale ha reso disponibile una nuova determinazione attuativa relativa al processo, alle modalità e ai criteri per l’elencazione e la categorizzazione delle attività e dei servizi previsti dall’articolo 30 del decreto NIS. Il provvedimento si inserisce nel percorso di attuazione degli obblighi introdotti per i soggetti rientranti nell’ambito della normativa sulla sicurezza delle reti e dei sistemi informativi, anche alla luce dei recenti aggiornamenti sui termini di adempimento e sull’individuazione dei fornitori rilevanti.
La misura mira a strutturare in modo sistematico l’analisi delle attività svolte dalle organizzazioni, attraverso un modello che consente di aggregarle in funzione della loro rilevanza. Tale classificazione costituisce un passaggio preliminare per individuare le componenti dei sistemi informativi e di rete che richiedono interventi più incisivi di mitigazione del rischio. In questa prospettiva, il meccanismo di categorizzazione si collega al più ampio percorso di adeguamento alle misure di sicurezza, che prevede una prima fase basata su requisiti di base, seguita dall’introduzione di misure di sicurezza a lungo termine definite dall’ACN secondo criteri di proporzionalità e gradualità.
La determinazione n. 155238 del 20 aprile 2026 individua dieci macro-aree attraverso cui organizzare attività e servizi, prevedendo per ciascuno di essi l’attribuzione a una delle quattro categorie di rilevanza: impatto minimo, basso, medio o alto. Questo schema consente una valutazione semplificata ma armonizzata dell’impatto, funzionale alla successiva gestione del rischio.
Gli esiti della classificazione dovranno essere trasmessi all’autorità nazionale competente NIS mediante la piattaforma dell’ACN, in una finestra temporale compresa tra il 1° maggio e il 30 giugno 2026. Le modalità operative per tale comunicazione sono disciplinate dalla determinazione n. 127437/2026, in particolare agli articoli 20 e 21.
Il provvedimento rappresenta quindi un tassello operativo volto a rendere più omogenea l’applicazione della disciplina NIS, fornendo alle organizzazioni un quadro metodologico condiviso per la valutazione delle proprie attività in relazione ai requisiti di sicurezza informatica.
Articoli correlati
