Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

La guida

Classificare ciò che conta: come mappare attività e servizi per la conformità alla NIS 2

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

L’articolo 30 del decreto NIS 2 riguarda un processo strategico di autoconoscenza organizzativa e mostra perché, senza l’attuazione di tale articolo, nessun sistema di sicurezza può dirsi credibile. Più che un adempimento, è una radiografia operativa

Pubblicato il 16 dic 2025
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

ispezioni nis2; Classificare ciò che conta: come mappare attività e servizi per la conformità alla NIS 2

L’articolo 30 del D.lgs. 138/2024 è uno degli strumenti più potenti – e forse più sottovalutati – dell’intero impianto NIS 2.

Impone alle organizzazioni essenziali e importanti di ricostruire, ogni anno, la struttura operativa dei propri servizi e di classificare le attività rilevanti secondo criteri stabiliti dall’Autorità.

Non è una formalità, ma un vero e proprio esercizio di comando, perché obbliga a capire cosa è davvero critico, cosa genera dipendenza sistemica, cosa può produrre un effetto domino e dove si annidano i veri punti deboli.

Il secondo capitolo della tetralogia esplora l’articolo 30 del decreto NIS come processo strategico di autoconoscenza organizzativa e mostra perché, senza l’attuazione di tale articolo, nessun sistema di sicurezza può dirsi credibile.

C’è il decreto NIS 2, ma cosa devono fare adesso le aziende? La guida implementativa

La mappatura annuale delle attività e dei servizi per la conformità NIS 2

Ogni organizzazione è un organismo complesso che produce, eroga, coordina, gestisce, monitora, trasporta, assiste, trasmette, conserva, analizza.

Decine, talvolta centinaia di attività vengono svolte nello stesso contesto organizzativo, ma non tutte hanno lo stesso peso.

Infatti, non tutte sorreggono la stessa parte della struttura né, se compromesse, generano un impatto significativo.

Per questo motivo, l’articolo 30 del D.lgs. 138/2024 introduce uno degli obblighi più innovativi ed impegnativi: la mappatura annuale delle attività e dei servizi, e la loro classificazione secondo criteri definiti dall’ACN.

Non si tratta di elencare cosa fa l’azienda, ma di capire quali attività sostengono davvero la continuità operativa e in particolare quali:

  • sono critiche per la sicurezza;
  • generano effetti di interdipendenza;
  • producono esternalità verso altri soggetti o settori.

Ecco una guida per comprendere profondamento questo processo.

Più che un adempimento è una radiografia operativa

Dal primo maggio al 30 giugno di ogni anno, tutti i soggetti essenziali ed importanti devono accedere al portale dell’ACN per:

  • comunicare l’elenco aggiornato delle attività e dei servizi svolti;
  • fornire le informazioni necessarie a descriverli;
  • indicare la categoria di rilevanza assegnata a ciascuno.

È un obbligo che costringe a fermarsi, osservare e interrogarsi su quali:

  • attività sostengono davvero la nostra missione;
  • servizi rappresentano la nostra presenza nell’ecosistema;
  • elementi, se compromessi, potrebbero generare un impatto significativo.

È una radiografia che nessun audit esterno potrà mai sostituire, perché è un atto di consapevolezza interna.

Le categorie di rilevanza: criteri oggettivi, non scelte aziendali

Una delle intuizioni legislative più importanti è che non è l’azienda a decidere cosa è critico.

Le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, la caratterizzazione e la categorizzazione delle attività e dei servizi sono stabilite dall’ACN.

Questo garantisce tre cose:

  • uniformità: tutti i soggetti dello stesso settore parlano lo stesso linguaggio;
  • proporzionalità: le categorie riflettono il livello di rischio sistemico;
  • oggettività: si evita la tentazione di minimizzare la criticità per ridurre oneri o responsabilità.

L’articolo 30, quindi, non chiede un’autodichiarazione, ma un vero e proprio esercizio analitico che deve allinearsi agli standard fissati dall’Autorità.

Il legame con l’articolo 25 del decreto NIS: l’impatto significativo come indicatore

Per classificare correttamente le attività, bisogna comprendere l’articolo 25 del decreto, che introduce il concetto di “impatto significativo sulla fornitura dei servizi”.

L’impatto non va valutato solo sul piano economico ma deve essere considerato anche – e in molti casi soprattutto – per la sua capacità di causare una grave interruzione operativa dei servizi del soggetto interessato oppure per gli effetti che può produrre su altre persone fisiche o giuridiche, generando perdite materiali o immateriali di particolare rilievo.

L’articolo 30 è lo strumento operativo con cui si applicano, in concreto, le logiche dell’articolo 25.

Il processo di verifica dell’Autorità: certezza dei tempi e qualità del controllo

Una volta presentata la mappatura annuale, l’Autorità ha:

  • 90 giorni per effettuare il controllo;
  • solo una possibile proroga di ulteriori 60 giorni;
  • la possibilità di chiedere chiarimenti, che sospendono i termini fino a risposta del soggetto (massimo 30 giorni).

Se l’Autorità non risponde entro i termini, scatta il silenzio-assenso. Questo meccanismo garantisce due dimensioni fondamentali:

  • certezza operativa per le organizzazioni che non possono rimanere in sospeso;
  • obbligo di efficienza amministrativa per l’Autorità, che deve fornire riscontro in tempi definiti.

È un equilibrio raro, che rende questo articolo uno degli strumenti più maturi dell’intera architettura NIS 2.

Perché questo obbligo è uno strumento di comando e non di burocrazia

Una lettura attenta dell’art. 30 consente di cogliere la profondità della norma.
La classificazione annuale delle attività:

  • costringe le organizzazioni a guardarsi dentro;
  • obbliga a rendere visibile ciò che prima era implicito;
  • mette ordine nelle responsabilità;
  • crea una base oggettiva per il risk management;
  • genera una rappresentazione di sistema utile per audit, controlli, investimenti e decisioni.

È quindi una forma di auto-addestramento strategico, un esercizio che serve davvero all’organizzazione che è resiliente solo se conosce sé stessa.

Un atto di consapevolezza operativa

Abbiamo descritto come l’articolo 30 del decreto NIS non sia un peso amministrativo, ma un atto di consapevolezza operativa che assume la forma:

  • della fotografia che ogni anno un’organizzazione deve scattare a sé stessa per capire dove sono i suoi punti nevralgici;
  • di un dialogo continuo tra l’azienda e l’ACN, basato su criteri oggettivi, verificabili e misurabili;
  • della vera base della resilienza: sapere dove si è fragili, per poter decidere dove investire, come proteggere, cosa rafforzare.

Dopo aver visto cosa proteggere (art. 24) e ora come riconoscere ciò che davvero conta (art. 30), nel prossimo capitolo della tetralogia analizzeremo la revisione periodica delle procedure e delle politiche, prevista dalla Determinazione ACN del 10 aprile 2025, e capiremo perché la sicurezza NIS 2 è un sistema vivo che deve essere continuamente aggiornato e ricontrollato.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
AI per il lavoro
Mobile security
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • GDPR AI assicurazioni

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • NordVPN

  • LA SOLUZIONE

    NordVPN, proteggere la connessione a Internet e la privacy in Rete: gli strumenti

    08 Nov 2025

    di redazione affiliazioni Nextwork360

    Condividi
  • Modello Pay or consent: le implicazioni privacy delle sanzioni della Commissione Ue

  • Unione europea

    L'Enisa NIS360 ci dice a che punto siamo nella compliance NIS2

    10 Mar 2025

    di Federica Maria Rita Livelli

    Condividi
  • Piano ispettivo privacy

  • GDPR

    Ispezioni privacy 2025, ecco cosa devono sapere le aziende

    14 Feb 2025

    di Rosario Palumbo

    Condividi
0
Lascia un commento, la tua opinione conta.x