La nuova determinazione 155238 del 20 aprile 2026 sulla NIS2 e la guida alla lettura chiariscono finalmente il punto: il baricentro non sono più gli asset presi da soli, ma le attività e i servizi NIS.
Da qui discendono categoria di rilevanza, misure proporzionate e, a cascata, revisione di inventario, risk assessment e documentazione.
Indice degli argomenti
Dai fornitori rilevanti alle categorizzazioni: il filo logico si chiude
Nei giorni scorsi, su queste pagine, ho affrontato due nodi che stavano bloccando molta della compliance NIS2 reale, non quella da brochure.
Il primo riguardava i fornitori rilevanti e la necessità di capire da chi dipende davvero la continuità dei servizi. Il secondo riguardava l’assenza del modello di categorizzazione, che lasciava sospesi inventario, analisi del rischio e gestione degli asset critici.
Oggi quel tassello è arrivato e, con la determinazione ACN sulla categorizzazione insieme alla guida alla lettura pubblicata ad aprile 2026, il quadro diventa finalmente più concreto.
Il punto chiave: il baricentro si sposta su attività e servizi NIS
La prima cosa da capire è molto semplice, ma cambia parecchio. ACN definisce le “attività e servizi NIS” come le attività e i servizi per i quali il soggetto rientra nell’ambito di applicazione del decreto.
La categoria di rilevanza, a sua volta, misura l’impatto di una possibile compromissione di quell’attività o di quel servizio sulla capacità del soggetto di svolgere correttamente le proprie attività e i propri servizi NIS. Non è un dettaglio lessicale.
Significa che il punto di partenza non è più l’asset in sé considerato come oggetto tecnico isolato, ma il servizio o l’attività che quel soggetto deve effettivamente erogare nel perimetro NIS.
Qui sta il primo cambio di passo. Per anni, in molte organizzazioni, il lavoro è partito dal basso: si censiscono gli asset, si attribuisce loro una criticità, poi si prova a risalire ai processi e ai servizi. La guida ACN, invece, formalizza una logica diversa.
L’elencazione e categorizzazione delle attività e dei servizi è finalizzata ad aggregare attività e servizi in relazione alle categorie di rilevanza, così da prevedere, sui relativi sistemi informativi e di rete, misure di sicurezza proporzionate a tali categorie.
Tradotto in italiano corrente: prima si capisce cosa conta davvero, poi si protegge in modo coerente l’infrastruttura che lo supporta.
Perché la categorizzazione non è un adempimento estetico
Questo passaggio è ancora più interessante perché collega la categorizzazione alle future misure di sicurezza a lungo termine.
ACN scrive chiaramente che, oltre alle misure di base già previste nella fase iniziale, arriveranno misure aggiuntive di livello avanzato, differenziate in base alle categorie di rilevanza delle attività e dei servizi che i sistemi informativi e di rete supportano, svolgono o erogano.
Quindi, la categorizzazione non è un adempimento estetico da caricare in piattaforma. È la base su cui, domani, verrà modulato il livello di protezione richiesto ai sistemi.
Questo è il punto che molte aziende devono mettere a fuoco subito. Se la categorizzazione diventa il presupposto per graduare le future misure di sicurezza, allora non può essere gestita come una classificazione fatta in fretta solo per rispettare una scadenza.
È un passaggio destinato a riflettersi sulle scelte organizzative, sulla priorità dei trattamenti, sulle misure tecniche e, inevitabilmente, anche sugli investimenti.
La BIA semplificata c’è, ma non come obbligo metodologico generale
La seconda novità, per molti versi ancora più importante, riguarda il modo in cui ACN imposta la categorizzazione. Qui serve precisione, perché il testo non dice che la Business Impact Analysis sia obbligatoria come metodologia formale per tutto il processo.
La guida chiarisce, infatti, che ai fini dell’individuazione delle attività e dei servizi non è richiesto l’uso di una metodologia specifica: ogni soggetto può adottare quella più adatta al proprio contesto, valorizzando eventualmente analisi dei processi organizzativi, catalogo dei servizi, valutazione del rischio o anche una Business Impact Analysis già svolta.
Il punto cambia, però, quando si passa dall’individuazione delle attività e dei servizi all’attribuzione della loro categoria di rilevanza.
Qui la guida ACN usa una formula molto chiara: l’attribuzione della categoria è, in sostanza, determinata sulla base di una Business Impact Analysis semplificata che considera le tre dimensioni della sicurezza informatica.
Questo significa che la BIA non è imposta come documento obbligatorio o come metodo unico da adottare ex ante, ma la logica sostanziale con cui si assegna il livello di rilevanza richiama esattamente una valutazione di impatto semplificata.
La parola “semplificata”, inoltre, non va letta come sinonimo di superficiale. Significa piuttosto che il perimetro dell’analisi non coincide necessariamente con tutto il business del soggetto, ma con le attività e i servizi NIS per cui quel soggetto rientra nell’ambito del decreto.
In altre parole, non serve costruire una Business Impact Analysis monumentale sull’intera organizzazione se il perimetro NIS ne intercetta solo una parte. Serve invece una valutazione seria, documentabile e difendibile degli impatti sulle attività e sui servizi NIS rilevanti.
È qui che molte aziende capiranno che “semplificata” non vuol dire affatto banale.
Top-down, bottom-up o approccio misto: cosa dice davvero ACN
ACN, su questo, ha avuto anche il merito di non imporre una sola strada metodologica. La guida spiega che per individuare attività e servizi si può usare un approccio top-down, partendo da funzioni e processi organizzativi, un approccio bottom-up, partendo dall’inventario dei sistemi informativi e di rete, oppure una combinazione dei due.
È una scelta intelligente, perché evita il dogma metodologico e riconosce che le organizzazioni reali non sono tutte uguali. Chi ha già lavorato bene sui processi potrà partire da lì.
Chi ha un inventario tecnico maturo potrà usarlo come base. Chi vuole evitare buchi o distorsioni farà la cosa più sensata: metterà insieme entrambi gli approcci.
Dal punto di vista pratico, questa è probabilmente la lettura più utile per le aziende. L’approccio top-down è quello che meglio intercetta la logica del modello, perché parte da funzioni, servizi, processi e finalità organizzative.
L’approccio bottom-up, però, resta prezioso per non perdere pezzi, soprattutto in organizzazioni dove l’infrastruttura IT e OT abilita attività che il business spesso dà per scontate.
Il punto non è scegliere una religione. È evitare che una categorizzazione formalmente corretta nasconda omissioni sostanziali. La stessa guida suggerisce che la combinazione dei due approcci aiuta a far emergere incongruenze e lacune.
Da dove partire in concreto
Per gestire bene la categorizzazione, il punto di partenza più solido è costruire una ricognizione ordinata delle attività e dei servizi che rientrano nel perimetro NIS del soggetto.
La guida ACN consente un approccio top-down, bottom-up oppure misto, ma sul piano pratico la scelta più robusta resta quella combinata: partire da processi, funzioni e servizi rilevanti, verificandoli poi attraverso inventario dei sistemi informativi e di rete, applicazioni, piattaforme e dipendenze tecnologiche.
La stessa ACN chiarisce che il soggetto può avvalersi anche degli esiti di analisi dei processi, cataloghi servizi, valutazioni del rischio o BIA già esistenti.
Questo passaggio è fondamentale perché evita due errori speculari. Il primo è partire solo dai sistemi e costruire una categorizzazione che fotografa bene la tecnologia ma male il servizio. Il secondo è ragionare solo sui processi senza verificare se i sistemi effettivamente in uso raccontano la stessa storia.
La buona categorizzazione nasce proprio dalla convergenza fra queste due letture.
Il livello di dettaglio giusto: né elenco infinito né blocchi troppo generici
La guida aggiunge anche un altro elemento molto utile: ogni attività o servizio va associato a una sola macroarea e, se ricade in più macroaree, va ulteriormente scomposto. Inoltre, ACN raccomanda di arrivare a un livello di dettaglio sufficiente a distinguere categorie di rilevanza omogenee, ma senza eccedere in frammentazione inutile.
Tradotto: niente elenco infinito e sterile, ma nemmeno blocchi troppo grossolani.
Questo aspetto è meno banale di quanto sembri, perché molte organizzazioni rischiano di cadere in uno dei due estremi: o semplificano troppo, perdendo precisione, oppure spacchettano tutto in modo maniacale, trasformando la categorizzazione in un mostro ingestibile.
ACN, su questo, dà un’indicazione ragionevole: il dettaglio serve fino a quando aiuta a distinguere davvero la rilevanza, non oltre.
La categoria preassegnata non è una gabbia, ma nemmeno un gioco libero
Un altro punto importante, e molto pratico, riguarda la categoria di rilevanza preassegnata alle macroaree. Dal testo della determina e dalla guida ACN si capisce che quella preassegnazione non è un valore rigido né una soglia minima che il soggetto può solo aumentare.
È, più correttamente, un default motivato. Il soggetto NIS può infatti attribuire a una specifica attività o servizio una categoria diversa da quella preassegnata alla macroarea, sulla base di una propria valutazione dell’impatto, purché ne conservi la relativa documentazione.
Questo significa che la categoria può essere sia aumentata sia abbassata, non solo aggravata. La flessibilità, però, non va scambiata per arbitrio.
Le preassegnazioni ACN non sono casuali, ma derivano da criteri già esplicitati nella guida, come il coordinamento delle attività e dei servizi NIS, l’incidenza sulle funzioni di sicurezza, l’interdipendenza con le attività e i servizi NIS, la natura e il volume dei dati trattati e l’impatto sulla continuità operativa.
Per questo motivo, scostarsi dalla categoria standard è possibile, ma richiede una motivazione seria, coerente e documentabile.
Tradotto in termini operativi: la categoria preassegnata non è un pavimento invalicabile né un consiglio facoltativo. È una base di partenza autorevole, che il soggetto può adattare al proprio contesto, assumendosi però la responsabilità di giustificare bene quella scelta.
Ed è proprio qui che la categorizzazione smette di essere una compilazione guidata e diventa un esercizio di maturità organizzativa.
Le macroaree spiegano già molto della filosofia ACN
Molto utile anche l’impianto delle macroaree. Monitoraggio e controllo è preassegnata a impatto alto. Produzione di beni e servizi e Ricerca, sviluppo e progettazione partono da impatto medio. Gestione finanziaria, Gestione clienti e Risorse umane sono a impatto basso.
Comunicazione e marketing, Gestione amministrativa e Altri servizi e attività stanno a impatto minimo, mentre Logistica oscilla tra minimo e basso in base alla tipologia di soggetto.
Questa griglia fa capire bene la filosofia sottostante: ACN considera più critiche le funzioni di governo, coordinamento, controllo e continuità, perché da lì dipende la capacità complessiva del soggetto di reggere e orchestrare i propri servizi NIS.
Non è una classificazione casuale ed è già un’indicazione forte su dove cadranno, in prospettiva, i livelli più esigenti di protezione.
Quali documenti vanno rivisti per primi
L’impatto più diretto ricade sui documenti che oggi molte organizzazioni hanno costruito in modo troppo asset-centrico.
Il primo è l’inventario dei sistemi, dei servizi e degli asset critici, che dovrà essere riallineato alle attività e ai servizi NIS categorizzati, evitando di trattare l’asset come elemento autonomo scollegato dal servizio che abilita.
Il secondo è il piano di gestione del rischio, che dovrà recepire il nuovo ordine logico: prima attività e servizi NIS, poi categoria di rilevanza, poi rischi, misure e priorità sui sistemi che li supportano.
Il terzo è la valutazione del rischio, che non potrà più limitarsi a stimare la criticità tecnica dell’asset, ma dovrà leggere quella criticità alla luce dell’impatto che la compromissione del servizio produce sul perimetro NIS del soggetto.
Qui, sul piano operativo, si vede bene la differenza fra una compliance solo documentale e una compliance che prova a reggere davvero.
Se l’inventario resta un elenco di oggetti, se il rischio resta un esercizio solo tecnico, se la criticità non eredita il peso del servizio che l’asset sostiene, il rischio è produrre documenti formalmente ordinati ma sostanzialmente già vecchi.
Il punto, adesso, non è compilare ma riallineare
La determina ACN non introduce solo una nuova voce da inserire in piattaforma. Introduce un ordine logico che molte organizzazioni dovranno recepire anche nei propri documenti interni.
Prima si individuano attività e servizi NIS, poi se ne valuta la rilevanza, poi si collegano sistemi, asset, fornitori e misure di sicurezza.
Chi continuerà a lavorare come se il primo mattone fosse ancora l’asset rischia di produrre documenti ordinati, ma già vecchi nel momento in cui li chiude. Chi invece userà la categorizzazione come nuovo punto di ingresso potrà finalmente riallineare inventario, risk management e analisi del rischio alla logica che ACN ha ormai formalizzato.
