Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

guida alla normativa

NIS2, le categorizzazioni ancora assenti frenano documentazione e risk analysis

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Dall’ottavo Tavolo NIS non è arrivato ancora il modello di categorizzazione, ma il passaggio davvero rilevante è un altro: ACN ha fatto capire che tra maggio e giugno si giocherà una partita che impatterà direttamente su inventario degli asset critici, gestione del rischio e, di fatto, anche sulla Business Impact Analysis

Pubblicato il 14 apr 2026
Sandro Sana

Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0

NIS2; La Direttiva NIS2 e la gestione della sicurezza nella supply chain
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Molti si aspettavano che l’ottava riunione del Tavolo NIS chiudesse finalmente il cerchio sulle categorizzazioni. Non è successo, il modello atteso non è ancora stato pubblicato ma sarebbe superficiale fermarsi a questo e archiviare il tutto come l’ennesimo rinvio.

La nota davvero importante è nell’ultimo passaggio del comunicato ACN: la settimana prossima arriverà la determinazione con il modello di categorizzazione, insieme al materiale informativo per supportare i soggetti, nei mesi di maggio e giugno, nello svolgimento di una “analisi di impatto (BIA), semplificata e condivisa nei Tavoli settoriali”.

E qui sta il punto. Non siamo davanti a un ritardo innocuo. Siamo davanti all’ammissione, ormai esplicita, che la fase veramente operativa sta per partire e che questa fase non riguarderà solo una classificazione formale da caricare in piattaforma. Riguarderà il modo in cui le organizzazioni dovranno giustificare cosa conta davvero, cosa sostiene i servizi rilevanti e quali impatti produrrebbe un incidente serio.

NIS2: cos’è, quali aziende interessa, obblighi e sanzioni

Senza categorizzazioni, una parte della compliance resta monca

Il decreto NIS, all’articolo 30, è già molto chiaro: dal primo maggio al 30 giugno di ogni anno i soggetti essenziali e importanti devono comunicare e aggiornare l’elenco delle proprie attività e dei propri servizi, con gli elementi necessari alla loro caratterizzazione e alla relativa attribuzione di una categoria di rilevanza.

E l’articolo 31 chiarisce che gli obblighi possono essere differenziati proprio in relazione a quelle categorie di rilevanza.

Tradotto: la categorizzazione non è un allegato in più. È uno snodo centrale perché da lì passa il peso attribuito ai servizi e da quel peso discende anche il modo in cui gli obblighi devono essere calati sul soggetto NIS.

Per questo, chi in questi mesi ha lavorato sulla documentazione sa perfettamente dove si concentrerà l’impatto vero. Non tanto sui documenti di principio, che possono sempre essere aggiustati. Il problema si scarica soprattutto sui documenti dove bisogna decidere cosa è davvero critico, cosa dipende da cosa e come si misura il rischio in modo coerente.

Gli impatti maggiori ricadranno su inventario e risk analysis

I documenti che rischiano di essere toccati più di tutti, a mio avviso, sono due blocchi ben precisi.

Il primo è il GV.AS-01 – Inventario dei sistemi, servizi e asset critici. Finché manca il modello di categorizzazione, si può costruire un inventario solido, ordinato, anche molto dettagliato. Ma resta comunque sospeso un punto decisivo: quali servizi dovranno essere considerati realmente rilevanti e, di conseguenza, quali asset saranno davvero critici in funzione di quei servizi.

Qui cambia la prospettiva. L’asset non è più il centro del mondo. Diventa il supporto di un’attività o di un servizio che deve essere qualificato, pesato e difeso in base al suo impatto reale.

Il secondo blocco è quello composto da GV.RM-03 – Piano di Gestione dei Rischi per la Sicurezza Informatica e ID.RA-05 – Valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete. Per una ragione semplice: se gli obblighi NIS devono essere proporzionati anche sulla base delle categorie di rilevanza delle attività e dei servizi, allora anche la risk analysis non potrà più limitarsi a guardare asset, minacce e vulnerabilità in astratto. Dovrà tenere conto del peso del servizio, dell’impatto della sua indisponibilità, delle dipendenze interne ed esterne e del danno che ne deriverebbe.

Detta in modo molto diretto: senza categorizzazioni, una parte della risk analysis rischia di essere corretta sul piano metodologico ma ancora provvisoria sul piano sostanziale.

NIS2 e “BIA semplificata“: la giusta lettura normativa

La frase di ACN sulla “BIA semplificata” merita di essere letta per quello che è: non un inciso tecnico, ma il segnale che la compliance NIS2 sta alzando il livello.

Chi sta lavorando su GV.AS-01, GV.RM-03 e ID.RA-05 dovrebbe già prepararsi a rivedere tre cose: il perimetro reale dei servizi, la definizione di asset critico e il modo in cui viene attribuita la priorità ai rischi.

Perché la prossima settimana uscirà il modello, ma il costo organizzativo di questa storia è già cominciato.

La BIA “semplificata” è la vera novità politica e operativa

Qui bisogna stare molto attenti alle parole. ACN, nel passaggio evidenziato, parla di “analisi di impatto (BIA), semplificata”. Formalmente non siamo ancora davanti a un obbligo autonomo descritto come documento separato da redigere in un certo formato. Ma sul piano pratico il messaggio è chiarissimo: la categorizzazione non si farà a sensazione, né a colpi di intuizione del singolo referente.

Servirà una valutazione di impatto. Magari semplificata, magari guidata, magari con criteri condivisi nei Tavoli settoriali. Ma sempre una valutazione di impatto resta. E una valutazione di impatto seria, anche se semplificata, richiede tempo, coinvolgimento del business, lettura dei processi, comprensione delle dipendenze e, inevitabilmente, risorse.

Qui casca l’asino. Perché di fatto ACN sta introducendo un ulteriore livello di lavoro per i soggetti NIS. Lo si può chiamare BIA semplificata, esercizio di impatto o supporto alla categorizzazione. La sostanza non cambia: è un’attività in più, con un costo in termini di organizzazione, consulenza, tempo uomo e revisione documentale.

La NIS 2 non necessita di documenti: richiede governo

Le novità per i nuovi soggetti NIS

Nel frattempo, c’è anche un’altra novità da non sottovalutare. Mentre tutti guardavano alle categorizzazioni, infatti, ACN ha formalizzato un altro passaggio importante per i soggetti inseriti per la prima volta nell’elenco NIS nel 2026, con la pubblicazione della nuova Determinazione ACN 127434/2026 che definisce le tempistiche applicabili a questi soggetti.

Conclusa il 31 dicembre 2025 la fase di prima applicazione prevista dall’articolo 42, per questi nuovi soggetti l’obbligo di notifica degli incidenti significativi decorre dal primo gennaio 2027, mentre il termine per l’adozione delle misure di sicurezza di base scade il 31 luglio 2027.

È una novità rilevante perché introduce una gradualità concreta per i nuovi entranti. Ma attenzione: non è un “liberi tutti”. Significa solo che chi entra nel 2026 ha un percorso temporale diverso. E proprio perché l’obbligo di notifica scatterà dal primo gennaio 2027, la designazione del referente CSIRT entro la fine del 2026 diventa un passaggio da pianificare subito, non all’ultimo momento.

Novità sulla modalità di utilizzo della piattaforma digitale NIS

L’ACN ha pubblicato anche la Determinazione 127437/2026 che aggiorna le modalità di utilizzo della piattaforma digitale NIS e che, all’articolo 18, introduce l’obbligo di elencare i fornitori rilevanti NIS: un’attività funzionale all’individuazione dei soggetti critici nella catena di approvvigionamento.

La stessa determina, agli articoli 20 e 21, disciplina anche gli aspetti procedurali relativi alla categorizzazione delle attività e dei servizi, in attuazione del decreto NIS.

Il tempo per lavorare “a spanne” è finito

La determina sulla piattaforma ha già messo in chiaro che il processo di elencazione e categorizzazione delle attività e dei servizi si svolgerà dal primo maggio al 30 giugno tramite il “Servizio NIS/Categorizzazione”, e che, una volta chiusa la finestra, l’elenco trasmesso si intende definitivamente acquisito, salvo verifiche di conformità e richieste di integrazione da parte di ACN.

Questo significa che non c’è più molto spazio per la vecchia abitudine tutta italiana del “intanto compiliamo qualcosa, poi vedremo”.

Qui il rischio è molto concreto: scrivere oggi documenti ancora troppo generici e doverli rimettere mano tra poche settimane, quando il modello di categorizzazione renderà evidente che il baricentro non è l’asset in sé, ma il servizio rilevante e l’impatto che produce la sua interruzione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Sandro Sana
Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, lavora nel settore dell’Information Technology dal 1990. Nel corso della sua carriera ha collaborato con realtà molto diverse, dalle piccole imprese agli enti pubblici, fino a grandi aziende nazionali e internazionali. Dal 2003 affianca alle competenze tecnologiche un interesse attivo per la comunicazione, il public speaking e la formazione. A partire dal 2014 si dedica con particolare attenzione alla sicurezza informatica, con un focus sull’innovazione, la ricerca e l’evoluzione delle minacce digitali. È certificato CEH – Certified Ethical Hacker, CIH – Certified Incident Handler e CISSP – Certified Information Systems Security Professional. È stato relatore agli eventi SMAU 2017 e 2018, e docente per SMAU Academy e ITS. È membro del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce allo sviluppo di strategie per la formazione, la ricerca applicata e il trasferimento tecnologico nel campo della cyber security. Divulgatore ed editorialista, promuove la cultura della sicurezza digitale con particolare attenzione agli aspetti sociali, economici e normativi della trasformazione digitale. Si occupa di sensibilizzare imprese e istituzioni su rischi, responsabilità e opportunità connesse alla cybersicurezza.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • nis2 cybersecurity360; Il primo computer quantistico si avvicina: occorre anticipare la transizione alla crittografia post-quantistica

  • protezione dati

    Il primo computer quantistico si avvicina: urgente la transizione alla crittografia post-quantistica

    03 Apr 2026

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • NordVPN

  • LA SOLUZIONE

    NordVPN, proteggere la connessione a Internet e la privacy in Rete: gli strumenti

    08 Nov 2025

    di redazione affiliazioni Nextwork360

    Condividi
  • La nuova architettura della governance digitale secondo l’ACN: chi guida l’organizzazione risponde in prima persona

  • L'evento

    Governance aziendale: così la determina NIS2 di ACN ridisegna la responsabilità cyber dei vertici

    16 Apr 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • DORA e Data Act catena di fornitura - Third-Party Risk Management (Tprm): come proteggere davvero la supply chain digitale; Strategic Sourcing e governance del rischio cyber: un framework per la gestione sostenibile delle terze parti digitali; I pilastri del TPRM con DORA: come trasformare il rischio terze parti in vantaggio competitivo

  • sicurezza fornitori

    Strategic Sourcing e governance del rischio cyber: una gestione sostenibile delle terze parti digitali

    22 Dic 2025

    di Marco Toiati

    Condividi
0
Lascia un commento, la tua opinione conta.x