L’Agenzia per la cybersicurezza nazionale (ACN), con determinazione n. 155238 del 20 aprile 2026, ha chiarito il processo, le modalità ed i criteri per l’elencazione e la categorizzazione delle attività e dei servizi di cui all’articolo 30 del decreto NIS.
In base a tale articolo, dal 1° maggio al 30 giugno di ogni anno, i soggetti essenziali e i soggetti importanti comunicano e aggiornano un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
In particolare, ha identificato dieci macro-aree per organizzare le attività e i servizi dell’organizzazione, a cui dovrà essere attribuita una delle quattro categoria di rilevanza (impatto minimo, basso, medio e alto).
La finalità perseguita è quella di aggregare attività e servizi in funzione della categoria di rilevanza previste dal modello di categorizzazione, presupposto per l’identificazione delle porzioni di sistemi informativi e di rete su cui è necessario procedere ad una mitigazione del rischio più incisiva e mirata, una volta completato il percorso di adeguamento alle “misure di sicurezza di base”.
A ciò andranno poi integrati ulteriori requisiti con le c.d. “misure di sicurezza a lungo termine”, che saranno stabilite da ACN nel pieno rispetto dei principi di proporzionalità e gradualità.
Gli esiti di questa analisi d’impatto semplificata, armonizzata e condivisa, dovranno essere comunicati all’Autorità nazionale competente NIS tramite la piattaforma ACN, dal primo maggio al 30 giugno, secondo la procedura stabilita dalla determinazione 127437/2026.
