25.06.2026

L’obbligo di categorizzazione, come destreggiarsi nell’ambito della prossima scadenza ACN.

Il Caffè Digitale

 

Ogni scadenza segna una tappa importante nel processo di conformità rispetto alla direttiva NIS2 e, in seguito alla fase di registrazione e coinvolgimento dei soggetti interessati, oggi siamo davanti all’inizio di una nuova fase che consentirà di pianificare attentamente le prossime attività di monitoraggio.

Attualmente molte aziende italiane si trovano davanti ad un’altra scadenza da non sottovalutare, stiamo parlando della scadenza del 30 giugno 2026 in merito alla Categorizzazione dei servizi NIS2. In questo caso, la finalità di ACN è ben chiara: costruire una mappa essenziale dei servizi critici.

Ciò che differenzia questa scadenza rispetto alle precedenti direttive NIS2 è l’ampliamento del bacino dei settori coinvolti. Questo è un aspetto che tende a passare inosservato, ma è il motivo per cui molte organizzazioni hanno scoperto solo recentemente di rientrare in questo perimetro e, di conseguenza, di doversi conformare alla norma. Questo le ha portate a doversi interfacciare con la normativa e gli adempimenti richiesti in tempi ridotti. Nello specifico, si fa riferimento soprattutto a enti che forniscono servizi o prodotti a strutture soggette alla disposizione, le quali, possono consolidare la loro inattaccabilità solo se anche i loro fornitori possiedono adeguati livelli di sicurezza.

Scendendo nel dettaglio, è opportuno capire cosa richiede ACN per la scadenza imminente di fine giugno. Osserviamo che, in prima battuta, l’autorità necessita di conoscere i servizi erogati dai soggetti NIS2 e ciò significa andare a identificare i processi aziendali che possono avere un impatto sulla continuità operativa. A seguire, ritiene rilevante individuare le dipendenze tecnologiche e di fornitura, al fine di comprendere quanto un ipotetico incidente possa influire sull’interruzione del servizio importante o essenziale. Questo fa emergere anche la necessità di fare una stima delle possibili conseguenze in seguito al verificarsi di incidenti cyber. Infine, lo scopo sarà anche consentire una riflessione rispetto alle priorità di vigilanza e gestione del rischio.  

È sempre opportuno tenere presente che parlare di obbligo di categorizzazione significa parlare di una dichiarazione ufficiale verso le autorità. Si tratta quindi di un’operazione che richiede la massima attenzione da parte di tutti i soggetti NIS2 essenziali ed importanti coinvolti nel processo di compilazione.

Il modello di Categorizzazione è strutturato partendo dalle attività e dai servizi che un soggetto NIS2 svolge. In merito a questo, ACN ha fornito in maniera precisa e puntuale alcune macroaree di riferimento a cui dovranno essere associati attività e servizi rilevanti per il singolo soggetto e dovrà essere conferito un grado di rilevanza per ciascuna di queste macroaree. È importante tenere in considerazione che questo processo non deve avere solo uno sguardo interno all’ente, ma deve essere orientato anche verso l’esterno prendendo in considerazione l’eventuale livello d’impatto di queste attività e servizi verso i clienti.

Il template di ACN attribuisce una categoria di rilevanza rispetto all’eventualità in cui un’attività o un servizio possa essere al centro di una compromissione, tale da influire sulla capacità del soggetto di assicurare l’erogazione dei servizi. Per ACN esistono quattro categorie di rilevanza e l’autorità assegna preventivamente la categoria che ritiene più opportuna, ma nell’ambito di questa scadenza le organizzazioni hanno la possibilità di discostarsi dall’indirizzo iniziale fornito da ACN. In questa circostanza, sarà opportuno specificare la motivazione di tale scelta e, in caso di necessità, documentare questo tipo di valutazione. 

La mappatura delle attività e dei servizi rappresenta un’attività articolata e si rivela un’operazione trasversale perché coinvolge più aree aziendali, ciò comporta dover avere ben chiaro chi coinvolgere in questo processo e come reperire le informazioni necessarie alla compilazione dei campi. In quest’ottica è fondamentale munirsi di una metodologia chiara e strutturata, in modo da poter procedere con ogni step in modo coerente e lineare.

Il posizionamento all’interno di una delle categorie è il requisito essenziale per applicare un criterio di supervisione e controllo adeguato. Ovvero, più un ente è strategico per l’operatività del Pease e superiore sarà l’impegno da parte di ACN nel prevenire e fronteggiare i possibili incidenti informatici.

In conclusione, è opportuno affermare che con il tema della Categorizzazione siamo davanti ad un momento chiave in ambito della normativa NIS2 e che, come tale, richiede un elevato livello di accuratezza.

 

Avv. Valentina Frediani
Founder & CEO, Colin & Partners

Visualizza l'Archivio