NIS2: pubblicate le regole operative ACN per classificare attività e servizi
Aprile 23, 2026
Riconoscimento facciale aeroporto e GDPR: il Garante ferma il FaceBoarding di Milano Linate
Maggio 1, 2026 La normativa NIS (Network and Information Security), in vigore in Italia dal 16 ottobre 2024, entra in una nuova fase attuativa. Un aspetto fondamentale in questo contesto è rappresentato dalla NIS2, la nuova direttiva che aggiorna e amplia il quadro normativo europeo sulla cybersicurezza. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la determinazione 155238 del 20 aprile 2026, che definisce il processo, le modalita e i criteri per l’elencazione e la categorizzazione delle attivita e dei servizi dei soggetti NIS, in attuazione dell’articolo 30 del decreto NIS.
Per le organizzazioni coinvolte, questo significa un nuovo adempimento da completare entro il 30 giugno 2026 relativo anche alla direttiva NIS2.
Cos’e la categorizzazione NIS e perche e importante
La categorizzazione e un’analisi di impatto semplificata che i soggetti NIS devono svolgere sulle proprie attivita e sui propri servizi. In relazione alla normativa NIS2, l’obiettivo e classificare le diverse aree operative in base al loro livello di rilevanza per la sicurezza informatica, per identificare quali porzioni dei sistemi informativi richiedono misure di sicurezza piu stringenti.
Le dieci macro-aree e le quattro categorie di rilevanza
La determinazione ACN identifica dieci macro-aree per organizzare le attivita e i servizi dell’organizzazione. Da quest’anno, la normativa NIS2 richiede che a ciascuna macro-area sia attribuita una delle quattro categorie di rilevanza: impatto minimo, impatto basso, impatto medio e impatto alto. Questa classificazione e la base su cui costruire una strategia di cybersicurezza proporzionata e mirata.
Le misure di sicurezza: di base e a lungo termine
Il punto di partenza e l’implementazione delle misure di sicurezza di base gia previste dalla normativa NIS. Una volta completato questo percorso, entra in gioco la direttiva aggiornata NIS2, che ACN definira nel rispetto dei principi di proporzionalita e gradualita. Le organizzazioni con attivita ad alto impatto saranno soggette a requisiti piu stringenti.
Come e quando completare la categorizzazione
Gli esiti dell’analisi di impatto devono essere comunicati ad ACN tramite la piattaforma dedicata. Inoltre, la normativa di NIS2 stabilisce che il termine per la comunicazione va dal 1 maggio al 30 giugno 2026. Chi non ha ancora completato la registrazione sulla piattaforma ACN deve farlo prima di procedere.
Chi e coinvolto
La normativa NIS si applica a operatori di servizi essenziali, fornitori di servizi digitali e altri soggetti identificati dal decreto NIS. GetSolution supporta le organizzazioni nell’implementazione della normativa NIS2: dalla registrazione sulla piattaforma ACN alla valutazione del rischio, fino alla predisposizione delle misure di sicurezza richieste. Contattaci per rispettare le scadenze.