Privacy e supporto psicologico online per studenti: il Garante approva il servizio AscoltaMi
Maggio 8, 2026
Supply chain e NIS2: come classificare i fornitori ICT critici Guida pratica alla Determinazione ACN 127437/2026 – Scadenza 31 maggio 2026
Maggio 20, 2026
| ⏰ SCADENZA URGENTE: 30 GIUGNO 2026
Dal 1° maggio al 30 giugno 2026 tutti i soggetti NIS2 devono completare la categorizzazione delle proprie attività e servizi sulla piattaforma ACN. Chi non adempie in tempo rischia di non riuscire a implementare le misure di sicurezza entro la scadenza finale del 31 ottobre 2026. |
Categorizzazione ACN NIS2: guida pratica alla piattaforma NIS online
Il 2026 e l’anno in cui la NIS2 smette di essere un impegno teorico e diventa un processo amministrativo e tecnico concreto. Tra tutti gli adempimenti previsti dalla direttiva europea, uno dei più urgenti e la categorizzazione delle attività e dei servizi sulla piattaforma ACN, con scadenza inderogabile al 30 giugno 2026.
L’Agenzia per la Cybersicurezza Nazionale ha pubblicato la Determinazione n. 155238 del 20 aprile 2026, che definisce nel dettaglio il processo, le modalità e i criteri per questa operazione. In questo articolo ti guidiamo passo dopo passo attraverso tutto ciò che devi sapere e fare.
Cos’è la categorizzazione NIS2 e perché e obbligatoria
La categorizzazione e un’analisi di impatto semplificata che ogni soggetto NIS deve svolgere sulle proprie attività e sui propri servizi. Non si tratta di un semplice questionario: e il processo con cui ciascuna organizzazione definisce quali aree operative sono critiche per la sicurezza informatica e con quale intensità devono essere protette.
L’obiettivo dichiarato da ACN e chiaro: la NIS2 non chiede alle organizzazioni di fare subito tutto, ma chiede prima di sapere chi sono — di conoscere il proprio perimetro operativo, distinguere le attività rilevanti da quelle accessorie, comprendere le dipendenze tecnologiche e misurare l’impatto di una compromissione.
| Perché e fondamentale: la categorizzazione è la base su cui costruire tutta la strategia di cybersecurity. Senza di essa, non è possibile determinare quali misure di sicurezza adottare né con quale priorità. |
Le scadenze da segnare in rosso sul calendario
Il quadro delle scadenze NIS2 per il 2026 e articolato. Ecco una panoramica completa:
| Scadenza | Adempimento |
| 1° maggio 2026 | Apertura finestra per la categorizzazione sulla piattaforma ACN |
| 30 giugno 2026 | SCADENZA: chiusura finestra categorizzazione attività e servizi NIS2 |
| luglio – settembre 2026 | Pubblicazione linee guida settoriali ACN per tipologia di misura |
| 31 ottobre 2026 | Scadenza implementazione misure di sicurezza di base (18 mesi dalla comunicazione ACN) |
Le dieci macroaree per la categorizzazione
La Determinazione ACN n. 155238/2026 identifica dieci macroaree nelle quali ogni organizzazione deve suddividere le proprie attività e i propri servizi. Queste macroaree rappresentano il framework di riferimento per l’intera analisi:
- Governance e gestione del rischio
- Sicurezza delle risorse umane
- Sicurezza della catena di approvvigionamento (supply chain)
- Sicurezza nello sviluppo e nella gestione dei sistemi
- Gestione degli incidenti
- Continuità operativa e gestione delle crisi
- Sicurezza fisica e ambientale
- Controllo degli accessi e gestione delle identità
- Sicurezza delle reti e delle infrastrutture
- Crittografia e protezione dei dati
Per ciascuna di queste macroaree, l’organizzazione deve analizzare le proprie attività specifiche e attribuire una categoria di rilevanza.
Le quattro categorie di rilevanza
A ogni macroarea deve essere attribuita una delle quattro categorie di rilevanza previste dalla normativa. La scelta deve essere motivata e documentata:
| Categoria | Livello | Descrizione e Implicazioni |
| Impatto minimo | Bassa criticità | Attività non essenziali per la continuità dei servizi critici. Misure di sicurezza di base standard. |
| Impatto basso | Criticità limitata | Attività con impatto limitato in caso di compromissione. Misure proporzionate al rischio. |
| Impatto medio | Criticità significativa | Attività rilevanti per l’erogazione dei servizi. Misure rafforzate e monitoraggio continuo. |
| Impatto alto | Criticità massima | Attività critiche per la continuità dei servizi essenziali. Misure stringenti e audit periodici. |
La classificazione non è arbitraria: deve riflettere la reale criticità di ciascuna area per la continuità e la sicurezza dei servizi dell’organizzazione. ACN si riserva di valutare e quindi chiedere chiarimenti relativamente a classificazioni che non siano adeguatamente motivate.
I 5 errori più comuni da evitare
- Aspettare giugno per iniziare: la categorizzazione richiede un’analisi interna che non si improvvisa in pochi giorni. Inizia subito.
- Classificare tutto come ‘impatto minimo’: una classificazione artificiosa espone l’organizzazione a contestazioni in fase ispettiva e non riflette la realtà dei rischi.
- Non coinvolgere i responsabili di business: la categorizzazione non è solo IT. Richiede il contributo di chi gestisce i processi operativi e conosce le funzioni critiche.
- Trascurare la supply chain: i fornitori ICT critici devono essere identificati e inclusi nell’analisi. La NIS2 estende la responsabilità lungo tutta la catena di approvvigionamento.
Non documentare le scelte: ogni decisione di classificazione deve essere motivata e tracciabile. Cosa succede dopo il 30 giugno
Completata la categorizzazione, il percorso verso la piena compliance NIS2 prosegue con fasi sempre più operative:
- Luglio – settembre 2026: ACN pubblica le linee guida settoriali specifiche per tipologia di misura di sicurezza. Le organizzazioni potranno avere indicazioni concrete e operative su cosa implementare.
- Entro 31 ottobre 2026: implementazione completa delle misure di sicurezza di base, articolate nelle cinque aree fondamentali (governance e risk management, protezione tecnica, incident response, business continuity, formazione e monitoraggio).
- Dal 2027: introduzione delle misure a lungo termine, più approfondite e con perimetro più ampio.
Come Getsolution ti supporta in questo percorso
Getsolution accompagna le organizzazioni in ogni fase dell’adeguamento NIS2, con un approccio metodologico strutturato che parte proprio dalla categorizzazione ACN:
- Gap Analysis NIS2: valutiamo il tuo “as is” rispetto ai requisiti NIS2 e identifichiamo le aree di intervento prioritarie.
- Supporto alla categorizzazione: ti guidiamo nell’analisi delle dieci macroaree, nella classificazione corretta e nella compilazione della piattaforma ACN.
- Risk Analysis e Risk Treatment Plan: costruiamo con te un piano di trattamento del rischio proporzionato agli esiti della categorizzazione.
- Implementazione misure di sicurezza: progettiamo e implementiamo le misure di sicurezza di base richieste dalla NIS2 entro ottobre 2026.
- Complidoo GRC: la nostra piattaforma gestisce in modo integrato ed automatizzato NIS2, GDPR e ISO 27001 Formazione: formiamo il management e il personale sugli obblighi NIS2, inclusi i requisiti di responsabilità diretta per gli organi di amministrazione.
| Non aspettare l’ultimo momento
La scadenza del 30 giugno 2026 si avvicina. Contattaci per un supporto altamente professionale che viene incontro alle diverse esigenze aziendali getsolution.com/contattaci | info@getsolution.com | 0239661701 |