Privacy e supporto psicologico online per studenti: il Garante approva il servizio AscoltaMi
Maggio 8, 2026Supply chain e NIS2: come classificare i fornitori ICT critici Guida pratica alla Determinazione ACN 127437/2026 – Scadenza 31 maggio 2026
Maggio 20, 2026
| โฐ SCADENZA URGENTE: 30 GIUGNO 2026
Dal 1ยฐ maggio al 30 giugno 2026 tutti i soggetti NIS2 devono completare la categorizzazione delle proprie attivitร e servizi sulla piattaforma ACN. Chi non adempie in tempo rischia di non riuscire a implementare le misure di sicurezza entro la scadenza finale del 31 ottobre 2026. |
Categorizzazione ACN NIS2: guida pratica alla piattaforma NIS online
Il 2026 e l’anno in cui la NIS2 smette di essere un impegno teorico e diventa un processo amministrativo e tecnico concreto. Tra tutti gli adempimenti previsti dalla direttiva europea, uno dei piรน urgenti e la categorizzazione delle attivitร e dei servizi sulla piattaforma ACN, con scadenza inderogabile al 30 giugno 2026.
L’Agenzia per la Cybersicurezza Nazionale ha pubblicato la Determinazione n. 155238 del 20 aprile 2026, che definisce nel dettaglio il processo, le modalitร e i criteri per questa operazione. In questo articolo ti guidiamo passo dopo passo attraverso tutto ciรฒ che devi sapere e fare.
Cosโรจ la categorizzazione NIS2 e perchรฉ e obbligatoria
La categorizzazione e un’analisi di impatto semplificata che ogni soggetto NIS deve svolgere sulle proprie attivitร e sui propri servizi. Non si tratta di un semplice questionario: e il processo con cui ciascuna organizzazione definisce quali aree operative sono critiche per la sicurezza informatica e con quale intensitร devono essere protette.
L’obiettivo dichiarato da ACN e chiaro: la NIS2 non chiede alle organizzazioni di fare subito tutto, ma chiede prima di sapere chi sono โ di conoscere il proprio perimetro operativo, distinguere le attivitร rilevanti da quelle accessorie, comprendere le dipendenze tecnologiche e misurare l’impatto di una compromissione.
| Perchรฉ e fondamentale: la categorizzazione รจ la base su cui costruire tutta la strategia di cybersecurity. Senza di essa, non รจ possibile determinare quali misure di sicurezza adottare nรฉ con quale prioritร . |
Le scadenze da segnare in rosso sul calendario
Il quadro delle scadenze NIS2 per il 2026 e articolato. Ecco una panoramica completa:
| Scadenza | Adempimento |
| 1ยฐ maggio 2026 | Apertura finestra per la categorizzazione sulla piattaforma ACN |
| 30 giugno 2026 | SCADENZA: chiusura finestra categorizzazione attivitร e servizi NIS2 |
| luglio – settembre 2026 | Pubblicazione linee guida settoriali ACN per tipologia di misura |
| 31 ottobre 2026 | Scadenza implementazione misure di sicurezza di base (18 mesi dalla comunicazione ACN) |
Le dieci macroaree per la categorizzazione
La Determinazione ACN n. 155238/2026 identifica dieci macroaree nelle quali ogni organizzazione deve suddividere le proprie attivitร e i propri servizi. Queste macroaree rappresentano il framework di riferimento per l’intera analisi:
- Governance e gestione del rischio
- Sicurezza delle risorse umane
- Sicurezza della catena di approvvigionamento (supply chain)
- Sicurezza nello sviluppo e nella gestione dei sistemi
- Gestione degli incidenti
- Continuitร operativa e gestione delle crisi
- Sicurezza fisica e ambientale
- Controllo degli accessi e gestione delle identitร
- Sicurezza delle reti e delle infrastrutture
- Crittografia e protezione dei dati
Per ciascuna di queste macroaree, l’organizzazione deve analizzare le proprie attivitร specifiche e attribuire una categoria di rilevanza.
Le quattro categorie di rilevanza
A ogni macroarea deve essere attribuita una delle quattro categorie di rilevanza previste dalla normativa. La scelta deve essere motivata e documentata:
| Categoria | Livello | Descrizione e Implicazioni |
| Impatto minimo | Bassa criticitร | Attivitร non essenziali per la continuitร dei servizi critici. Misure di sicurezza di base standard. |
| Impatto basso | Criticitร limitata | Attivitร con impatto limitato in caso di compromissione. Misure proporzionate al rischio. |
| Impatto medio | Criticitร significativa | Attivitร rilevanti per l’erogazione dei servizi. Misure rafforzate e monitoraggio continuo. |
| Impatto alto | Criticitร massima | Attivitร critiche per la continuitร dei servizi essenziali. Misure stringenti e audit periodici. |
La classificazione non รจ arbitraria: deve riflettere la reale criticitร di ciascuna area per la continuitร e la sicurezza dei servizi dell’organizzazione. ACN si riserva di valutare e quindi chiedere chiarimenti relativamente a ย ย classificazioni che non siano adeguatamente motivate.
I 5 errori piรน comuni da evitare
- Aspettare giugno per iniziare: la categorizzazione richiede un’analisi interna che non si improvvisa in pochi giorni. Inizia subito.
- Classificare tutto come โimpatto minimoโ: una classificazione artificiosa espone l’organizzazione a contestazioni in fase ispettiva e non riflette la realtร dei rischi.
- Non coinvolgere i responsabili di business: la categorizzazione non รจ solo IT. Richiede il contributo di chi gestisce i processi operativi e conosce le funzioni critiche.
- Trascurare la supply chain: i fornitori ICT critici devono essere identificati e inclusi nell’analisi. La NIS2 estende la responsabilitร lungo tutta la catena di approvvigionamento.
Non documentare le scelte: ogni decisione di classificazione deve essere motivata e tracciabile. Cosa succede dopo il 30 giugno
Completata la categorizzazione, il percorso verso la piena compliance NIS2 prosegue con fasi sempre piรน operative:
- Luglio – settembre 2026: ACN pubblica le linee guida settoriali specifiche per tipologia di misura di sicurezza. Le organizzazioni potranno avere indicazioni concrete e operative su cosa implementare.
- Entro 31 ottobre 2026: implementazione completa delle misure di sicurezza di base, articolate nelle cinque aree fondamentali (governance e risk management, protezione tecnica, incident response, business continuity, formazione e monitoraggio).
- Dal 2027: introduzione delle misure a lungo termine, piรน approfondite e con perimetro piรน ampio.
Come Getsolution ti supporta in questo percorso
Getsolution accompagna le organizzazioni in ogni fase dell’adeguamento NIS2, con un approccio metodologico strutturato che parte proprio dalla categorizzazione ACN:
- Gap Analysis NIS2: valutiamo il tuo โas isโ rispetto ai requisiti NIS2 e identifichiamo le aree di intervento prioritarie.
- Supporto alla categorizzazione: ti guidiamo nell’analisi delle dieci macroaree, nella classificazione corretta e nella compilazione della piattaforma ACN.
- Risk Analysis e Risk Treatment Plan: costruiamo con te un piano di trattamento del rischio proporzionato agli esiti della categorizzazione.
- Implementazione misure di sicurezza: progettiamo e implementiamo le misure di sicurezza di base richieste dalla NIS2 entro ottobre 2026.
- Complidoo GRC: la nostra piattaforma gestisce in modo integrato ed automatizzato NIS2, GDPR e ISO 27001 Formazione: formiamo il management e il personale sugli obblighi NIS2, inclusi i requisiti di responsabilitร diretta per gli organi di amministrazione.
| Non aspettare l’ultimo momento
La scadenza del 30 giugno 2026 si avvicina. Contattaci per un supporto altamente professionale che viene incontro alle diverse esigenze aziendali getsolution.com/contattaci |ย info@getsolution.comย |ย 0239661701 |

