Direttiva NIS 2026: come funziona la nuova categorizzazione di attività e servizi

È uscita la nuova determinazione dell’Agenzia per la Cybersicurezza Nazionale (ACN), che definisce modalità e criteri per l’elencazione e la categorizzazione delle attività e dei servizi ai sensi della Direttiva NIS. Un passaggio fondamentale per rafforzare la gestione del rischio e migliorare la resilienza cyber delle organizzazioni italiane. Nel calcio, ogni partita si vince partendo da una buona lettura del campo: capire dove sono gli spazi, dove attaccare e dove difendere. Allo stesso modo, nel mondo della cybersecurity, le organizzazioni devono conoscere con precisione il proprio “campo di gioco” digitale. Vediamolo.NIS 2026: cosa cambia con la nuova determinazione ACN

A seguito degli aggiornamenti discussi nel Tavolo NIS, ACN ha pubblicato una determinazione che chiarisce come le organizzazioni devono classificare le proprie attività e servizi.

L’obiettivo è strutturare un processo standardizzato che permetta di:

• identificare le componenti critiche dei sistemi informativi
• classificare servizi e attività in base al loro impatto
• applicare misure di sicurezza proporzionate

Questa evoluzione si inserisce nel percorso di adeguamento alla normativa NIS, che richiede un approccio sempre più maturo alla gestione del rischio cybersecurity. L’obiettivo è rendere omogeneo il modo in cui le aziende identificano i propri asset critici, introducendo un approccio standardizzato che permetta di confrontare e valutare in modo coerente il livello di rischio.

Le 10 macro-aree e le categorie di impatto

La determinazione ACN (n. 155238 del 20 aprile 2026) introduce un modello basato su:

• 10 macro-aree per organizzare attività e servizi
• 4 categorie di rilevanza:
  • impatto minimo
  • impatto basso
  • impatto medio
  • impatto alto

Questa classificazione rappresenta il cuore del nuovo modello NIS: consente infatti di capire quali asset richiedono maggiore protezione. Lo schema consente di costruire una mappa chiara delle priorità aziendali: non tutti i servizi hanno lo stesso peso e non tutte le componenti dell’infrastruttura richiedono lo stesso livello di protezione. La categorizzazione permette proprio di distinguere ciò che è marginale da ciò che è realmente critico, facilitando decisioni più informate.

Perché la categorizzazione è cruciale per la cybersecurity

La categorizzazione non è un mero esercizio burocratico, ma uno strumento operativo chiave.

Permette di:

• individuare le parti più critiche dell’infrastruttura IT
• prioritizzare gli interventi di sicurezza
• applicare misure più incisive dove il rischio è maggiore

Dopo l’adozione delle misure di sicurezza di base, le organizzazioni dovranno integrare:

• misure di sicurezza a lungo termine, definite da ACN
• criteri basati su proporzionalità e gradualità

Vuoi sapere a che punto sei con l'adeguamento alla NIS2? Qui trovi una checklist gratuita per fare un'auto-diagnosi della tua situazione aziendale.

Obblighi NIS 2026: scadenze e comunicazione ad ACN

Dal punto di vista operativo, le aziende coinvolte dovranno effettuare un’analisi di impatto semplificata, armonizzata e condivisa, i cui risultati dovranno essere trasmessi all’Autorità nazionale competente NIS attraverso la piattaforma ACN.

La finestra temporale per questo adempimento è fissata tra il 1° maggio e il 30 giugno 2026. Si tratta di una scadenza importante, perché segna il passaggio dalla teoria alla pratica: le organizzazioni sono chiamate a tradurre il modello di categorizzazione in un’attività concreta, documentata e verificabile.

Le organizzazioni coinvolte dovranno:

• effettuare una analisi di impatto semplificata e armonizzata
• comunicare i risultati tramite la piattaforma ACN

Finestra temporale:

• dal 1° maggio al 30 giugno 2026

Secondo quanto stabilito dalla determinazione 127437/2026.

Questo passaggio è fondamentale per garantire la conformità agli obblighi NIS e per evitare rischi di non compliance.

Il ruolo dei fornitori rilevanti NIS

Un elemento importante introdotto è l’indicazione dei fornitori rilevanti, che amplia il perimetro della sicurezza. Questo implica che le organizzazioni dovranno rafforzare le proprie pratiche di gestione della supply chain, valutando i rischi associati alle terze parti e integrando controlli più stringenti. La resilienza complessiva dipende infatti anche dalla solidità dei soggetti esterni con cui si collabora.

Le aziende dovranno quindi:

• valutare anche i rischi della supply chain
• includere i fornitori nella strategia di cybersecurity
• rafforzare i controlli su terze parti

Impatti per le aziende: da compliance a strategia

La nuova categorizzazione segna un passaggio chiave:
da un approccio formale alla sicurezza → a una strategia basata sul rischio reale.

Le aziende più mature potranno:

• migliorare la resilienza operativa
• ottimizzare gli investimenti in sicurezza
• allinearsi alle best practice europee NIS2

In una partita di calcio, la differenza tra una squadra disorganizzata e una ben strutturata sta nella capacità di leggere il gioco e posizionarsi nel modo corretto in ogni fase. La nuova categorizzazione NIS offre alle organizzazioni proprio questa capacità: vedere con chiarezza il proprio campo digitale e intervenire nei punti più critici.

Chi saprà interpretare correttamente queste indicazioni non si limiterà a difendere la propria porta, ma sarà in grado di gestire la sicurezza in modo proattivo, trasformandola in un elemento centrale della propria strategia. Ti serve supporto in questa fase per capire come mettere a terra la NIS2 come un'opportunità invece che come un adempimento? Fissa una call con Cristiano.