Cybersecurity & Compliance
NIS2: la categorizzazione ACN scade il 30 giugno. Sei pronto?
Se sei un soggetto NIS e non hai ancora completato la categorizzazione delle tue attività e servizi sulla piattaforma ACN, hai ancora poco tempo. Ecco cosa devi sapere, cosa rischi e da dove partire.
Il 30 giugno 2026 chiude la finestra per la categorizzazione prevista dall'art. 30 del D.Lgs. 138/2024 (Decreto NIS). Non si tratta di un adempimento da rimandare: dopo quella data l'elenco categorizzato si considera definitivamente acquisito e non è più modificabile. ACN lavora su quello che trova nel sistema, non su quello che avresti voluto caricare.
In sintesi: la categorizzazione è l'adempimento con cui ogni soggetto NIS deve mappare le proprie attività e i servizi nelle 10 macro-aree ACN, attribuire una categoria di rilevanza (da impatto minimo ad alto) e documentare gli eventuali scostamenti rispetto alla pre-assegnazione. La finestra è aperta dal 1° maggio al 30 giugno. Non è prorogabile.
Le scadenze 2026 che ogni soggetto NIS deve tenere a mente
- 31 maggio 2026 Aggiornamento dati e figure responsabili sul Portale ACN (per soggetti già iscritti nel 2025)
- 30 giugno 2026 Categorizzazione attività e servizi tramite il Servizio NIS/Categorizzazione. Scadenza non prorogabile.
- 31 ottobre 2026 Completamento adozione delle misure di sicurezza di base (Determina ACN 379907/2025)
- Entro 90 gg dal 30/6 ACN può effettuare verifiche a campione e comunicare eventuali rilievi. Opera su quanto trasmesso, non su intenzioni successive.
- Dal 1° nov. 2026 ACN può avviare attività ispettive sui soggetti NIS iscritti nel 2025
Cos'è la categorizzazione NIS2 e perché è così rilevante
La categorizzazione non è un modulo da compilare in fretta. È lo strumento con cui l'ACN calibra l'intera compliance NIS2 nel lungo periodo: la categoria di rilevanza che attribuisci alle tue attività determinerà, nelle fasi successive, la proporzionalità delle misure di sicurezza richieste. Chi categorizza male oggi si ritroverà con misure disallineate rispetto al rischio reale, che possono essere in difetto o in eccesso.
Il processo è disciplinato dalla Determinazione ACN n. 155238 del 20 aprile 2026 e dalle relative Linee guida operative. Non viene richiesto di descrivere i singoli asset, ma di aggregare attività e servizi nelle 10 macro-aree predefinite e assegnare a ciascuna un livello di impatto.
Le 10 macro-aree ACN: come si struttura il modello
Ogni soggetto NIS deve ricondurre la propria operatività alle seguenti macro-aree predefinite da ACN:
1 Governance, rischio e compliance
2 Gestione degli incidenti
3 Continuità operativa
4 Sicurezza della supply chain
5 Sicurezza nello sviluppo e acquisizione di sistemi
6 Gestione delle vulnerabilità
7 Protezione dei dati e privacy
8 Sicurezza fisica e ambientale
9 Gestione degli accessi e delle identità
10 Altri servizi e attività (residuale)
A ogni macro-area deve essere attribuita una delle quattro categorie di rilevanza, che esprimono l'impatto stimato in caso di incidente sulla continuità operativa, sui clienti e sui terzi.
| Categoria | Impatto stimato | Cosa implica |
|---|---|---|
| Impatto minimo | Effetti trascurabili su operatività e terzi | Obblighi di sicurezza graduati al livello base |
| Impatto basso | Disservizi limitati e gestibili internamente | Misure di sicurezza incrementali |
| Impatto medio | Effetti significativi su servizi o clienti | Piani di continuità e gestione incidenti strutturati |
| Impatto alto | Rischio sistemico o critico per i servizi erogati | Requisiti avanzati, audit, supply chain monitoring |
Da dove partire: i passi operativi per la categorizzazione
- Verifica il tuo accesso al Portale ACN tramite il Punto di Contatto designato. Controlla che la scheda "Categorizzazione Attività e Servizi" mostri lo stato "Da completare".
- Scarica il template Excel ufficiale ACN dalla sezione operativa del portale. Non utilizzare file di terze parti: solo il template ACN viene accettato dal sistema.
- Mappa le attività e i servizi effettivamente supportati da sistemi informativi e di rete, sia interni che erogati verso terzi. Includi le dipendenze dai fornitori critici (ICT e non fungibili).
- Associa ogni voce a una sola macro-area ACN e attribuisci la categoria di rilevanza. Se vuoi modificare quella pre-assegnata da ACN, documenta le motivazioni: la scelta deve essere oggettiva e difendibile in sede ispettiva.
- Carica e trasmetti l'elenco categorizzato tramite il Portale Servizi ACN. Ogni caricamento sovrascrive il precedente: il sistema tratta il file come documento unitario.
- Conserva tutta la documentazione interna (analisi di impatto, verbali, validazioni): ACN può richiederla in sede ispettiva a partire dal 1° novembre 2026.
Attenzione: se la tua organizzazione non ha ancora avviato la mappatura, due settimane possono essere sufficienti per completare l'adempimento, ma non per farlo bene senza supporto. Una categorizzazione imprecisa o compilata in fretta non si esaurisce in una sanzione formale: si traduce in un disallineamento tra profilo di rischio reale e misure richieste nelle fasi successive. Le sanzioni per mancato adempimento NIS2 possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale.
Approfondisci su Alchimie Digitali
Domande frequenti sulla categorizzazione NIS2
Chi è obbligato a completare la categorizzazione entro il 30 giugno 2026?
Tutti i soggetti inseriti nell'elenco NIS (essenziali e importanti) che hanno ricevuto la comunicazione di inserimento da parte di ACN. L'obbligo è previsto dall'art. 30 del D.Lgs. 138/2024 e riguarda la prima finestra annuale di categorizzazione, aperta dal 1° maggio al 30 giugno. Per i soggetti iscritti nel 2025 non sono previste proroghe. Se hai ricevuto la comunicazione da ACN nel corso del 2025, sei obbligato.
Cosa succede se non completo la categorizzazione entro il 30 giugno?
Dopo il 30 giugno la finestra si chiude e l'elenco categorizzato si considera definitivamente acquisito. Se non hai trasmesso nulla, ACN rileverà il mancato adempimento. La mancata compilazione configura una violazione degli obblighi NIS2, con sanzioni amministrative che possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale. Entro 90 giorni dalla chiusura della finestra, ACN può effettuare verifiche a campione e non potrà basarsi su nulla che non sia stato formalmente trasmesso.
Cosa sono le 10 macro-aree ACN e come si sceglie quella giusta?
Le 10 macro-aree sono raggruppamenti predefiniti da ACN (Determinazione 155238/2026) in cui ogni soggetto NIS deve collocare le proprie attività e i servizi. Non descrivono i singoli asset tecnici, ma aggregano l'operatività per aree funzionali: governance, incidenti, continuità, supply chain, sviluppo, vulnerabilità, dati, sicurezza fisica, accessi e una voce residuale. Per ogni macro-area si deve attribuire una categoria di rilevanza (minimo, basso, medio, alto) basata sull'impatto stimato in caso di incidente. La scelta deve essere coerente, documentata e difendibile.
Posso modificare la categoria di rilevanza pre-assegnata da ACN?
Sì. Il modello ACN prevede la possibilità di scostamento rispetto alla categoria pre-assegnata. Puoi attribuire una categoria diversa (superiore o inferiore) compilando il campo "Categoria di rilevanza attribuita" nel template Excel. È però fondamentale documentare le motivazioni in modo oggettivo e conservarle internamente: ACN può richiedere questa documentazione in sede ispettiva e si riserva di chiedere chiarimenti su classificazioni non adeguatamente motivate.
ACN effettua controlli dopo la scadenza? Come funzionano?
Sì. Dopo la chiusura della finestra del 30 giugno, ACN ha 90 giorni per effettuare verifiche a campione sui dati trasmessi, anche attraverso il confronto con elenchi di soggetti comparabili. Le verifiche avvengono su quanto presente nel sistema al momento della chiusura: nessuna integrazione successiva è possibile, salvo documentate criticità tecnico-operative non imputabili al soggetto NIS. A partire dal 1° novembre 2026, ACN può avviare attività ispettive più strutturate.
Come si inseriscono i fornitori rilevanti nella piattaforma ACN?
La Determinazione ACN n. 127437/2026 introduce l'obbligo di indicare i fornitori rilevanti NIS nell'ambito del processo di aggiornamento annuale. Rientrano in questo perimetro i fornitori ICT e quelli non fungibili, ovvero quelli che non possono essere sostituiti in tempi ragionevoli senza impatti significativi sui servizi erogati. La loro indicazione è parte integrante del processo di categorizzazione e risponde ai requisiti NIS2 sulla sicurezza della supply chain.
La categorizzazione impatta sulle misure di sicurezza future?
Direttamente. La categoria di rilevanza attribuita a ogni macro-area è la base su cui ACN calibrerà le misure di sicurezza a lungo termine, previste per fine 2026 in aggiunta alle misure di base già operative da ottobre. Come chiarito da ACN all'evento Clusit del 29 aprile 2026, la proporzionalità futura non dipenderà solo dalla distinzione essenziale/importante, ma dalla categoria assegnata a ciascuna macro-area. Una categorizzazione imprecisa si traduce in un disallineamento tra protezione richiesta e rischio reale.
Siamo una PMI senza un team IT strutturato. Possiamo farcela da soli?
Dipende dalla complessità dei servizi erogati e dal livello di preparazione interna. La categorizzazione richiede competenze su mappatura dei processi, business impact analysis e conoscenza della normativa ACN. Molte PMI affrontano per la prima volta un esercizio di questo tipo. Se hai meno di due settimane e non hai ancora avviato il processo, il rischio di errori o incoerenze è alto. Il supporto di un partner esterno specializzato consente di completare l'adempimento in modo corretto e difendibile, riducendo l'esposizione a rilievi in fase ispettiva. Contattaci per capire da dove partire.
Hai ancora due settimane. Non sprecarle.
Se sei in ritardo sulla categorizzazione NIS2 e non sai da dove partire, parlaci. Analizziamo la tua situazione, ti aiutiamo a mappare le attività nelle macro-aree ACN e a documentare gli scostamenti in modo solido e difendibile.
Scrivici ora
Data pubblicazione: