Le indicazioni pratiche per il nuovo adempimento NIS da completare entro il 30 giugno 2026.
L’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha pubblicato oggi la Determinazione ACN n. 155238/2026 (“Determinazione”), recante le categorie di rilevanza nonché il processo, le modalità e i criteri per l'elencazione, caratterizzazione e categorizzazione delle attività e dei servizi.
La Determinazione adotta il modello di categorizzazione meglio definito agli allegati 1 e 2 della stessa Determinazione. Entrambi i modelli sono articolati in dieci macro-aree, per ciascuna delle quali sono indicate la denominazione, la descrizione e la categoria di rilevanza pre-assegnata. Le quattro categorie di rilevanza individuate dalla determinazione sono: impatto alto, impatto medio, impatto basso e impatto minimo.
Sotto il profilo contenutistico, i due allegati individuano le medesime macro-aree, che si distinguono per la categoria di rilevanza loro attribuita.
Quanto all’ambito di applicazione, l’Allegato 1 si applica ai soggetti NIS riconducibili alle tipologie di soggetto riconducibili ai settori: energia; trasporti; sanitario; acqua potabile; acque reflue; spazio; servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione; e ai soggetti che forniscono servizi di trasporto pubblico locale. L’Allegato 2 si applica a tutti gli altri soggetti NIS non riconducibili a tali settori.
Sul piano operativo, la Determinazione stabilisce che i soggetti NIS, tramite il Portale ACN, devono procedere all’elencazione e alla categorizzazione di tutte le attività svolte e di tutti i servizi erogati, sia internamente sia esternamente, suddividendoli nelle macro-aree del modello di cui all’allegato rilevante. Per ogni attività o servizio devono indicare tre elementi: la macro-area corrispondente, la denominazione e descrizione, e la categoria di rilevanza.
È previsto anche un margine di valutazione autonoma. Il soggetto NIS può infatti attribuire a una specifica attività o a un servizio una categoria diversa da quella pre-assegnata alla macro-area, ma solo sulla base di una propria valutazione dell’impatto che una possibile compromissione avrebbe sulla capacità di svolgere correttamente le attività e i servizi NIS. In questo caso, il soggetto deve conservare la documentazione che giustifica tale valutazione. Se invece non svolge attività o non eroga servizi riconducibili a una o più macro-aree, non è tenuto a indicarle.
La Determinazione prevede poi due regole di coordinamento. La prima riguarda i soggetti che hanno già svolto la classificazione dei dati e dei servizi per la Pubblica Amministrazione ai sensi del Decreto Direttoriale ACN n. 21007/24: per tali soggetti si applica quel modello, in luogo del modello della presente determinazione. La seconda riguarda le attività e i servizi soggetti alla disciplina del perimetro di sicurezza nazionale cibernetica, per cui la categoria di rilevanza è predeterminata come “impatto alto”, senza applicare il procedimento ordinario.
Infine, per quanto non espressamente previsto dalla Determinazione, si applicano le Disposizioni del Decreto NIS. Tale Determinazione si applica a decorrere dal 1° maggio 2026.
