Categorizzazione NIS2: guida operativa al modello ACN per soggetti essenziali e importanti
Il modello ACN per la categorizzazione di attività e servizi NIS2: 10 macro-aree, 4 categorie di rilevanza, differenza tra Allegato 1 e Allegato 2 e scadenze per i soggetti essenziali e importanti entro il 30 giugno 2026.
In sintesi
Dal 1° maggio al 30 giugno di ogni anno i soggetti essenziali e importanti devono comunicare sulla piattaforma ACN l’elenco categorizzato delle proprie attività e servizi. Il modello, definito dalla Determinazione ACN n. 155238 del 20 aprile 2026, organizza tutto in 10 macro-aree e 4 categorie di rilevanza (impatto minimo, basso, medio, alto). Il primo ciclo si chiude il 30 giugno 2026. Non è un esercizio formale: è la base su cui ACN costruirà le misure di sicurezza a lungo termine, modulandole sulla rilevanza assegnata.
Cosa prevede l’articolo 30 del decreto NIS
L’articolo 30, comma 1, del decreto legislativo 4 settembre 2024, n. 138 (decreto NIS) prevede che dal 1° maggio al 30 giugno di ogni anno i soggetti essenziali e i soggetti importanti comunichino e aggiornino sulla piattaforma digitale ACN un elenco delle proprie attività e servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e dell’attribuzione di una categoria di rilevanza.
Il comma 2 del medesimo articolo demanda all’Agenzia per la cybersicurezza nazionale il compito di stabilire categorie di rilevanza, criteri, modalità e processo di elencazione e categorizzazione. Questo mandato è stato attuato con la Determinazione del Direttore Generale ACN n. 155238 del 20 aprile 2026, entrata in vigore il 1° maggio 2026.
La Determinazione ACN 155238/2026: cosa introduce
La Determinazione ACN 155238/2026 spiega ai soggetti NIS come compilare l’elenco delle attività e dei servizi che ogni anno devono comunicare ad ACN, tra il 1° maggio e il 30 giugno, attraverso la piattaforma digitale prevista dall’articolo 30 del decreto NIS.
Il provvedimento definisce il modello di categorizzazione, fondato su due elementi:
- dieci macro-aree, che raggruppano in modo omogeneo le attività di un’organizzazione (dalla produzione di beni e servizi alla gestione amministrativa, dalla logistica alla gestione dei clienti);
- quattro categorie di rilevanza — impatto minimo, basso, medio, alto — che misurano il peso di ciascuna attività in termini di impatto in caso di compromissione.
Il modello è declinato in due Allegati tecnici distinti, Allegato 1 e Allegato 2, che si applicano a categorie diverse di soggetti e prevedono pre-assegnazioni differenti per alcune macro-aree (la differenza più rilevante riguarda la Logistica).
In concreto, ogni soggetto NIS deve fare tre cose:
- indicare in quali macro-aree opera;
- elencare le attività e i servizi che svolge all’interno di ciascuna macro-area;
- attribuire a ciascuna voce una categoria di rilevanza.
Questo è il processo suggerito da ACN, ma non è vincolante. Il soggetto può scegliere una metodologia diversa, o riutilizzare analisi di impatto già condotte (BIA, risk assessment, classificazioni ISO 27001), purché il risultato finale sia coerente con il modello.
Le 10 macro-aree del modello
Il modello organizza tutta l’operatività dell’organizzazione in dieci raggruppamenti astratti. Ogni attività e ogni servizio va ricondotto a una sola macro-area.
| # | Macro-area | Cosa comprende |
|---|---|---|
| 1 | Monitoraggio e controllo | Attività di supervisione, controllo dei processi produttivi, sorveglianza |
| 2 | Produzione di beni e servizi | Il core operativo dell’organizzazione, ciò per cui esiste |
| 3 | Ricerca, sviluppo e progettazione | R&D, progettazione di nuovi prodotti o servizi |
| 4 | Gestione finanziaria | Tesoreria, contabilità, controllo di gestione |
| 5 | Gestione dei clienti | CRM, customer care, gestione utenti |
| 6 | Gestione delle risorse umane | HR, payroll, gestione del personale |
| 7 | Logistica | Movimentazione, magazzino, distribuzione |
| 8 | Comunicazione e marketing | Comunicazione esterna, marketing, gestione del brand |
| 9 | Gestione amministrativa | Funzioni di supporto, amministrazione generale |
| 10 | Altri servizi e attività | Tutto ciò che non rientra nelle nove precedenti |
La macro-area “Altri servizi e attività” esiste come fall-back, ma va usata con parsimonia. Se un’organizzazione ci infila troppo, vuol dire che non ha capito le altre nove o che sta cercando di evitare categorizzazioni più alte. Il dato sarà visibile ad ACN.
Le 4 categorie di rilevanza
A ogni attività e a ogni servizio va attribuita una categoria di rilevanza. La categoria misura l’impatto che la compromissione di quella attività avrebbe sulla capacità del soggetto di svolgere correttamente i servizi NIS, ossia i servizi per i quali è stato inserito nell’elenco nazionale.
Le categorie sono quattro, a impatto crescente:
- impatto minimo: la compromissione produrrebbe effetti trascurabili sui servizi NIS;
- impatto basso: effetti limitati, gestibili senza interruzioni significative;
- impatto medio: effetti rilevanti, con possibili degradi del servizio;
- impatto alto: effetti gravi, fino alla compromissione dei servizi NIS.
La categoria di rilevanza può essere pre-assegnata dal modello oppure non pre-assegnata, e in quest’ultimo caso spetta al soggetto attribuirla.
Per molte macro-aree il modello ACN fissa già una categoria di rilevanza di default, valida per la generalità dei soggetti che ricadono in quell’Allegato. Quando in piattaforma selezioni una di queste macro-aree, il sistema ti mostra direttamente la categoria pre-assegnata, senza che tu debba sceglierla.
Esempi tratti dall’Allegato 2:
- “Logistica” è pre-assegnata a impatto minimo;
- “Produzione di beni e servizi” è pre-assegnata a impatto alto;
- “Gestione finanziaria” è pre-assegnata a impatto basso.
Il soggetto può accettare la pre-assegnazione (è il caso più frequente, e non richiede documentazione aggiuntiva) oppure discostarsene, attribuendo una categoria diversa — più alta o più bassa — in base alla criticità reale di quella specifica attività. Il discostamento è espressamente ammesso dall’articolo 3, comma 3, della Determinazione 155238/2026, ma richiede un’analisi di impatto documentata e conservata internamente.
Per questo, dentro la stessa macro-area possono convivere attività e servizi con categorie di rilevanza diverse.
Allegato 1 o Allegato 2: come capire quale usare
La Determinazione 155238/2026 prevede due Allegati con la stessa struttura ma pre-assegnazioni differenti. La scelta non dipende dal fatto che il soggetto sia essenziale o importante. Dipende dal settore.
Allegato 1 — si applica ai soggetti operanti nei settori di:
- energia, trasporti, sanità, acqua potabile, acque reflue, spazio;
- altri settori critici dell’Allegato II del decreto NIS (servizi postali, gestione dei rifiuti, fabbricazione di prodotti chimici, alimentari, dispositivi medici, computer e prodotti elettronici, macchinari, autoveicoli, fornitori di servizi digitali, ricerca);
- trasporto pubblico locale.
Allegato 2 — si applica a tutti gli altri soggetti NIS, tra cui:
- settore bancario e dei mercati finanziari;
- infrastrutture digitali (data center, servizi cloud, CDN, ecc.);
- fornitori di servizi ICT business-to-business;
- pubbliche amministrazioni non rientranti nell’Allegato 1.
La differenza pratica tra i due Allegati è limitata ma rilevante. La macro-area Logistica, per esempio, è pre-assegnata a impatto basso nell’Allegato 1 e a impatto minimo nell’Allegato 2. Un soggetto sanitario che gestisce logistica farmaceutica parte con un’asticella più alta rispetto a un fornitore ICT che gestisce logistica documentale.
Attenzione alla scelta dell’Allegato. Va verificata la propria esatta tipologia di soggetto come indicata nel decreto NIS e negli Allegati al provvedimento di inserimento ACN. L’errore di Allegato comporta un’intera categorizzazione viziata, con conseguente necessità di rifare il lavoro.
Il processo in tre fasi: identificare, mappare, categorizzare
ACN suggerisce un processo articolato in tre fasi. Non è vincolante — l’articolo 3, comma 3, della Determinazione 155238/2026 prevede esplicitamente che il soggetto possa adottare altre modalità di analisi o impiegare gli esiti di analisi di impatto già svolte — ma è il punto di riferimento più solido.
Fase 1 — Identificazione di attività e servizi
Si fa l’inventario completo di tutte le attività svolte e di tutti i servizi erogati dall’organizzazione che sono supportati, svolti o erogati da sistemi informativi e di rete. Vanno inclusi:
- attività interne (HR, contabilità, formazione, ecc.);
- servizi erogati a clienti, utenti, cittadini;
- servizi infragruppo;
- attività di filiera (logistica, fornitura, manutenzione, ecc.).
Ogni voce è caratterizzata da una denominazione e una descrizione. La descrizione deve essere sufficientemente specifica da permettere ad ACN di ricostruire di cosa si tratta in caso di ispezione.
L’errore più diffuso in questa fase è il livello di granularità sbagliato. Troppo dettaglio produce un elenco ingestibile (centinaia di voci che descrivono micro-attività); troppo poco dettaglio rende impossibile differenziare le categorie di rilevanza. La regola pratica: ogni voce deve essere riconoscibile da un business owner e abbastanza autonoma da poter essere valutata in termini di impatto.
Fase 2 — Mappatura nelle macro-aree
Ogni attività e ogni servizio va ricondotto a una sola delle dieci macro-aree. Se un’attività ricade naturalmente in più macro-aree, vanno scomposte. Esempio: la “fatturazione elettronica ai clienti” può essere scomposta in due voci, una in “Gestione dei clienti” e una in “Gestione finanziaria”, a seconda del processo che si vuole proteggere.
ACN consiglia un approccio combinato top-down (dai processi e dalle funzioni alle attività) e bottom-up (dagli asset e dai sistemi alle attività che essi supportano). I due approcci si compensano: il top-down rispetta la logica del modello, il bottom-up evita di dimenticare attività di back-end che il business dà per scontate.
Fase 3 — Attribuzione della categoria di rilevanza
Ogni voce riceve una categoria tra impatto minimo, basso, medio o alto. Il punto di partenza è la categoria pre-assegnata alla macro-area di appartenenza. Il soggetto può:
- accettare la pre-assegnazione (caso più frequente);
- alzare la categoria (esempio: una macro-area pre-assegnata a impatto basso contiene un servizio che, per il soggetto, è critico);
- abbassare la categoria, motivandolo con analisi di impatto.
La motivazione del discostamento va documentata e conservata. L’articolo 3, comma 3, della Determinazione 155238/2026 lo prevede esplicitamente: il soggetto è tenuto a conservare la documentazione recante l’analisi di impatto che ha portato a una categoria differente da quella pre-assegnata.
Quando si può discostare dalla categoria pre-assegnata
La pre-assegnazione è una baseline, non un obbligo. Una stessa macro-area può contenere attività e servizi con categorie di rilevanza differenti. Le FAQ ACN lo confermano espressamente.
Quando ha senso alzare la categoria:
- l’attività supporta direttamente un servizio NIS critico (es. il sistema di prenotazione visite di una ASL è “Gestione dei clienti”, ma per un’azienda sanitaria è impatto medio o alto);
- la compromissione genererebbe disservizi a cascata su altre attività;
- esistono già analisi di rischio o BIA interne che evidenziano una criticità superiore alla media della macro-area.
Quando ha senso abbassare la categoria:
- l’attività è marginale, residuale o in fase di dismissione;
- esistono ridondanze e meccanismi di continuità che riducono drasticamente l’impatto della compromissione;
- la pre-assegnazione, calibrata su un soggetto medio, sovrastima il rischio per il caso specifico.
Abbassare è più rischioso che alzare. Una categorizzazione al ribasso non motivata adeguatamente espone il soggetto a contestazioni in sede ispettiva. In caso di dubbio, mantenere la pre-assegnazione è la scelta più difendibile.
Come si compila in piattaforma ACN
La piattaforma digitale ACN, prevista dall’articolo 7, comma 1, del decreto NIS, è il canale unico per la comunicazione. Le modalità operative sono disciplinate dagli articoli 20 e 21 della Determinazione ACN 127437/2026.
Per ciascuna attività o servizio devono essere indicate almeno queste informazioni:
- macro-area di appartenenza (una sola), scelta dal menu del sistema;
- denominazione dell’attività o del servizio;
- descrizione sintetica ma sufficientemente caratterizzante;
- categoria di rilevanza pre-assegnata alla macro-area: la mostra il sistema in base alla macro-area scelta e non è modificabile;
- categoria di rilevanza attribuita dal soggetto: la inserisci tu, può coincidere con la pre-assegnata o discostarsene verso l’alto o verso il basso.
Solo la categoria attribuita rappresenta la valutazione effettiva del soggetto. La pre-assegnata resta visibile come riferimento, anche per consentire ad ACN di intercettare facilmente i discostamenti significativi.
L’invio avviene attraverso le credenziali del punto di contatto NIS designato dal soggetto. Per il ciclo 2026, la finestra utile va dal 1° maggio al 30 giugno 2026. Dopo la chiusura, l’elenco si considera definitivamente acquisito e non è più modificabile fino alla finestra dell’anno successivo, salvo casi documentati di criticità tecnico-operative non imputabili al soggetto.
Pre-allineamento interno. Prima di caricare i dati in piattaforma, l’elenco categorizzato dovrebbe essere validato congiuntamente da business owner, system owner, funzione compliance e punto di contatto NIS. Una volta inviato, il documento diventa l’unica rappresentazione ufficiale della superficie operativa del soggetto, ed è ciò su cui ACN costruirà gli obblighi di lungo termine.
Cosa succede dopo: misure a lungo termine
La categorizzazione non è il punto di arrivo. È il presupposto per la fase successiva, quella delle misure di sicurezza a lungo termine, che ACN definirà progressivamente.
Le misure di base — quelle attualmente in vigore con la Determinazione ACN n. 379907/2025 e la sua guida alla lettura — sono uguali per tutti i soggetti, distinte solo tra essenziali (Allegato 2) e importanti (Allegato 1) della medesima determinazione. Le misure di lungo termine saranno invece modulate sulla categoria di rilevanza di ciascuna attività e di ciascun servizio.
Significa che un soggetto che oggi categorizza al ribasso si ritrova domani con misure di sicurezza meno onerose, ma rinuncia anche a riconoscere ufficialmente la criticità di servizi che, in caso di incidente, dovranno comunque essere ripristinati. Viceversa, chi categorizza correttamente al rialzo costruisce le condizioni per una protezione proporzionata al rischio reale.
Il 31 ottobre 2026 segna la chiusura della prima fase: entro tale data i soggetti devono aver completato l’adeguamento alle misure di base; dal giorno successivo ACN può avviare le attività ispettive.
Lo Studio Legale Calzoni ti assiste
Lo Studio Legale Calzoni assiste le imprese nell’attuazione degli obblighi NIS2, dalla verifica di assoggettabilità alla compilazione dell’elenco categorizzato sulla piattaforma ACN, fino alla redazione delle procedure interne e alla difesa in sede ispettiva e sanzionatoria.
L’attività di assistenza include:
- audit di assoggettabilità e qualificazione (essenziale/importante, Allegato 1 o 2);
- supporto operativo alla categorizzazione delle attività e dei servizi entro il 30 giugno;
- redazione dell’analisi di impatto a supporto dei discostamenti dalla pre-assegnazione;
- coordinamento tra obblighi NIS2, Regolamento Cloud, GDPR e disciplina sui fornitori rilevanti;
- gestione delle interlocuzioni con ACN e dei procedimenti sanzionatori.
FAQ
Chi è obbligato alla categorizzazione delle attività e dei servizi? Tutti i soggetti — essenziali e importanti — inseriti nell’elenco nazionale dei soggetti NIS dall’Agenzia per la cybersicurezza nazionale. L’obbligo è previsto dall’articolo 30, comma 1, del decreto legislativo 4 settembre 2024, n. 138.
Qual è la scadenza per il primo ciclo di categorizzazione? Per il 2026 la finestra è dal 1° maggio al 30 giugno 2026. La scadenza è ricorrente: dal 1° maggio al 30 giugno di ogni anno i soggetti devono aggiornare l’elenco.
Devo categorizzare solo le attività NIS o tutte? Tutte le attività e i servizi dell’organizzazione, interni ed esterni, supportati da sistemi informativi e di rete. La logica della normativa è valutare l’intera operatività, perché anche un’attività apparentemente accessoria può impattare sui servizi NIS in caso di compromissione.
Posso scegliere una categoria di rilevanza diversa da quella pre-assegnata? Sì. L’articolo 3, comma 3, della Determinazione ACN 155238/2026 lo prevede espressamente. Il soggetto deve però condurre e conservare un’analisi di impatto che giustifichi il discostamento. Una stessa macro-area può contenere attività con categorie di rilevanza differenti.
Qual è la differenza tra Allegato 1 e Allegato 2? Stessa struttura (10 macro-aree, 4 categorie), pre-assegnazioni leggermente diverse. L’Allegato 1 si applica ai soggetti dei settori energia, trasporti, sanità, acqua potabile, acque reflue, spazio, altri settori critici dell’Allegato II del decreto NIS e trasporto pubblico locale. L’Allegato 2 si applica a tutti gli altri soggetti NIS. La macro-area Logistica, ad esempio, è pre-assegnata a impatto basso nell’Allegato 1 e a impatto minimo nell’Allegato 2.
Le pubbliche amministrazioni che hanno applicato il Regolamento Cloud devono rifare l’esercizio? No. L’articolo 4 della Determinazione 155238/2026 prevede che, per le PA che hanno classificato dati e servizi ai sensi dell’articolo 3 del Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024 (Regolamento Cloud), valgono le classificazioni già effettuate. L’elenco delle attività coincide con quello dei dati e dei servizi digitali classificati; le categorie di rilevanza coincidono con le classi del Regolamento Cloud.
Cosa succede se non comunico la categorizzazione entro la scadenza? L’omessa o tardiva comunicazione costituisce violazione dell’articolo 30 del decreto NIS. Le sanzioni amministrative pecuniarie sono previste dall’articolo 38 del decreto NIS e variano a seconda della tipologia di soggetto e della gravità. Indipendentemente dalla sanzione, il soggetto privo di elenco categorizzato non potrà beneficiare della proporzionalità delle misure a lungo termine, perché ACN non avrà la base informativa per applicarle.
La categorizzazione vale anche per i fornitori rilevanti? I fornitori rilevanti — disciplinati dalla Determinazione ACN n. 127437/2026 — sono un perimetro diverso. Se un fornitore rilevante è esso stesso soggetto NIS (essenziale o importante), sarà autonomamente tenuto alla categorizzazione. Negli altri casi, la sua attività rileva indirettamente, attraverso la categorizzazione che il soggetto NIS assegna ai servizi acquistati dal fornitore.
Posso usare risultati di analisi di rischio già svolte? Sì. La Determinazione ACN 155238/2026 consente esplicitamente di impiegare gli esiti di analisi di impatto già svolte. BIA, risk assessment, classificazioni ISO 27001, valutazioni DPIA possono fornire materiale di partenza, purché siano aggiornati e coerenti con la struttura del modello ACN.
Cosa devo conservare a fini ispettivi? L’elenco categorizzato finale, le motivazioni di ogni discostamento dalla pre-assegnazione, le analisi di impatto sottostanti, la documentazione interna di validazione (verbali, approvazioni), le evidenze che mostrano il coinvolgimento delle funzioni competenti. ACN può richiedere questa documentazione in sede ispettiva a partire dal 1° novembre 2026.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.