È un po' di tempo che nel nostro blog non parliamo di NIS2, ma le novità non mancano: se la Direttiva Europea resta invariata, sono gli obblighi attuativi introdotti dall’Agenzia per la Cybersicurezza Nazionale (ACN) ad evolversi, richiedendo alle organizzazioni soggette alla NIS2 passi concreti e sempre più strutturati verso la compliance.
Si parla di NIS già dalla Direttiva 2016/1148, poi aggiornata con la Direttiva NIS2 (UE 2022/2555) diventata legge con il Decreto Legislativo 138/2024, in vigore dal 16 ottobre 2024: la direttiva nasce per aumentare la resilienza digitale delle infrastrutture aziendali e nazionali. La NIS2 ha allargato notevolmente la platea dei soggetti obbligati rispetto alla vecchia NIS, includendo molte PMI che operano in settori critici come energia, trasporti, sanità, servizi digitali e pubblica amministrazione.
Cosa ci dice il Rapporto Clusit 2026
I dati più recenti in Italia evidenziano minacce cyber senza precedenti. Ci colpisce molto nella prefazione del Rapporto Clusit 2026 quanto dice la Presidente Clusit Anna Vaccarelli, ovvero: “la cybersecurity si è trasformata da disciplina di nicchia a un’urgenza globale”. Secondo il Rapporto Clusit 2026, nel corso del 2025 gli incidenti cyber gravi nel nostro Paese sono cresciuti del 42% rispetto all'anno precedente, raggiungendo 507 incidenti noti. L'Italia è diventata un bersaglio primario, catalizzando da sola il 9,6% degli attacchi globali. Analizzando i comparti più colpiti, emerge chiaramente come i cybercriminali stiano prendendo di mira proprio i settori strategici regolamentati dalla Direttiva NIS2.
La nuova scadenza del 30 giugno 2026
Se gli incidenti cyber aumentano, l'Agenzia per la Cybersicurezza Nazionale (ACN) chiama i soggetti NIS2 all'appello, introducendo nuovi modelli operativi e adempimenti concreti che le organizzazioni devono seguire per essere NIS2 compliant.
Dal 1° maggio al 30 giugno di ogni anno, i soggetti essenziali e importanti devono comunicare sulla piattaforma ACN l'elenco categorizzato delle proprie attività e servizi, secondo il modello definito dalla Determinazione ACN n. 155238 del 20 aprile 2026, che organizza tutto in 10 macro-aree e 4 categorie di rilevanza (impatto minimo, basso, medio, alto).
Questo modello serve a strutturare l'autovalutazione e la categorizzazione delle attività e dei servizi critici, con l'obiettivo di calibrare difese informatiche su misura e sempre più efficaci.
Un nuovo “mattone” che serve a costruire la propria barriera contro le minacce cyber
Al di là dell'aspetto burocratico non si tratta di una semplice checklist: è un altro mattone con cui costruire la postura di sicurezza personalizzata per la propria organizzazione. Il modello di categorizzazione prevede, per ogni macro-area, l'attribuzione di un impatto (minimo, basso, medio, alto) dalle quali dipenderà, nelle fasi successive, la proporzionalità nell'adozione di ulteriori misure di sicurezza richieste.
Il ruolo delle 10 macro-aree
La Determinazione ACN n. 155238 del 20 aprile 2026 disciplina il processo: non viene richiesto di descrivere i singoli asset, ma di aggregare attività e servizi nelle 10 macro-aree predefinite e assegnare a ciascuna un livello di impatto (o categoria di rilevanza).
Le 10 macro-aree sono:
- Monitoraggio e controllo
- Gestione delle risorse umane
- Produzione di beni e servizi
- Logistica
- Ricerca, sviluppo e progettazione
- Comunicazione e marketing
- Gestione finanziaria
- Gestione amministrativa
- Gestione dei clienti
- Altri servizi e attività
Né troppo granulare, né troppo aggregato: il consiglio operativo di Agenda Digitale
Uno degli aspetti più delicati della categorizzazione è decidere con quale granularità mappare le attività. Come sottolinea Francesco Capparelli (Board Member Istituto Italiano per la Privacy) nel suo articolo "NIS2, servizi e fornitori: cosa verificare entro il 30 giugno" pubblicato su Agenda Digitale, entrambi gli estremi presentano rischi concreti: aggregare troppo significa nascondere differenze rilevanti tra servizi con impatti diversi, mentre spingere troppo nel dettaglio rende la categorizzazione uno strumento ingestibile e difficile da mantenere nel tempo.
La regola pratica è aggregare tutto ciò che condivide tre caratteristiche: appartiene alla stessa macro-area ACN, è gestito dallo stesso sistema ICT o infrastruttura di rete, e presenta un livello di rischio cibernetico omogeneo. Quando invece un'attività tocca più macro-aree, va necessariamente scomposta e ricondotta a ciascuna di pertinenza, anche se in azienda è gestita da un unico applicativo.
Il punto di equilibrio da trovare è una mappatura che rispecchi la reale distribuzione del rischio, che possa essere aggiornata ogni anno senza diventare un peso, e che sia concretamente utilizzabile come base per le misure di sicurezza da adottare.
La scadenza e cosa succede dopo
Dopo il 30 giugno 2026, l'elenco categorizzato si considera definitivamente acquisito e non è più modificabile, salvo casi documentati di criticità tecnico-operative non imputabili al soggetto NIS2. ACN potrà effettuare verifiche a campione entro 90 giorni dalla chiusura della finestra.
Se sei un soggetto NIS2, non perdere nessuna nuova scadenza e rimani aggiornato su tutti i passaggi necessari per essere NIS2 compliant. Affidandoti a Scp, potrai proteggere la tua azienda dalle minacce informatiche e rispettare tutte le conformità richieste dalla NIS2. Contattaci per maggiori informazioni: marketing@scponline.it
Articolo elaborato dall’ufficio marketing di Scp, con l’aiuto dell’intelligenza artificiale per la ricerca delle fonti e dei dati più aggiornati.
Fonti:
Rapporto Clusit 2026: Associazione Italiana per la Sicurezza Informatica, presentato al Security Summit il 17 marzo 2026 (clusit.it/rapporto-clusit/)
ACN: Determinazione n. 155238 del 20 aprile 2026 - Modello di categorizzazione delle attività e dei servizi NIS2 (acn.gov.it/portale/nis/categorizzazione)
ACN: Determinazione n. 127437/2026 - Procedure operative per la piattaforma digitale
ACN D.Lgs. 138 del 4 settembre 2024: Recepimento della Direttiva NIS2 in Italia Direttiva (UE) 2022/2555 (NIS2)
Agenda Digitale: “NIS2, servizi e fornitori: cosa verificare entro il 30 giugno”, 22 giugno 2026 (agendadigitale.eu)
Linee Guida NIS Modello di categorizzazione Guida alla lettura: Aprile 2026 dall’Agenzia per la Cybersicurezza Nazionale
