NIS2: scade il 30 giugno il termine per la categorizzazione delle attività e dei servizi

Per i soggetti già registrati sulla piattaforma ACN, si avvicina una scadenza rilevante: entro il 30 giugno 2026 è necessario completare la categorizzazione delle attività e dei servizi aziendali erogati attraverso sistemi informativi e di rete, adempimento previsto dalla normativa NIS2 e dalla relativa disciplina attuativa nazionale.

L'attività si articola in due fasi. La prima consiste nella mappatura interna di tutte le attività e i servizi svolti mediante sistemi ICT: non soltanto quelli riconducibili al core business aziendale, ma anche quelli di natura trasversale e di supporto, come la gestione del personale, quella amministrativa, la logistica e la comunicazione. È importante sottolineare che per "sistema informativo e di rete" la normativa intende sia le reti di comunicazione elettronica sia qualsiasi dispositivo interconnesso che esegua un trattamento automatico di dati in formato digitale: una definizione ampia, che nella pratica ricomprende una parte significativa degli strumenti digitali in uso presso qualsiasi organizzazione strutturata.

La seconda fase consiste nella compilazione del template predisposto da ACN sulla propria piattaforma, attraverso cui ciascuna attività o servizio individuato viene associato a una delle nove macroaree predefinite dall'Agenzia — tra cui, a titolo esemplificativo, monitoraggio e controllo, produzione di beni e servizi, gestione finanziaria, gestione delle risorse umane, logistica — e corredato di denominazione, descrizione e stima dell'impatto che la sua eventuale compromissione produrrebbe sulla capacità operativa dell'organizzazione. A tal fine, ACN ha individuato quattro categorie di rilevanza — minimo, basso, medio, alto — delle quali la prima viene preassegnata automaticamente dal sistema in relazione alla macroarea selezionata, mentre la seconda può essere modificata dall'organizzazione sulla base di una valutazione concreta del proprio profilo di rischio. Qualora un'attività o un servizio risulti riconducibile a più macroaree, dovrà essere ulteriormente scomposto in modo da associarlo a una singola macroarea specifica.

È opportuno sottolineare che non si tratta di un adempimento meramente formale. La categorizzazione costituisce la base su cui ACN valuterà l'esposizione al rischio dell'organizzazione e, di conseguenza, le misure di sicurezza che saranno richieste nei mesi successivi. Un'attività svolta in modo approssimativo — con attività mancanti, macroaree non correttamente attribuite o categorie di rilevanza sottostimate rispetto alla realtà aziendale — espone a contestazioni e sanzioni da parte dell'Agenzia. Al contrario, una categorizzazione accurata consente all'organizzazione di avere una visione chiara e strutturata del proprio perimetro digitale, elemento che si rivelerà utile anche nelle fasi successive del percorso di adeguamento alla NIS2.