Un passo avanti nella gestione strutturata di attività e servizi
Direttiva NIS2. Con la nuova Determinazione 155238 del 20 aprile 2026 l’Agenzia per la cybersicurezza nazionale (ACN) ha pubblicato le modalità operative per l’elencazione e la categorizzazione delle attività e dei servizi che rientrano nel perimetro, in vigore dal 1 maggio 2026.
Dalla compliance formale alla gestione del rischio
Si tratta di un tassello fondamentale nel percorso di adeguamento delle organizzazioni – pubbliche e private – agli obblighi di cybersecurity, che introduce un approccio più strutturato e orientato al rischio.
Non tutte le attività, infatti, hanno lo stesso peso: alcune sono essenziali per la continuità operativa e richiedono livelli di protezione più elevati, mentre altre hanno un impatto minore.
La categorizzazione consente proprio di aggregare attività e servizi in base alla loro rilevanza, così da individuare le componenti più critiche dei sistemi informativi e di rete.
Un approccio che permette di applicare misure di sicurezza proporzionate, introducendo una gestione più efficace e sostenibile del rischio cyber.
Come funziona la categorizzazione secondo il modello ACN
La determinazione introduce un modello strutturato secondo cui, per ciascuna attività o servizio, le organizzazioni devono indicare almeno tre elementi fondamentali:
- l’identificazione di tutte le attività svolte e dei servizi erogati, sia interni che esterni
- la loro classificazione all’interno di specifiche macro-aree
- l’attribuzione di una categoria di rilevanza (da impatto minimo ad alto).
Questo consente di costruire una vera e propria mappa delle priorità aziendali, utile per orientare le decisioni di sicurezza.
Impatti operativi
L’introduzione delle nuove modalità segna l’avvio di una fase più avanzata del percorso NIS, un passaggio strategico che influenzerà le future politiche di cybersecurity delle organizzazioni.
La categorizzazione rappresenta infatti il presupposto per:
- individuare gli asset critici
- definire le priorità degli interventi di sicurezza
- definire future misure di sicurezza avanzate, calibrate in base al livello di rischio
Scadenze da ricordare
I risultati dell’analisi dovranno essere trasmessi tramite la piattaforma ACN:
dal 1° maggio al 30 giugno 2026
La compliance come fattore abilitante
Per le aziende coinvolte, la sfida non è solo rispettare i nuovi obblighi, ma integrare la categorizzazione nei processi di governance e risk management.
Un approccio efficace consente infatti di:
- migliorare la resilienza operativa
- ottimizzare gli investimenti in sicurezza
- dimostrare una maggiore maturità organizzativa in ambito cyber
La compliance diventa un elemento capace di generare valore e non solo di rispondere a vincoli normativi.
Preparati con il supporto di iSimply
La nuova determinazione ACN richiede competenze, metodo e una visione integrata tra compliance e sicurezza.
È fondamentale che le organizzazioni:
- avviino un censimento strutturato di attività e servizi
- definiscano criteri chiari di classificazione
- coinvolgano le funzioni aziendali rilevanti (IT, risk, compliance)
- adottino strumenti di analisi del rischio coerenti
Affrontare per tempo questo percorso significa arrivare preparati alle prossime fasi della normativa NIS2 e ridurre il rischio di non conformità.
Scrivici a info@isimply.it
Scarica la Determinazione 155238 del 20 aprile 2026
Scarica l’Allegato 1
Scarica l’Allegato 2