NIS2: pende il termine per procedere alla prima categorizzazione delle attività e dei servizi offerti dai soggetti NIS
Il 1° maggio 2026 si è aperta la prima finestra temporale per completare, entro il 30 giugno 2026, l’attività di elencazione e categorizzazione delle attività e dei servizi dei soggetti NIS, per il tramite della Piattaforma tenuta dall’Agenzia per la cybersicurezza nazionale (ACN).
Come già affrontato nel contributo del 23.2.2026, la Direttiva NIS2 ha introdotto nuovi obblighi di gestione del rischio per la sicurezza informatica e di notifica degli incidenti informatici ed è stata recepita a livello interno dal D. Lgs. n. 138/2024, Decreto NIS.
Gli adempimenti imposti alle imprese che rientrano nell’ambito di applicazione della disciplina (i soggetti NIS) sono molteplici e tra questi rilevano anche le attività che le stesse devono svolgere sulla Piattaforma ACN, che costituisce il principale (e unico) canale di comunicazione tra il soggetto NIS e l’Agenzia. Tra le attività da compiere, la più importante è la Registrazione, che dev’essere effettuata tra gennaio e febbraio di ogni anno, a cui si aggiunge poi l’Aggiornamento annuale, da completare tra il 15 aprile e il 31 maggio con l’inserimento di nuove informazioni, come l’elenco dei componenti degli organi di amministrazione e direttivi e, da ultimo, i referenti CSIRT e l’elenco dei fornitori rilevanti NIS (cfr. Determinazione ACN 127437/2026).
Di recentissima introduzione è invece la funzionalità legata all’elencazione e categorizzazione delle attività e dei servizi. Queste attività sono previste già a livello legislativo dall’art. 30, Decreto NIS, e sono finalizzate a determinare l’adeguatezza e la proporzionalità delle misure tecniche, operative e organizzative che un soggetto NIS deve adottare per gestire i rischi per la sicurezza informatica e ridurre al minimo l’impatto degli incidenti (artt. 24, co. 1, e 31, Decreto NIS). L’elencazione è diretta alla successiva attribuzione, a ciascuna attività e servizio, di diverse “categorie di rilevanza”, le quali misurano «l’impatto di una possibile compromissione dell’attività o del servizio sulla capacità del soggetto di svolgere correttamente le attività e i servizi NIS» (cfr. Determinazione 155238/2026 e relativi allegati). L’attività di categorizzazione è svolta dal soggetto NIS sulla base del modello di categorizzazione predisposto dall’ACN, di cui alla Determinazione 155238/2026, nonché alle relative Linee Guida NIS.
Anche in questo caso, la mancata elencazione o categorizzazione delle attività e dei servizi NIS è sanzionabile ai sensi dell’art. 38, co. 10 e 11, Decreto NIS.