NIS, nuove regole per classificare attività e servizi: al via l’analisi di impatto

Entra nel vivo la nuova fase attuativa della disciplina NIS, con la pubblicazione delle modalità operative per l’elencazione e la categorizzazione delle attività e dei servizi da parte dei soggetti coinvolti. La determinazione diffusa dall’Agenzia per la cybersicurezza nazionale definisce infatti il processo e i criteri previsti dall’articolo 30 del decreto, dando seguito agli aggiornamenti già emersi durante l’ottava riunione del Tavolo NIS.

Il provvedimento si inserisce in un quadro che ha recentemente visto anche la revisione delle scadenze per gli adempimenti e l’introduzione dell’obbligo di indicare i fornitori rilevanti. In questo contesto, i soggetti NIS sono chiamati a svolgere un’analisi di impatto semplificata e armonizzata sulle proprie attività e sui servizi erogati.

L’obiettivo è quello di aggregare attività e servizi in base alla loro rilevanza, così da individuare con maggiore precisione le componenti dei sistemi informativi e di rete che richiedono interventi più incisivi di mitigazione del rischio. Questo percorso si completa dopo l’adozione delle misure di sicurezza di base, con l’integrazione di ulteriori requisiti attraverso le future “misure di sicurezza a lungo termine”, che saranno definite dall’Agenzia nel rispetto dei principi di proporzionalità e gradualità.

La determinazione n. 155238 del 20 aprile 2026 introduce una struttura organizzativa articolata in dieci macro-aree, all’interno delle quali ciascuna attività o servizio dovrà essere classificato secondo quattro livelli di impatto: minimo, basso, medio o alto.

I risultati dell’analisi dovranno essere trasmessi all’Autorità nazionale competente NIS tramite la piattaforma dell’Agenzia, seguendo le procedure già stabilite. La finestra temporale per l’invio delle informazioni è fissata tra il 1° maggio e il 30 giugno 2026.

Maggiori informazioni nella nota dell’ACN