A seguito degli aggiornamenti circa i termini per gli adempimenti degli obblighi per i nuovi soggetti NIS e l’introduzione dell’indicazione dei fornitori rilevanti, è online sul sito web istituzionale dell’Agenzia per la cybersicurezza nazionale (ACN) la determinazione relativa a processo, modalità e criteri per l'elencazione e la categorizzazione delle attività e dei servizi di cui all’art. 30 del decreto NIS (D.Lgs. 138/2024).
La finalità è quella di aggregare attività e servizi in funzione della categoria di rilevanza previste dal modello di categorizzazione, presupposto per l’identificazione delle porzioni di sistemi informativi e di rete su cui è necessario procedere ad una mitigazione del rischio più incisiva e mirata, una volta completato il percorso di adeguamento alle “misure di sicurezza di base”, integrandovi ulteriori requisiti con le c.d. “misure di sicurezza a lungo termine”  che saranno stabilite da ACN nel pieno rispetto dei principi di proporzionalità e gradualità.
Con la determinazione 155238 del 20 aprile 2026 sono identificate dieci macro-aree per organizzare attività e servizi dell’organizzazione, a cui dovrà essere attribuita una delle quattro categorie di rilevanza (“impatto minimo”, “impatto basso”, “impatto medio” e “impatto alto”).
Gli esiti di questa analisi di impatto semplificata, armonizzata e condivisa, dovranno essere comunicati all’Autorità nazionale competente NIS tramite la piattaforma ACN, dal 1° maggio  al 30 giugno, secondo la procedura stabilita dalla determinazione 127437/2026 (artt. 20 e 21).

Fonte: Determinazione ACN 20 aprile 2026 n. 155238