Il 2026 segna il passaggio cruciale per la cybersicurezza italiana: la Direttiva NIS2 (recepita con il D.Lgs. 138/2024) abbandona la teoria per diventare un processo amministrativo e tecnico stringente. Attraverso il portale NIS online e le nuove determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN), migliaia di aziende e pubbliche amministrazioni devono ora mappare il proprio perimetro digitale e assumersi responsabilità dirette sulla resilienza dei servizi. Ecco la guida completa agli obblighi, alle scadenze e alla nuova “grammatica” della conformità cyber in Italia.
Cosa leggere
NIS online e il nuovo perimetro operativo della cybersicurezza nazionale
NIS online segna il passaggio dalla cybersicurezza come principio normativo alla cybersicurezza come processo amministrativo continuo. Con le nuove determinazioni dell’Agenzia per la Cybersicurezza Nazionale, il recepimento italiano della direttiva NIS2 non resta più confinato alla categoria generale degli obblighi per soggetti essenziali e importanti, ma entra nella fase più concreta: censimento, categorizzazione, aggiornamento, accesso alla piattaforma, adozione delle misure di sicurezza e notifica degli incidenti significativi. Il cuore della novità riguarda due piani distinti ma collegati. Il primo è quello della categorizzazione delle attività e dei servizi NIS, che obbliga i soggetti rientranti nel perimetro a indicare quali attività svolgono, quali servizi erogano e quale livello di rilevanza assumono rispetto alla continuità delle funzioni essenziali. Il secondo è quello delle scadenze operative per i soggetti inseriti per la prima volta nell’elenco NIS nel 2026, con una progressione temporale che non consente più letture attendiste. Le determinazioni ACN fissano infatti il quadro applicativo del decreto legislativo 4 settembre 2024, n. 138, cioè il decreto NIS italiano, e collegano gli obblighi alla piattaforma digitale accessibile tramite il Portale ACN. Questa trasformazione ha un peso strategico perché sposta il baricentro della compliance cyber. Non basta più dichiarare di appartenere a un settore critico o di erogare un servizio rilevante. Ogni organizzazione coinvolta deve essere in grado di rappresentare sé stessa davanti all’autorità nazionale competente, descrivendo le proprie attività, classificando i servizi, assegnando categorie di impatto e conservando la documentazione che giustifica eventuali valutazioni diverse da quelle preassegnate.
Dalla direttiva NIS2 al decreto NIS italiano
La direttiva NIS2 nasce per innalzare il livello comune di cybersicurezza nell’Unione europea dopo i limiti emersi con la prima direttiva NIS. Il suo obiettivo non è solo ampliare il numero dei soggetti coinvolti, ma costruire un sistema più uniforme, verificabile e reattivo. L’Italia ha recepito questa architettura con il decreto legislativo 4 settembre 2024, n. 138, che ha definito l’ambito nazionale della disciplina, i soggetti coinvolti, i poteri dell’ACN, il ruolo delle autorità di settore e gli obblighi di sicurezza, governance e notifica. Nel sistema italiano, l’Agenzia per la Cybersicurezza Nazionale assume una funzione centrale. Non si limita a essere un punto di coordinamento tecnico, ma diventa il soggetto che traduce la cornice europea in procedure operative, determinazioni attuative, scadenze e piattaforme digitali. È qui che la NIS2 smette di essere soltanto un quadro regolatorio e diventa un’infrastruttura amministrativa nazionale della sicurezza digitale. La scelta è coerente con l’evoluzione della minaccia. Gli incidenti informatici non colpiscono più solo aziende tecnologiche, operatori ICT o pubbliche amministrazioni digitalmente avanzate. Colpiscono filiere sanitarie, energia, trasporti, cloud, infrastrutture finanziarie, logistica, manifattura, fornitori strategici, servizi digitali e organizzazioni che, pur non percependosi come “cyber”, dipendono in modo ormai irreversibile da sistemi informativi, dati, reti e piattaforme connesse.
Perché NIS online cambia il rapporto tra aziende, PA e sicurezza
La pubblicazione delle determine e l’accesso alla piattaforma ACN producono un effetto molto concreto: la cybersicurezza diventa una responsabilità documentabile, misurabile e aggiornata nel tempo. Questo passaggio è decisivo perché impedisce alle organizzazioni di trattare la compliance NIS come un adempimento statico, da risolvere una volta e archiviare. La piattaforma digitale diventa il luogo in cui i soggetti NIS comunicano e aggiornano l’elenco delle proprie attività e dei propri servizi. La determinazione sulla categorizzazione stabilisce che, dal 1° maggio al 30 giugno di ogni anno, a partire dalla prima comunicazione ricevuta, i soggetti essenziali e importanti devono trasmettere o aggiornare tramite piattaforma un elenco delle attività e dei servizi con relativa categoria di rilevanza. L’obbligo si applica a partire dall’anno solare 2026, trasformando la finestra annuale in un appuntamento strutturale della compliance cyber nazionale. Questo significa che ogni soggetto coinvolto deve costruire una base informativa interna solida. Non basta compilare campi in piattaforma. Serve conoscere il proprio perimetro operativo, distinguere le attività realmente rilevanti da quelle accessorie, comprendere le dipendenze tecnologiche, individuare le funzioni critiche e misurare l’impatto di una compromissione. La NIS2 italiana chiede alle organizzazioni di sapere chi sono prima ancora di chiedere loro come si difendono.
La categorizzazione delle attività e dei servizi NIS
La determinazione ACN dedicata all’elencazione e alla categorizzazione introduce un concetto chiave: l’elenco categorizzato delle attività e dei servizi. Questo elenco comprende le attività e i servizi svolti dal soggetto NIS e associa a ciascuno una categoria di rilevanza. La stessa determinazione definisce la categoria di rilevanza come la misura dell’impatto che una possibile compromissione dell’attività o del servizio avrebbe sulla capacità del soggetto di svolgere correttamente le attività e i servizi NIS. È un passaggio tecnico e politico allo stesso tempo. Tecnico, perché obbliga le organizzazioni a ragionare in termini di impatto, continuità, dipendenza e compromissione. Politico, perché costruisce una mappa nazionale delle funzioni digitali realmente sensibili. In questo modello, la cybersicurezza non riguarda soltanto la protezione del singolo server o della singola rete, ma la resilienza delle attività che tengono in piedi servizi essenziali per cittadini, imprese e Stato.
Le macro-aree come modello di lettura
La determinazione adotta un modello di categorizzazione fondato su dieci macro-aree, per ciascuna delle quali sono indicate denominazione, descrizione e categoria di rilevanza preassegnata. Le macro-aree non sono semplici etichette descrittive, ma strumenti di ordinamento. Consentono di collocare attività e servizi in insiemi omogenei e di partire da una categoria di impatto già definita, lasciando però al soggetto NIS la possibilità di motivare una diversa valutazione. Questo modello ha una funzione di standardizzazione. Se ogni organizzazione descrivesse liberamente il proprio perimetro senza una griglia comune, la piattaforma produrrebbe dati difficili da confrontare. Con le macro-aree, invece, ACN costruisce un linguaggio amministrativo e tecnico condiviso. La sicurezza nazionale digitale ha bisogno anche di tassonomie comuni, perché senza categorie uniformi non esistono monitoraggio efficace, priorità di intervento e comparabilità tra soggetti diversi.
Le categorie di rilevanza
Le categorie previste sono quattro: impatto alto, impatto medio, impatto basso e impatto minimo. Questa scala serve a rappresentare quanto una compromissione possa incidere sulla capacità del soggetto di svolgere le attività e i servizi NIS. La presenza di categorie preassegnate riduce l’arbitrarietà iniziale, ma non elimina la responsabilità valutativa del soggetto. Il punto più importante è proprio questo. I soggetti NIS possono indicare una categoria diversa da quella preassegnata alla macro-area, ma devono farlo sulla base di una propria valutazione dell’impatto e devono conservare la documentazione relativa. In altre parole, la discrezionalità è ammessa, ma deve essere dimostrabile. Questo meccanismo limita sia l’automatismo burocratico sia l’autodichiarazione priva di prova.
La piattaforma ACN come archivio vivo della resilienza
La piattaforma digitale indicata dal decreto NIS e dalle determinazioni ACN non va letta come un semplice portale di caricamento dati. È, più correttamente, il punto di convergenza tra identificazione dei soggetti, comunicazione degli obblighi, aggiornamento delle attività, categorizzazione dei servizi e gestione del rapporto con l’autorità nazionale competente. Per i soggetti coinvolti, questo impone un cambio di metodo. La responsabilità non può più essere distribuita in modo generico tra IT, legale, compliance e direzione. La compilazione corretta della piattaforma richiede un lavoro trasversale: la funzione IT conosce sistemi e architetture, la funzione compliance conosce obblighi e scadenze, la direzione conosce processi e servizi critici, il procurement conosce fornitori e dipendenze, la sicurezza conosce rischi e controlli. NIS online obbliga le organizzazioni a costruire una governance cyber interna, perché nessun ufficio, da solo, possiede tutte le informazioni necessarie per rappresentare in modo completo attività, servizi, impatti, misure e scadenze.
Le scadenze per i nuovi soggetti NIS del 2026
La seconda determinazione allegata riguarda i termini per l’adempimento degli obblighi da parte dei soggetti inseriti per la prima volta nell’elenco NIS nell’anno solare 2026. Il documento stabilisce una scansione precisa: per questi soggetti, il termine per l’adozione delle misure di sicurezza previste dagli allegati 1 e 2 della determinazione ACN n. 379907 del 19 dicembre 2025 scade il 31 luglio 2027. L’obbligo di notifica degli incidenti significativi decorre invece dal 1° gennaio 2027. Questa scansione introduce una gradualità, ma non rappresenta una sospensione sostanziale del dovere di preparazione. Il 2026 diventa infatti l’anno in cui i nuovi soggetti devono comprendere il proprio posizionamento, impostare i processi, individuare responsabilità, aggiornare la documentazione, preparare la capacità di notifica e pianificare l’adozione delle misure. La data del 31 luglio 2027 non può essere letta come un rinvio, ma come il termine finale di un percorso che deve partire subito.
Notifica degli incidenti dal 1° gennaio 2027
L’obbligo di notifica degli incidenti significativi dal 1° gennaio 2027 è una delle scadenze più delicate. Notificare un incidente non significa semplicemente accorgersi di un problema e inviare una comunicazione. Significa avere processi di rilevamento, escalation, classificazione, raccolta evidenze, valutazione dell’impatto e coordinamento interno. Un soggetto che arriva al 2027 senza procedure mature rischia di trovarsi formalmente obbligato a notificare, ma tecnicamente incapace di ricostruire l’evento in tempi compatibili con l’adempimento. La notifica è l’ultimo anello di una catena che parte dalla visibilità sui sistemi, passa dalla capacità di detection e arriva alla governance dell’incidente. Per questo la scadenza del 1° gennaio 2027 pesa già nel 2026.
Misure di sicurezza entro il 31 luglio 2027
Il termine del 31 luglio 2027 per l’adozione delle misure di sicurezza consente un’implementazione graduale, coerente con il principio di proporzionalità richiamato dalla determinazione. ACN tiene conto del grado di esposizione al rischio, delle dimensioni dei soggetti, della probabilità che si verifichino incidenti e della gravità dei loro effetti, compreso l’impatto sociale ed economico. La proporzionalità, però, non va confusa con l’indeterminatezza. Le organizzazioni non possono limitarsi a dichiarare che le misure saranno adottate in futuro. Devono costruire un percorso verificabile, fondato su responsabilità interne, gap analysis, priorità di intervento, controllo dei fornitori, protezione degli asset, continuità operativa e capacità di risposta agli incidenti. Il tempo concesso dalla norma serve a implementare, non a rimandare.
Il coordinamento con il cloud della pubblica amministrazione
Un punto rilevante della determinazione sulla categorizzazione riguarda il coordinamento con la classificazione dei dati e dei servizi per la Pubblica Amministrazione. I soggetti NIS che hanno svolto la classificazione prevista dal Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024 applicano quel modello ai fini dell’elencazione e della categorizzazione delle attività e dei servizi, invece del modello generale previsto dalla nuova determinazione. Questo passaggio evita duplicazioni e sovrapposizioni. La PA, già coinvolta nel percorso di qualificazione e classificazione dei servizi cloud, non viene costretta a ricominciare da zero con una tassonomia parallela. Al contrario, il sistema prova a collegare i regimi esistenti dentro una logica più coerente. La cybersicurezza pubblica italiana si muove sempre più verso un modello integrato, dove cloud, classificazione dei dati, resilienza dei servizi e obblighi NIS non sono compartimenti separati. Per le amministrazioni e i fornitori che operano nel contesto pubblico, questo implica una responsabilità ulteriore. La classificazione non è soltanto un esercizio tecnico di compliance cloud, ma può diventare il riferimento per rappresentare attività e servizi nel quadro NIS. Di conseguenza, errori, sottovalutazioni o classificazioni superficiali possono produrre effetti anche sulla postura complessiva di conformità.
Il perimetro di sicurezza nazionale cibernetica e l’impatto alto
La determinazione stabilisce anche il coordinamento con la disciplina del perimetro di sicurezza nazionale cibernetica. Le attività e i servizi a cui si applicano gli obblighi del decreto-legge 21 settembre 2019, n. 105, sono attribuiti alla categoria di rilevanza impatto alto e non sono oggetto del processo ordinario previsto per l’elencazione e la categorizzazione. Il messaggio è netto: quando un’attività o un servizio rientra già nel perimetro nazionale cibernetico, la rilevanza non deve essere ridiscussa al ribasso. L’impatto alto diventa la qualificazione naturale delle funzioni già considerate strategiche per la sicurezza nazionale. Questa scelta rafforza il legame tra NIS2, sicurezza nazionale e protezione degli asset più sensibili.
Cosa cambia per i soggetti essenziali e importanti
Per i soggetti essenziali e importanti, il nuovo quadro produce almeno tre effetti. Il primo è organizzativo: bisogna costruire un presidio interno stabile per gestire la piattaforma ACN e le comunicazioni annuali. Il secondo è tecnico: bisogna mappare sistemi, servizi, processi, fornitori e dipendenze. Il terzo è documentale: bisogna conservare evidenze, valutazioni e motivazioni, soprattutto quando la categoria di rilevanza attribuita a un’attività o servizio non coincide con quella preassegnata. Questa combinazione trasforma la NIS2 in un esercizio di governance.
Non basta più avere strumenti di sicurezza, perché firewall, EDR, backup o SOC non risolvono da soli il problema della rappresentazione del perimetro. Serve una visione d’insieme che colleghi tecnologia, processi, responsabilità, impatto e continuità.
Il ruolo della direzione
La direzione aziendale o amministrativa diventa decisiva. La NIS2 non può essere delegata interamente al responsabile IT. La categorizzazione delle attività e dei servizi richiede decisioni sulla rilevanza del business, sull’impatto della compromissione e sulla continuità operativa. Sono valutazioni che coinvolgono il vertice, perché riguardano la capacità dell’organizzazione di continuare a erogare servizi essenziali o importanti in caso di incidente. La cybersecurity entra così nel linguaggio della responsabilità direzionale. Non è più solo prevenzione tecnica, ma capacità dell’ente o dell’impresa di dimostrare di aver compreso il proprio rischio e di averlo trattato in modo proporzionato.
Il ruolo dei fornitori
Anche i fornitori assumono un ruolo centrale. Molte attività e molti servizi dipendono da terze parti: cloud provider, MSP, software house, operatori di rete, consulenti, piattaforme SaaS, manutentori, fornitori industriali e partner tecnologici. La categorizzazione delle attività NIS obbliga a leggere queste dipendenze non come semplici contratti, ma come componenti del rischio operativo. Se un servizio critico dipende da un fornitore esterno, la compromissione del fornitore può diventare compromissione del soggetto NIS. La supply chain non è più un tema accessorio, ma una componente strutturale della sicurezza regolata. Per questo il lavoro sulla piattaforma ACN dovrebbe essere accompagnato da una revisione dei rapporti contrattuali, delle clausole di sicurezza, dei livelli di servizio e dei meccanismi di notifica degli incidenti lungo la filiera.
Perché la categorizzazione non è un adempimento formale
Il rischio principale per molte organizzazioni è trattare la categorizzazione come una scheda da compilare. Sarebbe un errore. La categoria di rilevanza attribuita a un’attività o servizio condiziona la lettura del rischio, la priorità degli interventi, la documentazione da conservare e la coerenza complessiva della postura cyber. Una categoria sottostimata può generare problemi in fase di controllo, soprattutto se un incidente dimostra che l’attività aveva un impatto maggiore di quanto dichiarato. Una categoria sovrastimata può invece produrre costi, complessità e oneri non proporzionati. Il punto di equilibrio sta nella capacità di motivare la valutazione. La categorizzazione corretta nasce dall’analisi dell’impatto, non dalla convenienza amministrativa.
Il calendario operativo della compliance NIS
Il calendario che emerge dalle determinazioni ACN impone una lettura progressiva. Dal 2026 parte l’obbligo di elencare e categorizzare attività e servizi tramite piattaforma nella finestra annuale tra 1° maggio e 30 giugno. Per i soggetti inseriti per la prima volta nell’elenco NIS nel 2026, l’obbligo di notifica degli incidenti significativi scatta dal 1° gennaio 2027.
| Data | Obbligo Operativo |
| 1 Maggio – 30 Giugno 2026 | Finestra di aggiornamento: Invio dell’elenco categorizzato di attività e servizi tramite NIS online. |
| 1 Gennaio 2027 | Obbligo di Notifica: Scatta il dovere di segnalare gli incidenti significativi al CSIRT Italia entro le tempistiche di legge (24h/72h). |
| 31 Luglio 2027 | Misure di Sicurezza: Termine ultimo per l’adozione delle misure di protezione tecniche e organizzative (governance, backup, crittografia, etc.). |
L’adozione delle misure di sicurezza di base deve arrivare entro il 31 luglio 2027. Queste date non vanno considerate isolate. Sono parti di un’unica traiettoria. Prima si identifica il perimetro, poi si classificano attività e servizi, poi si prepara la capacità di notifica, poi si consolidano le misure. La logica ACN è quella di una maturazione graduale ma tracciabile, in cui l’organizzazione deve dimostrare di avanzare verso un modello di sicurezza proporzionato alla propria esposizione.
L’impatto sulle piccole e medie organizzazioni coinvolte
Uno degli effetti più rilevanti della NIS2 riguarda le organizzazioni che non si percepiscono ancora come infrastrutture critiche. Molte imprese medie, fornitori, operatori specializzati e soggetti di filiera possono rientrare nel perimetro senza avere una struttura cyber paragonabile a quella di grandi gruppi regolati. Per questi soggetti, la piattaforma ACN e le scadenze possono rappresentare un salto organizzativo importante. Il principio di proporzionalità aiuta, ma non elimina l’obbligo. Anche un soggetto meno strutturato deve saper documentare il proprio perimetro, notificare gli incidenti significativi e adottare misure coerenti con il rischio. La differenza sta nel modo in cui tali obblighi vengono implementati, non nella loro esistenza. Questo rende centrale il lavoro preliminare. Prima ancora di acquistare nuove soluzioni, molte organizzazioni devono mappare asset, servizi, processi, accessi, backup, fornitori, ruoli, procedure e responsabilità. La compliance NIS non parte dal prodotto, ma dall’inventario ragionato della propria esposizione.
Il rapporto tra NIS online, incident response e continuità operativa
La notifica degli incidenti significativi non può funzionare senza una capacità minima di incident response. Un’organizzazione deve sapere chi decide, chi raccoglie le evidenze, chi valuta l’impatto, chi comunica verso ACN, chi coordina le funzioni interne e chi mantiene la continuità del servizio. Questo processo deve essere definito prima dell’incidente, non durante l’emergenza. La categorizzazione delle attività e dei servizi aiuta proprio a questo. Se un’organizzazione sa quali attività hanno impatto alto, medio, basso o minimo, può pianificare con maggiore coerenza le priorità di risposta. In caso di attacco ransomware, compromissione di credenziali, indisponibilità di un servizio cloud o incidente sulla supply chain, la risposta dipende dalla rilevanza dell’attività colpita.
ACN e il passaggio dalla compliance alla resilienza
Il valore delle nuove determinazioni non sta soltanto nella definizione di scadenze. Sta nel fatto che ACN sta costruendo una grammatica della resilienza digitale nazionale. Le organizzazioni devono parlare lo stesso linguaggio, usare categorie comparabili, aggiornare i dati attraverso una piattaforma comune e prepararsi a notificare gli incidenti con criteri definiti. Questo processo può apparire burocratico, ma ha una ragione strategica. Uno Stato non può difendere ciò che non conosce e non può coordinare ciò che non è stato classificato. La piattaforma NIS e la categorizzazione delle attività servono anche a rendere visibile l’ecosistema delle funzioni digitali critiche, dei servizi essenziali e delle dipendenze operative.
Come prepararsi alla nuova fase NIS
La preparazione efficace parte da una mappatura interna completa. Ogni soggetto NIS dovrebbe identificare le attività e i servizi rilevanti, collegarli alle macro-aree previste dal modello ACN, valutare l’impatto di una loro compromissione e documentare le scelte effettuate. Questo lavoro deve coinvolgere funzioni tecniche, legali, organizzative e direzionali. Subito dopo, occorre verificare la capacità di notifica. La domanda da porsi non è solo se l’organizzazione conosce la scadenza del 1° gennaio 2027, ma se possiede già un processo per riconoscere un incidente significativo, classificarlo, raccogliere le informazioni minime e trasmetterle nei tempi richiesti. La notifica non è un atto amministrativo isolato, ma il risultato di una catena tecnica e decisionale. Infine, serve pianificare le misure di sicurezza entro il 31 luglio 2027. Questa pianificazione deve partire dal rischio effettivo, dalle categorie di rilevanza e dalle dipendenze operative. Le misure non possono essere un catalogo generico. Devono proteggere le attività e i servizi che, se compromessi, incidono sulla capacità del soggetto di adempiere alle funzioni NIS.
Perché NIS online diventa un contenuto cornerstone per la cybersicurezza italiana
NIS online merita una lettura approfondita perché non riguarda un singolo aggiornamento procedurale. Rappresenta la trasformazione della cybersicurezza nazionale in un sistema permanente di identificazione, classificazione, controllo e risposta. Le determinazioni ACN fissano i punti di passaggio: piattaforma, categorie, macro-aree, impatti, scadenze, misure, notifiche e coordinamento con altri regimi come cloud PA e perimetro di sicurezza nazionale cibernetica. Per imprese, pubbliche amministrazioni e fornitori strategici, questa fase impone un cambio culturale. La sicurezza non può più essere considerata una funzione tecnica separata dal resto dell’organizzazione. Diventa un elemento della governance, della continuità, della responsabilità direzionale e della capacità di dimostrare all’autorità competente una postura coerente con il rischio. La NIS2 italiana entra quindi nella sua fase più concreta. Non quella delle definizioni generali, ma quella delle scadenze, delle piattaforme, delle categorie di impatto e delle responsabilità documentali. Chi rientra nel perimetro deve prepararsi a una compliance viva, aggiornata ogni anno e fondata su evidenze. Chi la tratta come un modulo da compilare rischia di sottovalutare il punto essenziale: NIS online non misura solo l’adempimento, ma la maturità reale della resilienza digitale.
Dalla piattaforma alla responsabilità cyber
La vera novità delle determinazioni ACN sta nella costruzione di un circuito continuo tra autorità, soggetti regolati e infrastrutture digitali. Ogni attività censita, ogni servizio categorizzato, ogni categoria di rilevanza assegnata e ogni misura pianificata contribuiscono a definire il livello di consapevolezza cyber del Paese. In questo senso, NIS online non è soltanto una piattaforma, ma il punto in cui la sicurezza informatica diventa amministrazione della resilienza. La differenza rispetto al passato è netta: non basta più proteggere sistemi in modo frammentario, non basta più reagire dopo l’incidente, non basta più delegare la sicurezza a un fornitore o a un reparto tecnico. Serve una rappresentazione chiara del rischio, una classificazione coerente delle attività, una capacità di notifica e una roadmap di misure verificabili.
Le nuove scadenze danno tempo, ma non concedono alibi. Il 2026 è l’anno della mappatura e della preparazione. Il 2027 è l’anno in cui la notifica degli incidenti e l’adozione delle misure diventano obblighi pienamente operativi per i nuovi soggetti entrati nel perimetro. La partita della NIS2 italiana si gioca ora, nella capacità delle organizzazioni di trasformare la norma in processi reali, documentati e sostenibili.
Che cos’è NIS online?
NIS online è la piattaforma operativa collegata al recepimento italiano della direttiva NIS2. Serve ai soggetti NIS per comunicare, aggiornare e categorizzare attività e servizi rilevanti ai fini della cybersicurezza nazionale.
Chi deve usare la piattaforma ACN?
Devono usare la piattaforma ACN i soggetti rientranti nel perimetro NIS, quindi soggetti essenziali e soggetti importanti individuati secondo il decreto legislativo 4 settembre 2024, n. 138.
Quando vanno categorizzati attività e servizi NIS?
Dal 2026, i soggetti NIS devono trasmettere o aggiornare l’elenco delle attività e dei servizi tramite piattaforma ogni anno, nella finestra compresa tra 1° maggio e 30 giugno.
Cosa sono le categorie di rilevanza NIS?
Le categorie di rilevanza misurano l’impatto che una compromissione di attività o servizi avrebbe sulla capacità del soggetto di svolgere le proprie funzioni NIS. Le categorie sono impatto alto, medio, basso e minimo.
Quando scatta l’obbligo di notifica degli incidenti significativi?
Per i soggetti inseriti per la prima volta nell’elenco NIS nel 2026, l’obbligo di notifica degli incidenti significativi decorre dal 1° gennaio 2027.
Entro quando devono essere adottate le misure di sicurezza?
Per i nuovi soggetti NIS del 2026, le misure di sicurezza previste dagli allegati ACN devono essere adottate entro il 31 luglio 2027.
La categorizzazione è solo un adempimento formale?
No. La categorizzazione incide sulla valutazione del rischio, sulle priorità di sicurezza, sulla documentazione da conservare e sulla capacità del soggetto di dimostrare la coerenza della propria postura cyber.
Cosa succede se un soggetto indica una categoria diversa da quella preassegnata?
Può farlo, ma deve basarsi su una valutazione dell’impatto e conservare la documentazione che giustifica la scelta. La discrezionalità è ammessa, ma deve essere dimostrabile.
Che rapporto c’è tra NIS online e cloud della PA?
Per i soggetti che hanno già svolto la classificazione dei dati e dei servizi cloud della Pubblica Amministrazione, quel modello può essere usato ai fini dell’elencazione e categorizzazione NIS, evitando duplicazioni.
Perché NIS online è importante per la cybersicurezza nazionale?
Perché trasforma la cybersicurezza in un processo continuo di mappatura, classificazione, aggiornamento e notifica. Non misura solo l’adempimento normativo, ma la reale capacità di resilienza digitale dei soggetti coinvolti.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
