L’articolo 30 del D.lgs. 138/2024 è uno degli strumenti più potenti – e forse più sottovalutati – dell’intero impianto NIS 2.

Impone alle organizzazioni essenziali e importanti di ricostruire, ogni anno, la struttura operativa dei propri servizi e di classificare le attività rilevanti secondo criteri stabiliti dall’Autorità.

Non è una formalità, ma un vero e proprio esercizio di comando, perché obbliga a capire cosa è davvero critico, cosa genera dipendenza sistemica, cosa può produrre un effetto domino e dove si annidano i veri punti deboli.

Il secondo capitolo della tetralogia esplora l’articolo 30 del decreto NIS come processo strategico di autoconoscenza organizzativa e mostra perché, senza l’attuazione di tale articolo, nessun sistema di sicurezza può dirsi credibile.

La mappatura annuale delle attività e dei servizi per la conformità NIS 2

Ogni organizzazione è un organismo complesso che produce, eroga, coordina, gestisce, monitora, trasporta, assiste, trasmette, conserva, analizza.

Decine, talvolta centinaia di attività vengono svolte nello stesso contesto organizzativo, ma non tutte hanno lo stesso peso.

Infatti, non tutte sorreggono la stessa parte della struttura né, se compromesse, generano un impatto significativo.

Per questo motivo, l’articolo 30 del D.lgs. 138/2024 introduce uno degli obblighi più innovativi ed impegnativi: la mappatura annuale delle attività e dei servizi, e la loro classificazione secondo criteri definiti dall’ACN.

Non si tratta di elencare cosa fa l’azienda, ma di capire quali attività sostengono davvero la continuità operativa e in particolare quali:

• sono critiche per la sicurezza;
• generano effetti di interdipendenza;
• producono esternalità verso altri soggetti o settori.

Ecco una guida per comprendere profondamento questo processo.

Più che un adempimento è una radiografia operativa

Dal primo maggio al 30 giugno di ogni anno, tutti i soggetti essenziali ed importanti devono accedere al portale dell’ACN per:

• comunicare l’elenco aggiornato delle attività e dei servizi svolti;
• fornire le informazioni necessarie a descriverli;
• indicare la categoria di rilevanza assegnata a ciascuno.

È un obbligo che costringe a fermarsi, osservare e interrogarsi su quali:

• attività sostengono davvero la nostra missione;
• servizi rappresentano la nostra presenza nell’ecosistema;
• elementi, se compromessi, potrebbero generare un impatto significativo.

È una radiografia che nessun audit esterno potrà mai sostituire, perché è un atto di consapevolezza interna.

Le categorie di rilevanza: criteri oggettivi, non scelte aziendali

Una delle intuizioni legislative più importanti è che non è l’azienda a decidere cosa è critico.

Le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, la caratterizzazione e la categorizzazione delle attività e dei servizi sono stabilite dall’ACN.

Questo garantisce tre cose:

• uniformità: tutti i soggetti dello stesso settore parlano lo stesso linguaggio;
• proporzionalità: le categorie riflettono il livello di rischio sistemico;
• oggettività: si evita la tentazione di minimizzare la criticità per ridurre oneri o responsabilità.

L’articolo 30, quindi, non chiede un’autodichiarazione, ma un vero e proprio esercizio analitico che deve allinearsi agli standard fissati dall’Autorità.

Il legame con l’articolo 25 del decreto NIS: l’impatto significativo come indicatore

Per classificare correttamente le attività, bisogna comprendere l’articolo 25 del decreto, che introduce il concetto di “impatto significativo sulla fornitura dei servizi”.

L’impatto non va valutato solo sul piano economico ma deve essere considerato anche – e in molti casi soprattutto – per la sua capacità di causare una grave interruzione operativa dei servizi del soggetto interessato oppure per gli effetti che può produrre su altre persone fisiche o giuridiche, generando perdite materiali o immateriali di particolare rilievo.

L’articolo 30 è lo strumento operativo con cui si applicano, in concreto, le logiche dell’articolo 25.

Il processo di verifica dell’Autorità: certezza dei tempi e qualità del controllo

Una volta presentata la mappatura annuale, l’Autorità ha:

• 90 giorni per effettuare il controllo;
• solo una possibile proroga di ulteriori 60 giorni;
• la possibilità di chiedere chiarimenti, che sospendono i termini fino a risposta del soggetto (massimo 30 giorni).

Se l’Autorità non risponde entro i termini, scatta il silenzio-assenso. Questo meccanismo garantisce due dimensioni fondamentali:

• certezza operativa per le organizzazioni che non possono rimanere in sospeso;
• obbligo di efficienza amministrativa per l’Autorità, che deve fornire riscontro in tempi definiti.

È un equilibrio raro, che rende questo articolo uno degli strumenti più maturi dell’intera architettura NIS 2.

Perché questo obbligo è uno strumento di comando e non di burocrazia

Una lettura attenta dell’art. 30 consente di cogliere la profondità della norma.
La classificazione annuale delle attività:

• costringe le organizzazioni a guardarsi dentro;
• obbliga a rendere visibile ciò che prima era implicito;
• mette ordine nelle responsabilità;
• crea una base oggettiva per il risk management;
• genera una rappresentazione di sistema utile per audit, controlli, investimenti e decisioni.

È quindi una forma di auto-addestramento strategico, un esercizio che serve davvero all’organizzazione che è resiliente solo se conosce sé stessa.

Un atto di consapevolezza operativa

Abbiamo descritto come l’articolo 30 del decreto NIS non sia un peso amministrativo, ma un atto di consapevolezza operativa che assume la forma:

• della fotografia che ogni anno un’organizzazione deve scattare a sé stessa per capire dove sono i suoi punti nevralgici;
• di un dialogo continuo tra l’azienda e l’ACN, basato su criteri oggettivi, verificabili e misurabili;
• della vera base della resilienza: sapere dove si è fragili, per poter decidere dove investire, come proteggere, cosa rafforzare.

Dopo aver visto cosa proteggere (art. 24) e ora come riconoscere ciò che davvero conta (art. 30), nel prossimo capitolo della tetralogia analizzeremo la revisione periodica delle procedure e delle politiche, prevista dalla Determinazione ACN del 10 aprile 2025, e capiremo perché la sicurezza NIS 2 è un sistema vivo che deve essere continuamente aggiornato e ricontrollato.