Le categorizzazioni NIS2 non sono un dettaglio tecnico ma un passaggio che cambia il modo in cui attività, servizi, sistemi e misure di sicurezza devono essere letti e documentati.

Gli incontri sul tema tenutisi durante lo scorso Clusit Security Summit Milano 2026 mostrano un modello ormai abbastanza chiaro. Il punto, però, è un altro: queste indicazioni arrivano tardi rispetto ai percorsi di adeguamento già avviati e ora costringeranno molte organizzazioni a rivedere documenti, impianto metodologico e analisi del rischio.

NIS2, il nodo che mancava all’impianto di conformità

Per mesi molte organizzazioni hanno lavorato sulla NIS2 costruendo governance, ruoli, misure di base, registri, procedure di notifica, piani di incident handling e impianti documentali. Tutto corretto. Tutto necessario. Ma mancava ancora un pezzo fondamentale: il modello con cui elencare, caratterizzare e categorizzare attività e servizi.

Ed è proprio questo il cuore dell’articolo 30 del decreto legislativo 138/2024. La norma dice chiaramente che i soggetti essenziali e importanti, dal primo maggio al 30 giugno di ogni anno, a partire dalla prima comunicazione di inserimento nell’elenco NIS, devono comunicare e aggiornare tramite piattaforma digitale l’elenco delle proprie attività e dei propri servizi, con tutti gli elementi necessari alla caratterizzazione e con l’attribuzione della relativa categoria di rilevanza.

È inoltre l’Autorità nazionale competente NIS a stabilire processo, modalità, criteri e categorie di rilevanza.

È qui che il tema smette di essere teorico. Perché fino a quando non si chiarisce come si classificano davvero attività e servizi, il rischio è quello di costruire documenti formalmente coerenti ma ancora incompleti sotto il profilo sostanziale.

La presentazione illustrata da Maurizio Pastore al Security Summit Milano 2026, nel confronto dedicato al ruolo delle società in-house nella conformità pratica alla Direttiva NIS2, ha reso visibile proprio questo punto: il modello di categorizzazione non è un allegato accessorio, ma un elemento che impatta direttamente sul modo in cui un’organizzazione legge sé stessa, il proprio perimetro operativo e la proporzionalità delle misure di sicurezza.

Come funziona il modello di categorizzazione

Dalle slide condivise emerge un’impostazione piuttosto netta. Per i soggetti privati il modello è organizzato in 12 macroaree, ciascuna caratterizzata da denominazione, descrizione, esempi e categoria di rilevanza preassegnata.

Le categorie di rilevanza sono quattro: impatto minimo, basso, medio e alto. La valutazione dell’impatto, inoltre, non si basa su una sola dimensione ma considera tre scenari: economico, operativo e reputazionale.

In altre parole, la categorizzazione non si limita a chiedere “quanto è importante questo servizio?”, ma obbliga a ragionare su cosa accade davvero all’organizzazione se quel servizio viene compromesso.

Le macroaree mostrate nella presentazione sono molto concrete:

1. approvvigionamento di beni e servizi;
2. comunicazione e marketing;
3. gestione amministrativa e conformità;
4. logistica;
5. gestione dei clienti;
6. risorse umane;
7. gestione finanziaria;
8. protezione delle sedi;
9. produzione di beni e servizi;
10. progettazione;
11. monitoraggio e controllo;
12. ricerca e sviluppo.

Alcune partono da una rilevanza minima o bassa, altre da una rilevanza media o alta. Questo significa che il legislatore e l’Autorità stanno di fatto dicendo alle organizzazioni: non tutte le attività pesano allo stesso modo, e non tutte meritano lo stesso livello di protezione, di investimento e di profondità documentale.

Per i soggetti pubblici, invece, il modello segue una logica diversa e si innesta sul Regolamento Cloud della PA. La categorizzazione delle attività e dei servizi, secondo la presentazione, coincide con la classificazione di dati e servizi già utilizzata in quel contesto, distinguendo tra ordinari, critici e strategici.

Questo conferma che il percorso NIS2 non sarà identico per pubblico e privato e che la lettura dei requisiti dovrà essere contestualizzata anche rispetto agli impianti normativi già esistenti.

Il punto più importante: i sistemi ereditano la rilevanza del servizio

Tra gli aspetti più interessanti emersi nella presentazione ce n’è uno che, da solo, basta a rimettere mano a parecchi documenti già redatti. Le slide chiariscono infatti che i sistemi informativi e di rete ereditano la categoria di rilevanza del servizio o dell’attività che abilitano, supportano o erogano. E se un sistema abilita più servizi con categorie differenti, eredita quella con impatto maggiore.

Questa non è una sfumatura. È una regola strutturale. Significa che l’asset inventory, la mappatura dei processi, la classificazione degli asset critici, la valutazione delle dipendenze tecnologiche e soprattutto la risk analysis non possono più essere costruite solo partendo dall’elenco dei sistemi o da una lettura meramente tecnica del perimetro IT. Devono partire, o quantomeno tornare a collegarsi in modo rigoroso, ai servizi e alle attività che quei sistemi sostengono.

In pratica, la domanda non è più solo “quanto è critico questo server?”, ma “quale servizio abilita, con quale categoria di rilevanza e con quale impatto sul business, sulle operazioni e sulla reputazione?”.

Perché la risk analysis va rivista

Qui arriviamo al punto che molte aziende stanno iniziando a percepire solo ora. Se la categorizzazione introduce una tassonomia ufficiale di attività e servizi, quattro livelli di rilevanza, tre scenari di impatto e un meccanismo di ereditarietà verso sistemi e reti, allora la risk analysis fatta finora rischia in molti casi di essere solo parzialmente allineata. Non necessariamente sbagliata, ma da ricalibrare.

Lo stesso impianto NIS2 collega in modo diretto piano di gestione dei rischi, valutazione del rischio e piano di trattamento.

La presentazione richiama esplicitamente le misure GV.RM-03, ID.RA-05 e ID.RA-06, ricordando che l’organizzazione deve definire e documentare un piano di gestione dei rischi, eseguire e documentare la valutazione del rischio sui sistemi informativi e di rete e pianificare il trattamento del rischio con priorità, responsabilità e motivazioni dell’eventuale accettazione del rischio residuo.

Il problema è che, se oggi cambia o si precisa il modello con cui vengono classificati servizi e attività, allora va rivisto anche il modo in cui si attribuiscono criticità, impatti, priorità di trattamento e, a cascata, adeguatezza e proporzionalità delle misure.

In concreto, dovranno essere riesaminati almeno l’inventario dei servizi critici, la mappatura servizi-sistemi, i criteri di impatto della risk analysis, i piani di trattamento, i documenti sul perimetro dei servizi NIS, le dipendenze da fornitori e partner e, in molti casi, anche gli allegati tecnici che fino ad oggi davano per scontata una classificazione meno strutturata.

Il rischio vero, qui, è far finta che basti aggiungere una colonna in un foglio Excel. Non basta. Va rivista la logica a monte.

Le categorizzazioni influenzeranno anche le misure a lungo termine

La presentazione collega, inoltre, la categorizzazione agli obblighi a lungo termine. Viene infatti spiegato che gli obblighi futuri definiranno quattro set di misure di sicurezza, articolati su quattro livelli di mitigazione del rischio crescente, da L1 a L4, differenziati tra soggetti essenziali e importanti.

Per i soggetti privati, ciascuna categoria di rilevanza corrisponderà a un set di misure; per i soggetti pubblici la logica seguirà invece il raccordo con la classificazione cloud e con i sistemi interessati.

Questo punto è decisivo perché sposta definitivamente la NIS2 fuori dalla logica del “catalogo unico di controlli”. Si va verso un modello più proporzionato, più aderente al rischio e soprattutto più auditabile.

Non tutte le realtà dovranno fare tutto allo stesso modo. Ma ciascuna dovrà essere in grado di dimostrare perché ha associato un certo servizio a una determinata categoria, perché quel sistema ha ereditato quel livello di rilevanza e perché, sulla base di quella classificazione, ha adottato certe misure e non altre.

Il problema dei tempi: informazione utile, ma arrivata tardi

Ed è qui che si apre la parte più scomoda della vicenda. Perché queste informazioni sono utili, anzi fondamentali. Però arrivano tardi. Molto tardi. ACN ha indicato pubblicamente che il modello di categorizzazione delle attività e dei servizi e gli obblighi a lungo termine saranno elaborati e adottati entro aprile 2026. Lo ha fatto nelle timeline ufficiali e nei materiali divulgativi sulla seconda fase di attuazione della disciplina NIS.

Nella presentazione del Security Summit compare una timeline ancora più precisa, che parla di pubblicazione “entro 10 aprile” dopo il passaggio di revisione con tavolo NIS, autorità di settore e tavoli settoriali.

Ma, allo stato delle fonti pubbliche indicizzate, quel riferimento al 10 aprile emerge dalla presentazione condivisa all’evento, mentre le fonti istituzionali reperibili pubblicamente parlano in modo più generico di “aprile 2026”. Tradotto: il 10 aprile è una scadenza attesa e plausibile, ma la conferma ufficiale definitiva va ancora verificata sul provvedimento che verrà adottato.

Ed è difficile non osservare che conoscere con questo livello di dettaglio il modello di categorizzazione un anno e mezzo fa, anziché a sei mesi dalla consegna dei lavori di molti percorsi progettuali, avrebbe consentito a organizzazioni, consulenti e integratori di impostare fin dall’inizio documenti più solidi, meno provvisori e con meno rilavorazioni.

Oggi, invece, molti dovranno tornare indietro, aprire documenti già chiusi, rivedere assunzioni metodologiche e riallineare analisi che sembravano ormai mature. Non è il massimo della serenità operativa, diciamolo. Ma è la realtà.

Adesso serve una cosa sola: fermarsi e riallineare

Il messaggio finale è semplice. Le categorizzazioni NIS2 non sono un tecnicismo da addetti ai lavori, ma il passaggio che lega davvero business, servizi, sistemi, impatto e controlli.

Senza questo tassello, il rischio è costruire compliance di facciata. Con questo tassello, invece, diventa finalmente possibile fare quello che la NIS2 chiede fin dall’inizio: adottare misure adeguate e proporzionate, basate su una lettura reale delle attività e dei servizi da proteggere.

Per questo, nelle prossime settimane, molte organizzazioni dovranno fare un lavoro molto concreto: prendere in mano inventari, classificazioni, policy, piani di gestione del rischio, risk assessment e piani di trattamento e chiedersi se tutto ciò che è stato prodotto finora regge davvero alla luce del modello di categorizzazione che sta per arrivare.

Chi risponderà di sì senza rifare i conti, probabilmente sta solo spostando il problema di qualche mese. Chi invece userà queste nuove informazioni per riallineare seriamente l’impianto documentale, farà meno scena oggi ma rischierà molto meno domani.