Molti si aspettavano che l’ottava riunione del Tavolo NIS chiudesse finalmente il cerchio sulle categorizzazioni. Non è successo, il modello atteso non è ancora stato pubblicato ma sarebbe superficiale fermarsi a questo e archiviare il tutto come l’ennesimo rinvio.

La nota davvero importante è nell’ultimo passaggio del comunicato ACN: la settimana prossima arriverà la determinazione con il modello di categorizzazione, insieme al materiale informativo per supportare i soggetti, nei mesi di maggio e giugno, nello svolgimento di una “analisi di impatto (BIA), semplificata e condivisa nei Tavoli settoriali”.

E qui sta il punto. Non siamo davanti a un ritardo innocuo. Siamo davanti all’ammissione, ormai esplicita, che la fase veramente operativa sta per partire e che questa fase non riguarderà solo una classificazione formale da caricare in piattaforma. Riguarderà il modo in cui le organizzazioni dovranno giustificare cosa conta davvero, cosa sostiene i servizi rilevanti e quali impatti produrrebbe un incidente serio.

Senza categorizzazioni, una parte della compliance resta monca

Il decreto NIS, all’articolo 30, è già molto chiaro: dal primo maggio al 30 giugno di ogni anno i soggetti essenziali e importanti devono comunicare e aggiornare l’elenco delle proprie attività e dei propri servizi, con gli elementi necessari alla loro caratterizzazione e alla relativa attribuzione di una categoria di rilevanza.

E l’articolo 31 chiarisce che gli obblighi possono essere differenziati proprio in relazione a quelle categorie di rilevanza.

Tradotto: la categorizzazione non è un allegato in più. È uno snodo centrale perché da lì passa il peso attribuito ai servizi e da quel peso discende anche il modo in cui gli obblighi devono essere calati sul soggetto NIS.

Per questo, chi in questi mesi ha lavorato sulla documentazione sa perfettamente dove si concentrerà l’impatto vero. Non tanto sui documenti di principio, che possono sempre essere aggiustati. Il problema si scarica soprattutto sui documenti dove bisogna decidere cosa è davvero critico, cosa dipende da cosa e come si misura il rischio in modo coerente.

Gli impatti maggiori ricadranno su inventario e risk analysis

I documenti che rischiano di essere toccati più di tutti, a mio avviso, sono due blocchi ben precisi.

Il primo è il GV.AS-01 – Inventario dei sistemi, servizi e asset critici. Finché manca il modello di categorizzazione, si può costruire un inventario solido, ordinato, anche molto dettagliato. Ma resta comunque sospeso un punto decisivo: quali servizi dovranno essere considerati realmente rilevanti e, di conseguenza, quali asset saranno davvero critici in funzione di quei servizi.

Qui cambia la prospettiva. L’asset non è più il centro del mondo. Diventa il supporto di un’attività o di un servizio che deve essere qualificato, pesato e difeso in base al suo impatto reale.

Il secondo blocco è quello composto da GV.RM-03 – Piano di Gestione dei Rischi per la Sicurezza Informatica e ID.RA-05 – Valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete. Per una ragione semplice: se gli obblighi NIS devono essere proporzionati anche sulla base delle categorie di rilevanza delle attività e dei servizi, allora anche la risk analysis non potrà più limitarsi a guardare asset, minacce e vulnerabilità in astratto. Dovrà tenere conto del peso del servizio, dell’impatto della sua indisponibilità, delle dipendenze interne ed esterne e del danno che ne deriverebbe.

Detta in modo molto diretto: senza categorizzazioni, una parte della risk analysis rischia di essere corretta sul piano metodologico ma ancora provvisoria sul piano sostanziale.

La BIA “semplificata” è la vera novità politica e operativa

Qui bisogna stare molto attenti alle parole. ACN, nel passaggio evidenziato, parla di “analisi di impatto (BIA), semplificata”. Formalmente non siamo ancora davanti a un obbligo autonomo descritto come documento separato da redigere in un certo formato. Ma sul piano pratico il messaggio è chiarissimo: la categorizzazione non si farà a sensazione, né a colpi di intuizione del singolo referente.

Servirà una valutazione di impatto. Magari semplificata, magari guidata, magari con criteri condivisi nei Tavoli settoriali. Ma sempre una valutazione di impatto resta. E una valutazione di impatto seria, anche se semplificata, richiede tempo, coinvolgimento del business, lettura dei processi, comprensione delle dipendenze e, inevitabilmente, risorse.

Qui casca l’asino. Perché di fatto ACN sta introducendo un ulteriore livello di lavoro per i soggetti NIS. Lo si può chiamare BIA semplificata, esercizio di impatto o supporto alla categorizzazione. La sostanza non cambia: è un’attività in più, con un costo in termini di organizzazione, consulenza, tempo uomo e revisione documentale.

Le novità per i nuovi soggetti NIS

Nel frattempo, c’è anche un’altra novità da non sottovalutare. Mentre tutti guardavano alle categorizzazioni, infatti, ACN ha formalizzato un altro passaggio importante per i soggetti inseriti per la prima volta nell’elenco NIS nel 2026, con la pubblicazione della nuova Determinazione ACN 127434/2026 che definisce le tempistiche applicabili a questi soggetti.

Conclusa il 31 dicembre 2025 la fase di prima applicazione prevista dall’articolo 42, per questi nuovi soggetti l’obbligo di notifica degli incidenti significativi decorre dal primo gennaio 2027, mentre il termine per l’adozione delle misure di sicurezza di base scade il 31 luglio 2027.

È una novità rilevante perché introduce una gradualità concreta per i nuovi entranti. Ma attenzione: non è un “liberi tutti”. Significa solo che chi entra nel 2026 ha un percorso temporale diverso. E proprio perché l’obbligo di notifica scatterà dal primo gennaio 2027, la designazione del referente CSIRT entro la fine del 2026 diventa un passaggio da pianificare subito, non all’ultimo momento.

Novità sulla modalità di utilizzo della piattaforma digitale NIS

L’ACN ha pubblicato anche la Determinazione 127437/2026 che aggiorna le modalità di utilizzo della piattaforma digitale NIS e che, all’articolo 18, introduce l’obbligo di elencare i fornitori rilevanti NIS: un’attività funzionale all’individuazione dei soggetti critici nella catena di approvvigionamento.

La stessa determina, agli articoli 20 e 21, disciplina anche gli aspetti procedurali relativi alla categorizzazione delle attività e dei servizi, in attuazione del decreto NIS.

Il tempo per lavorare “a spanne” è finito

La determina sulla piattaforma ha già messo in chiaro che il processo di elencazione e categorizzazione delle attività e dei servizi si svolgerà dal primo maggio al 30 giugno tramite il “Servizio NIS/Categorizzazione”, e che, una volta chiusa la finestra, l’elenco trasmesso si intende definitivamente acquisito, salvo verifiche di conformità e richieste di integrazione da parte di ACN.

Questo significa che non c’è più molto spazio per la vecchia abitudine tutta italiana del “intanto compiliamo qualcosa, poi vedremo”.

Qui il rischio è molto concreto: scrivere oggi documenti ancora troppo generici e doverli rimettere mano tra poche settimane, quando il modello di categorizzazione renderà evidente che il baricentro non è l’asset in sé, ma il servizio rilevante e l’impatto che produce la sua interruzione.