NIS 2: guida alla categorizzazione di attività e servizi richiesta da ACN

Temi trattati

Cyber security, Compliance normativa, Direttiva NIS 2

Introduzione

Per le organizzazioni già incluse nel perimetro di sicurezza nazionale, il recepimento italiano della Direttiva NIS2 (D.Lgs. 130/2024) entra ora in una fase operativa cruciale. Non si tratta più solo di comprendere il quadro normativo generale, ma di declinare concretamente la propria struttura operativa secondo i nuovi standard di cybersecurity.

La recente determina pubblicata dall’Agenzia per la Cybersicurezza Nazionale (ACN) introduce infatti i criteri precisi per l’elencazione e categorizzazione di attività e servizi. Questo passaggio rappresenta il cuore pulsante dell’adeguamento, poiché definisce il raggio d’azione delle misure di protezione che ogni soggetto dovrà implementare.

Si aggiunge così un tassello cruciale per il completamento del percorso di adeguamento, che va a coprire un’area di intervento finora rimasta con un punto di domanda per tutti i soggetti coinvolti: parliamo della valutazione interna di asset critici e analisi del rischio.

Per fornire alle organizzazioni una guida chiara sui prossimi step da seguire per il completamento di questo step normativo, in questo articolo analizzeremo il modello di classificazione, l’approccio metodologico consigliato e le tappe fondamentali per non mancare gli appuntamenti normativi.

La Determina ACN: il nuovo standard per la classificazione dei servizi

Il documento cardine di questa fase, come abbiamo già visto, è la Determina ACN sulle modalità di elencazione e categorizzazione. Con questo documento si stabilisce che ogni Soggetto Essenziale o Importante debba comunicare, tramite il portale digitale ACN, un elenco dettagliato dei propri asset, intesi come le attività e i servizi che rientrano nel perimetro della Direttiva.

L’obiettivo è creare una mappatura omogenea che permetta all’Autorità di avere una visibilità chiara e approfondita delle infrastrutture critiche del Paese, dando una forma strutturata a ogni processo e collegandolo direttamente a specifici livelli di criticità. Questo passaggio è fondamentale per quella che sarà la futura implementazione delle misure di sicurezza a lungo termine, che andrà a basarsi proprio sulle categorizzazioni fornite dai soggetti in questa fase.

Perché la categorizzazione è un’operazione strategica e non solo burocratica?

Sbaglia chi considera la mappatura delle attività come un semplice adempimento “burocratico”. La categorizzazione è la bussola che guida l’allocazione delle risorse economiche e tecnologiche. Definire correttamente la rilevanza di un servizio significa capire dove il rischio è inaccettabile e dove, invece, è possibile una gestione più flessibile.

In un’ottica di digitalizzazione dei processi, questo sforzo di analisi permette di identificare ridondanze e colli di bottiglia, migliorando non solo la sicurezza ma l’intera efficienza operativa aziendale. Una classificazione accurata è il prerequisito per l’adozione di misure di sicurezza proporzionate al rischio reale.

L’architettura del modello di categorizzazione: Macro-aree e Categorie di Rilevanza

Il modello proposto da ACN utilizza il concetto di Macro-area come contenitore logico. Immaginate delle scatole trasparenti: ogni scatola rappresenta un ambito funzionale (es. Logistica, Produzione, Monitoraggio) caratterizzato da una categoria di rilevanza pre-assegnata.

Macro-aree: sono 10 categorie standard (da “Gestione Risorse Umane” a “Monitoraggio e Controllo”) che coprono l’intero spettro aziendale. Le macroaree sono consultabili negli allegati del decreto pubblicato da ACN.
Categorie di rilevanza: queste determinano la rilevanza in termini di rischio, che può essere Minima, Bassa, Media o Alta.
Personalizzazione: sebbene esistano valori predefiniti (indicati dalla categoria di rilevanza preassegnata), i soggetti possono inserire le proprie attività specifiche, modificando eventualmente la categoria di rilevanza se opportunamente motivato dalla natura del servizio.

La possibilità di personalizzazione mette in evidenza un fattore importante: la categoria preassegnata non costituisce un criterio fisso a cui attenersi, ma nemmeno un semplice consiglio. È una base di partenza la cui importanza non va sottovalutata, adattabile al contesto aziendale ma con criterio e responsabilità da parte dell’ente, che ne deve giustificare la scelta.

Scegliere la rotta: come approcciarsi concretamente alla categorizzazione degli asset?

Per affrontare i compiti derivanti dal modello di categorizzazione, le aziende possono muoversi in due direzioni. Un approccio Top-Down (dall’alto verso il basso) parte dalla valutazione delle finalità strategiche dell’organizzazione per scendere verso i singoli processi IT. Al contrario, un approccio Bottom-Up (dal basso verso l’alto) analizza ogni singolo asset tecnologico per risalire alla funzione di business che supporta.

ACN non fornisce una regola che indichi una metodologia prestabilita. Le organizzazioni sono quindi libere di gestire l’analisi con la metodologia che ritengono più adatta alla loro situazione. Per una digitalizzazione dei processi efficace, il consiglio è però quello di mantenere un approccio ibrido: partire da processi e servizi rilevanti e poi confrontarli con l’inventario dei sistemi informativi in uso, assicurandosi che nulla resti escluso dal perimetro di analisi.

Questo metodo ibrido dà la possibilità alle imprese di individuare potenziali incongruenze o lacune, o di dare priorità a uno dei due elementi lasciando indietro l’altro

Roadmap Operativa: come gestire i flussi di lavoro e quali documenti rivedere.

La fase operativa richiede un coordinamento stretto tra IT Manager e C-Level. I passaggi proposti da ACN includono:

Primo step: identificazione – Censimento di attività e servizi rientranti nel perimetro.

Secondo step: mappatura – Ogni attività e servizio dovrà essere associato alle macro-aree individuate definite dal modello di categorizzazione.

Terzo step: attribuzione – Viene assegnata la categoria di rilevanza corretta per ogni attività o servizio individuato nel perimetro. Le attività e i servizi inseriti acquisiscono, per impostazione predefinita, la categoria di rilevanza della macro-area corrispondente.

Per completare questi step è necessario rivedere o redigere da zero alcuni documenti come:

Inventario di asset e servizi. Per identificare gli elementi coinvolti dal perimetro si passa censimento dei sistemi e degli asset, da riallineare poi a quello delle attività e servizi rientranti nel perimetro NIS. È importante che i due elementi non vengano trattati come scollegati tra loro.

Valutazione del rischio, che non dovrà più limitarsi all’aspetto tecnico dell’asset o del sistema, ma dovrà riallacciarsi all’impatto sull’attività o servizio nel perimetro NIS a cui è collegato.

Piano di gestione del rischio, seguendo un nuovo ordine logico: prima attività e servizi rientranti nel perimetro, poi la categoria associata e, successivamente, rischi e misure correlate.

Gli elementi forniti da ACN con il nuovo modello di categorizzazione forniscono uno spunto alle organizzazioni per rivedere l’ordine logico delle proprie strategie cyber interne, permettendo loro di osservarle con una prospettiva più completa e integrata.

Verso il prossimo step: le misure a lungo termine

La categorizzazione, come abbiamo detto all’inizio di questo approfondimento, è solo il primo passo. Una volta consolidata la mappatura delle attività e dei servizi, per quelli categorizzati a impatto medio e alto verranno implementate delle misure di sicurezza aggiuntive (chiamate «misure a lungo termine»), che saranno introdotte in modo progressivo. Altri elementi importanti da non sottovalutare, che analizzeremo nei prossimi approfondimenti, riguardano la condivisione della lista dei fornitori e il restringimento delle tempistiche di adeguamento per i soggetti entrati a far parte del perimetro in ritardo.

Costruire oggi la sicurezza di domani

Affrontare la NIS2 non significa solo “mettersi in regola”, ma cogliere l’opportunità di governare la complessità digitale con consapevolezza. La determina ACN sulla categorizzazione delle attività ci offre gli strumenti per guardare dentro la nostra azienda con occhi nuovi, proteggendo ciò che conta davvero. Perché la resilienza, più che corrispondere allo stereotipo del traguardo statico, si concretizza solo in un processo continuo di analisi e miglioramento.

FAQ – Domande Frequenti sulla Categorizzazione NIS2

Cosa succede se un'attività non rientra in nessuna Macro-area?

In questo caso è possibile utilizzare la macro-area denominata “Altri servizi e attività”, motivando la scelta e assegnando la categoria di rilevanza più coerente.

La Pubbliche Amministrazione seguono lo stesso iter?

Le PA che hanno già effettuato la classificazione dati secondo il Regolamento Cloud possono utilizzare un modello semplificato, facendo coincidere le categorie NIS2 con le classi già previste (ordinario, critico, strategico).

Qual è il termine per l'implementazione delle misure base?

Il termine per il completamento delle misure di base e le notifiche di incidente è fissato per ottobre 2026.

Unisciti alla nostra Community

Digitalizzazione, cybersecurity, gestione IT: non perderti le ultime novità.