Con la determinazione 155238/2026 l'ACN ha definito il modello di categorizzazione da usarsi per la classificazione delle attività e servizi dei soggetti NIS.
Entro il 30 giugno 2026, i soggetti NIS devono comunicare all'ACN l'elenco categorizzato delle proprie attività e servizi.
Sono state definite 10 macro aree, ognuna con una categoria di rilevanza predefinita .
La categoria di rilevanza di un'attività o di un servizio misura l'impatto di una possibile compromissione di quell'attività o di quel servizio sulla capacità del soggetto di svolgere correttamente le attività e i servizi per i quali rientra nell'ambito di applicazione del decreto NIS:
• impatto minimo
• impatto basso
• impatto medio
• impatto alto.
I soggetti NIS dovranno associare ad una delle macroaree previste le attività svolte e tutti i servizi erogati dall'organizzazione che risultano supportati, svolti o erogati da sistemi informativi e di rete.
Per l'individuazione delle attività e dei servizi possono essere utilizzate varie metodologie quali:
- Approccio top-down che consiste nell'individuare le attività e i servizi partendo dall'analisi delle funzioni e dei processi dell'organizzazione. In particolare, si procede esaminando la struttura organizzativa (ad esempio per mezzo dell''organigramma ) e i processi di business, con l'obiettivo di identificare le attività svolte e i servizi erogati dall'organizzazione.
- Approccio bottom-up che consiste nell'individuare le attività e i servizi partendo dall'inventario dei sistemi informativi e di rete in uso presso l'organizzazione. In particolare, si procede attraverso la ricognizione di elementi quali apparati fisici, applicazioni e servizi informatici per identificare le funzionalità da essi supportate e quindi le attività e i servizi che abilitano
- Un un mix delle due metodologie: approccio top-down integrato dai servizi rilevati dall'approccio bottom-up
Entro il 30.6.26 è prevista la sola categorizzazione dei servizi e delle attività svolte dai sistemi informativi.
Successivamente l'ACN definirà delle misure di sicurezza aggiuntivo (misure a lungo periodo) rispetto alle misure base già definite, che andranno applicate ai servizi e attività con categoria di rilevanza con impatto superiore al minimo.
| Denominazione | Descrizione | Categoria di rilevanza |
| Monitoraggio e controllo | Insieme delle attività e dei servizi finalizzati al monitoraggio e controllo, ivi inclusi il supporto agli organi di amministrazione e direttivi nonché ai vertici dell'organizzazione, l'orchestrazione e il coordinamento della sicurezza informatica e fisica, la continuità operativa, il controllo di qualità nonché il controllo di conformità delle attività e dei servizi dell'organizzazione, anche in relazione ai fornitori. | Impatto alto |
| Produzione di beni e servizi | Insieme delle attività e dei servizi finalizzati alla produzione di beni e servizi, ivi inclusi la pianificazione operativa, la gestione dei processi operativi, l'erogazione dei servizi ai clienti, la gestione operativa dei fornitori, la manutenzione ordinaria e straordinaria degli impianti produttivi | Impatto medio |
| Ricerca, sviluppo e progettazione | Insieme delle attività e dei servizi finalizzati alla ricerca, sviluppo e progettazione, ivi inclusi lo studio di nuove tecnologie e materiali, la prototipazione e sperimentazione di nuovi prodotti, le partnership e collaborazioni scientifiche, la definizione ed elaborazione di progetti, la gestione della proprietà intellettuale e dei brevetti nonché l'ingegnerizzazione del prodotto e del processo. | Impatto medio |
| Gestione finanziaria | Insieme delle attività e dei servizi finalizzati alla gestione finanziaria, ivi inclusi la pianificazione finanziaria, la gestione dei flussi di cassa, la fatturazione e i pagamenti, la contabilità, il bilancio e l'amministrazione della tesoreria. | Impatto basso |
| Gestione dei clienti | Insieme delle attività e dei servizi finalizzati alla gestione dei clienti, ivi inclusi l'onboarding, la gestione dell'anagrafica e del CRM, l'help desk e il supporto tecnico di primo livello, la gestione delle richieste commerciali e di servizio, il monitoraggio della soddisfazione. | Impatto basso |
| Gestione delle risorse umane | Insieme delle attività e dei servizi finalizzati alla gestione delle risorse umane, ivi inclusi la selezione e il reclutamento, la gestione amministrativa e la retribuzione, la valutazione delle performance, la formazione e lo sviluppo delle competenze. | Impatto basso |
| Logistica | Insieme delle attività e dei servizi finalizzati alla logistica, ivi inclusi la pianificazione e la gestione dei flussi logistici, la gestione dello stoccaggio e del magazzino, la preparazione degli ordini (picking e packing), la gestione delle spedizioni, la distribuzione e la consegna, anche in relazione al supporto del funzionamento generale dell'organizzazione. | Impatto basso per i soggetti NIS riconducibili alle tipologie di soggetto di cui ai numeri 1, 2, 5, 6, 7 e 10, dell'allegato I, ai numeri 1, 2, 3, 4 e 5, dell'allegato II, nonché al numero 1 dell'allegato IV del decreto NIS. Impatto minimo per i soggetti non riconducibili alle tipologie di cui al punto precedente |
| Comunicazione e marketing | Insieme delle attività e dei servizi finalizzati alla comunicazione e al marketing, ivi inclusi la gestione dei canali di comunicazione digitali e social, le relazioni esterne e l'ufficio stampa, la gestione dell'identità e del brand, la produzione di contenuti, la gestione degli eventi e delle campagne promozionali | Impatto minimo |
| Gestione amministrativa | Insieme delle attività e dei servizi finalizzati alla gestione amministrativa ivi inclusi la gestione e l'amministrazione degli immobili, la gestione dei contratti, la gestione amministrativa dei fornitori e delle forniture, la gestione fiscale e tributaria, la gestione delle pratiche amministrative e autorizzative. | Impatto minimo |
| Altri servizi e attività | Insieme delle attività e dei servizi che non rientrano nelle altre macro-aree. | Impatto minimo |