NIS2-Kategorisierung:
das ACN-Zeitfenster vom 1. Mai bis 30. Juni

Was am 24. April geschah

Am 24. April 2026 hat die ACN (italienische Agentur für Cybersicherheit) die Bestimmung 155238 vom 20. April 2026 zusammen mit dem Lesefaden zum Modell für die Kategorisierung von Aktivitäten und Diensten gemäß der NIS2-Richtlinie veröffentlicht. Es ist ein entscheidender operativer Schritt: Nach der Phase der Erfassung der Pflichtigen müssen die Organisationen nun strukturiert beschreiben, was sie tun und wie schwer der Impact dessen, was sie tun, tatsächlich wiegt.

Die Eintragung erfolgt ausschließlich auf der ACN-Plattform, im Zeitfenster, das am 1. Mai 2026 öffnet und am 30. Juni 2026 schließt. Das technische Verfahren ist in der Bestimmung 127437/2026 (Artikel 20-21) geregelt, die Rollen, Profile und Zugangsmodalitäten zum Portal definiert.

Die 10 Makro-Bereiche und die 4 Relevanzkategorien

Das von der ACN eingeführte Modell verlangt nicht, isolierte Assets zu beschreiben, sondern die Aktivitäten und Dienste der Organisation in 10 vordefinierten Makro-Bereichen zu aggregieren. Für jeden verwendeten Makro-Bereich muss die Organisation dann eine von 4 Relevanzkategorien zuweisen:

• 1Minimaler Impact — eine Unterbrechung oder Kompromittierung der Aktivität hätte weder für die Organisation noch für externe Subjekte signifikante Auswirkungen.
• 2Niedriger Impact — die Auswirkungen wären auf einen engen Perimeter begrenzt und kurzfristig leicht behebbar.
• 3Mittlerer Impact — der Vorfall hätte spürbare Auswirkungen auf Kunden, Lieferanten oder Endnutzer mit erheblichen wirtschaftlichen oder operativen Folgen.
• 4Hoher Impact — der Vorfall würde die Kontinuität wesentlicher Dienste beeinträchtigen, mit weitreichenden Auswirkungen und erheblichen Wiederherstellungszeiten.

Die zugewiesene Kategorie ist kein formales Etikett: Sie ist der Parameter, der in den nächsten Phasen des NIS2-Pfads die Intensität der technischen und organisatorischen Sicherheitsmaßnahmen bestimmt, die die Organisation zu ergreifen hat. Eine Überklassifizierung führt zu aufwendigeren Maßnahmen als nötig; eine Unterklassifizierung birgt das Risiko von Beanstandungen bei Kontrollen und — vor allem — lässt Dienste ungeschützt, die geschützt sein sollten.

Warum «das Portal ausfüllen» nicht reicht

Die ACN-Plattform ist ein Werkzeug, kein Ziel. Der anspruchsvolle Teil ist die vorbereitende Arbeit, die zu einer korrekten Eintragung führt. Für ein produzierendes oder dienstleistendes KMU sind die typischen Schwierigkeiten:

• Realistische Abbildung der Aktivitäten — zu verstehen, welche Aktivitäten wirklich «kritisch» sind, ist weniger offensichtlich, als es scheint. Der reale Perimeter ist oft weiter als die offiziell erfassten Aktivitäten.
• Einheitliche Lesart der 10 Makro-Bereiche — die Definitionen sind weit gefasst und auf mehrere Kontexte anwendbar. Ohne Leitlinie ordnen unterschiedliche Abteilungen leicht dieselbe Aktivität verschiedenen Makro-Bereichen zu, was Inkonsistenzen erzeugt.
• Vereinfachte, aber nicht triviale Impact-Analyse — die Wahl der Relevanzkategorie erfordert eine Einschätzung der Auswirkungen eines Vorfalls auf operative Kontinuität, Kunden und Dritte: eine Business-Impact-Analyse, die viele KMU zum ersten Mal angehen.
• Abhängigkeit von IT-Lieferanten — viele kritische Aktivitäten werden von externen Lieferanten erbracht oder unterstützt: Die Kategorisierung muss die ICT-Abhängigkeiten in der Lieferkette berücksichtigen, im Einklang mit den NIS2-Anforderungen an die Sicherheit der Supply Chain.

Wie man sich bis 30. Juni konkret vorbereitet

Um mit klarem Bild ins Eintragungsfenster zu gehen, schlagen wir einen Weg in fünf Schritten vor — auch mit Unterstützung eines spezialisierten Partners:

• 1Den Kontaktpunkt neu ausrichten — überprüfen, ob der zuvor auf dem ACN-Portal registrierte Ansprechpartner noch aktiv, geschult und einsatzfähig ist. Diese Person wird das Modell tatsächlich ausfüllen und unterzeichnen.
• 2Reale Aktivitäten und Dienste abbilden — Geschäftsleitung, IT, Produktion und kritische Funktionen einbeziehen, um die tatsächliche Liste der Aktivitäten zu definieren, die das Unternehmen erbringt — auch über die formalisierten Prozesse hinaus. Das ist das eigentliche «Verzeichnis», von dem die Kategorisierung ausgeht.
• 3In die 10 Makro-Bereiche aggregieren — den ACN-Lesefaden nutzen, um jede Aktivität und jeden Dienst den vom Modell vorgesehenen Makro-Bereichen zuzuordnen, mit Konsistenz zwischen Abteilungen und über die Zeit.
• 4Vereinfachte Impact-Analyse durchführen — für jeden verwendeten Makro-Bereich die Auswirkungen eines Vorfalls in Bezug auf Kontinuität, Datensicherheit, Dienste an Dritte und wirtschaftliche Folgen abschätzen, um eine der 4 Relevanzkategorien begründet zuzuweisen. Cybersecurity-Dienste.
• 5Portal ausfüllen und Belege archivieren — die Eintragung auf der ACN-Plattform bis zum 30. Juni 2026 abschließen und intern die getroffenen Entscheidungen (Kriterien, Quellen, Namen) als Nachweis für Audits, jährliche Aktualisierungen und den Dialog mit der ACN in den nächsten Phasen des NIS2-Programms archivieren.

Wie AtWorkStudio die Kategorisierung unterstützt

AtWorkStudio begleitet KMU auf dem NIS2-Weg mit einem operativen Ansatz: Wir starten mit einem Security-Posture-Assessment auf Basis des NIST CSF 2.0, definieren gemeinsam die Karte der Aktivitäten und Dienste, führen die Impact-Analyse durch und begleiten die Eintragung auf der ACN-Plattform. Für Organisationen ohne strukturiertes internes Team bieten wir auch den CSIRT-Outsourcing-Dienst an, der für die Verwaltung der Vorfallmeldungen innerhalb der NIS2-Fristen erforderlich ist.

Wir arbeiten seit 2000 von Piacenza (Italien) aus. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, ACN-qualifiziert für SaaS-Cloud-Dienste, Mitglied von Clusit (italienischer Verband für Informationssicherheit) und assoziiert mit Confindustria Piacenza im RICT-Cluster.