Cosa prevede la determinazione ACN 155238/2026?

La determinazione 155238 del 20 aprile 2026 dell’ACN (Agenzia per la Cybersicurezza Nazionale) definisce le modalità con cui i soggetti rientranti nel perimetro NIS2 devono elencare e categorizzare le proprie attività e i propri servizi. Le organizzazioni devono organizzare le attività in 10 macro-aree e attribuire a ciascuna una delle 4 categorie di rilevanza (impatto minimo, basso, medio, alto). La compilazione avviene sulla piattaforma ACN nella finestra dal 1° maggio al 30 giugno 2026, secondo le procedure operative della determinazione 127437/2026 (articoli 20-21).

Chi è tenuto a compilare la categorizzazione su piattaforma ACN?

Sono tenuti tutti i soggetti che rientrano nel perimetro della NIS2 (Direttiva UE 2022/2555, recepita in Italia con il D.Lgs. 138/2024): soggetti essenziali e importanti dei settori indicati negli allegati I e II, comprese moltissime PMI dei settori manifatturiero, sanitario, dei servizi digitali, dell’energia, dei trasporti, della pubblica amministrazione e dei servizi essenziali. La verifica dell’assoggettamento avviene sulla base di dimensione, settore e ruolo nella filiera. La fase di censimento dei soggetti era propedeutica a questa categorizzazione.

Cosa sono le 10 macro-aree e le 4 categorie di rilevanza?

Le 10 macro-aree sono raggruppamenti di attività e servizi attraverso cui l’organizzazione descrive cosa fa concretamente (per esempio: erogazione di servizi essenziali, gestione dati personali, sviluppo software, gestione infrastrutture critiche, ecc.). Le 4 categorie di rilevanza esprimono il livello di impatto in caso di incidente: impatto minimo, basso, medio o alto. La categoria assegnata determina poi la severità delle misure di sicurezza che si dovranno adottare nelle fasi successive del processo NIS2.

Cosa succede se non si rispetta la scadenza del 30 giugno 2026?

La mancata compilazione della categorizzazione entro il 30 giugno 2026 configura un mancato adempimento agli obblighi NIS2. La NIS2 prevede sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato annuo mondiale per i soggetti essenziali, e fino a 7 milioni o all’1,4% per i soggetti importanti, oltre a poteri ispettivi e correttivi dell’ACN. Inoltre, la categorizzazione è il presupposto per identificare i sistemi su cui applicare le misure di sicurezza di lungo termine: chi non si categorizza non può progettare correttamente la propria postura di conformità.

Una PMI può compilare la piattaforma ACN da sola?

Tecnicamente sì: la piattaforma ACN è accessibile dal punto di contatto designato dall’organizzazione. Operativamente, l’interpretazione corretta delle 10 macro-aree e l’attribuzione delle 4 categorie di rilevanza richiedono però una visione integrata di processi, asset, dipendenze tecnologiche e impatto di business. Una scelta superficiale rischia di sovrastimare la rilevanza (e quindi imporsi misure più stringenti del necessario) o di sottostimarla (esponendo a rilievi in caso di verifica). Per le PMI senza un team di security interno strutturato, è consigliabile un supporto specialistico in fase di prima compilazione.

Categorizzazione NIS2: come compilare attività e servizi sulla piattaforma ACN entro il 30 giugno 2026

Tutte le news

28 aprile 2026·NIS2ACNCompliancePMICybersecurity

Determinazione ACN155238 del 20/04/2026

Finestra di compilazione1 maggio – 30 giugno 2026

Modello10 macro-aree, 4 categorie

Cosa è successo il 24 aprile

Il 24 aprile 2026 l’ACN (Agenzia per la Cybersicurezza Nazionale) ha pubblicato la determinazione 155238 del 20 aprile 2026 e la guida alla lettura del modello di categorizzazione delle attività e dei servizi previsti dalla Direttiva NIS2. È un passaggio operativo decisivo: dopo la fase di censimento dei soggetti, le organizzazioni soggette devono ora descrivere in modo strutturato cosa fanno e quanto pesa, in termini di impatto, ciò che fanno.

La compilazione avviene esclusivamente sulla piattaforma ACN, nella finestra che si apre il 1° maggio 2026 e si chiude il 30 giugno 2026. La procedura tecnica è disciplinata dalla determinazione 127437/2026 (articoli 20-21), che definisce ruoli, profili e modalità di accesso al portale.

Le 10 macro-aree e le 4 categorie di rilevanza

Il modello introdotto dall’ACN non chiede di descrivere asset isolati ma di aggregare le attività e i servizi dell’organizzazione in 10 macro-aree predefinite. Per ciascuna macro-area utilizzata, l’organizzazione deve poi attribuire una delle 4 categorie di rilevanza:

1Impatto minimo — l’interruzione o la compromissione dell’attività non produrrebbe effetti significativi né sull’organizzazione né su soggetti esterni.
2Impatto basso — gli effetti sarebbero limitati a un perimetro ristretto e facilmente recuperabili nel breve periodo.
3Impatto medio — l’incidente avrebbe ricadute apprezzabili su clienti, fornitori o utenti finali, con impatti economici o operativi sensibili.
4Impatto alto — l’incidente comprometterebbe la continuità di servizi essenziali, con effetti di ampia portata e tempi di recupero significativi.

La categoria assegnata non è un’etichetta formale: è il parametro che determinerà, nelle fasi successive del percorso NIS2, l’intensità delle misure di sicurezza tecniche e organizzative che l’organizzazione dovrà adottare. Una sovra-classificazione comporta misure più onerose del necessario; una sotto-classificazione espone a rilievi in caso di verifica e — soprattutto — lascia scoperti servizi che dovrebbero essere protetti.

Perché non basta «compilare il portale»

La piattaforma ACN è uno strumento, non un punto di arrivo. La parte impegnativa è il lavoro preparatorio che porta a una compilazione corretta. Per una PMI manifatturiera o di servizi, le difficoltà tipiche sono:

Mappatura realistica delle attività — capire quali sono davvero le attività «critiche» dell’azienda è meno scontato di quanto sembri. Spesso il perimetro reale è più ampio delle attività ufficialmente censite.
Lettura uniforme delle 10 macro-aree — le definizioni sono ampie e applicabili a più contesti. Senza una guida, è facile che ciascun reparto attribuisca la stessa attività a macro-aree diverse, generando incoerenze.
Analisi di impatto semplificata, ma non banale — la scelta della categoria di rilevanza richiede di stimare gli effetti di un incidente sulla continuità operativa, sui clienti e sui terzi: un esercizio di business impact analysis che molte PMI affrontano per la prima volta.
Dipendenza dai fornitori IT — molte attività critiche sono erogate o supportate da fornitori esterni: la categorizzazione richiede di tenere conto delle dipendenze ICT della filiera, in linea con i requisiti NIS2 sulla sicurezza della supply chain.

Come prepararsi in pratica entro il 30 giugno

Per arrivare alla finestra di compilazione con un quadro chiaro, suggeriamo un percorso in cinque passi, anche svolto con l’aiuto di un partner specializzato:

1Riallineare il punto di contatto — verificare che il referente registrato a suo tempo sul portale ACN sia ancora attivo, formato e in grado di operare. È la persona che dovrà effettivamente compilare e sottoscrivere il modello.
2Mappare attività e servizi reali — coinvolgere direzione, IT, produzione e funzioni critiche per definire l’elenco effettivo delle attività che l’azienda eroga, anche al di là dei processi formalizzati. Questo è il vero «catasto» da cui parte la categorizzazione.
3Aggregare nelle 10 macro-aree — usare la guida ACN per ricondurre ogni attività e servizio alle macro-aree previste dal modello, mantenendo coerenza tra reparti e nel tempo.
4Eseguire un’analisi di impatto semplificata — per ogni macro-area utilizzata, stimare gli effetti di un incidente in termini di continuità, sicurezza dei dati, servizi a terzi ed effetti economici, per assegnare una delle 4 categorie di rilevanza in modo argomentato. Servizi di cybersecurity.
5Compilare il portale e archiviare le evidenze — completare la compilazione sulla piattaforma ACN entro il 30 giugno 2026 e archiviare internamente le decisioni prese (criteri, fonti, nominativi) come traccia per audit, rinnovi annuali e per il dialogo con l’ACN nelle fasi successive del programma NIS2.

Come AtWorkStudio supporta la categorizzazione

AtWorkStudio affianca le PMI nel percorso di adeguamento alla NIS2 con un approccio operativo: partiamo da un assessment della postura di sicurezza basato su NIST CSF 2.0, definiamo insieme la mappa delle attività e dei servizi, eseguiamo l’analisi di impatto e accompagniamo la compilazione della piattaforma ACN. Per chi non ha un team interno strutturato, offriamo anche il servizio di CSIRT in outsourcing, necessario per gestire le notifiche di incidente nei tempi previsti dalla NIS2.

Operiamo da Piacenza dal 2000. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN per servizi cloud SaaS, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.

Fonti

ACN — Determinazione 155238 del 20 aprile 2026 (modello di categorizzazione attività e servizi NIS2)
ACN — Comunicazione del 24 aprile 2026 sulle modalità di elencazione e categorizzazione
ACN — Determinazione 127437/2026, articoli 20-21 (procedure operative piattaforma)
D.Lgs. 138 del 4 settembre 2024 — Recepimento Direttiva NIS2 in Italia
Direttiva (UE) 2022/2555 (NIS2) — Allegati I e II, soggetti essenziali e importanti

Approfondisci

Direttiva NIS2 NIS2 a Piacenza CSIRT in Outsourcing Servizi di Cybersecurity Incident Response & Recovery Certificazioni

Domande frequenti

Risposte alle domande più comuni sulla categorizzazione NIS2 e sulla piattaforma ACN.

Compila la categorizzazione NIS2 senza improvvisare

Hai tempo dal 1° maggio al 30 giugno 2026 per inserire attività e servizi sulla piattaforma ACN. Possiamo aiutarti con un assessment NIST gratuito e con il supporto operativo alla compilazione.

Assessment NIST gratuito Contattaci

Categorizzazione NIS2:la finestra ACN dal 1° maggio al 30 giugno