NIS2: i chiarimenti ACN
dell’evento Clusit del 29 aprile 2026

Cosa è successo il 29 aprile 2026

L’evento «NIS2, dalle misure di base alla categorizzazione: guida ai prossimi passi del percorso di adeguamento», organizzato da Clusit (Associazione Italiana per la Sicurezza Informatica) il 29 aprile 2026 con la partecipazione di ACN (Agenzia per la Cybersicurezza Nazionale), ha fornito chiarimenti molto attesi su diversi punti operativi del percorso di adeguamento alla Direttiva NIS2: categorizzazione delle attività e dei servizi, individuazione dei fornitori rilevanti, qualificazione e decorrenza delle notifiche degli incidenti, perimetro delle misure e ruolo degli organi direttivi.

L’intervento della Dott.ssa Milena Antonella Rizzi per ACN ha confermato una direzione netta: la NIS2 italiana sta entrando in una fase più matura. Dopo la registrazione dei soggetti e le prime comunicazioni di inclusione nel perimetro, il baricentro si sposta sulla capacità di governare concretamente attività, servizi, sistemi informativi, fornitori e responsabilità.

Proporzionalità: oltre la distinzione essenziali/importanti

Negli ultimi mesi molte organizzazioni hanno letto la proporzionalità soprattutto come distinzione tra soggetti essenziali e soggetti importanti. ACN ha chiarito che questa lettura non è più sufficiente. La proporzionalità deve essere declinata anche sulla base delle attività e dei servizi NIS effettivamente svolti, dei sistemi informativi e di rete che li supportano e della categoria di rilevanza attribuita.

La domanda non è più soltanto «sono soggetto essenziale o importante?». Diventa: «quali attività e servizi svolgo, quanto sono rilevanti, quali sistemi li sostengono e quali misure devono essere applicate su quei sistemi?». Il principio di adeguatezza e proporzionalità smette di essere una formula generale e diventa un criterio operativo.

Categorizzazione: la base delle misure future

Le specifiche di base costituiscono il primo livello del percorso di adeguamento, ma non vanno considerate un blocco isolato. Andranno a coprire una parte significativa anche del futuro impianto delle misure a lungo termine, calibrato progressivamente sulla base delle categorie di rilevanza attribuite alle attività e ai servizi.

La categorizzazione non serve quindi soltanto a popolare una sezione del portale ACN. Diventerà uno degli strumenti attraverso cui l’autorità potrà declinare gli obblighi futuri in modo mirato e proporzionato. Affrontarla come semplice attività di data entry sarebbe un errore: il rischio è produrre un risultato formalmente corretto ma poco utile alla gestione reale del rischio.

In pratica il processo si sviluppa in tre passaggi:

• 1Identificare le attività e i servizi svolti rispetto al perimetro NIS, distinguendo ciò che è strumentale da ciò che è realmente erogato verso utenti, clienti o filiere.
• 2Associarli alle macroaree previste dall’ACN, valutando se la classificazione proposta rappresenta correttamente la realtà dell’organizzazione.
• 3Attribuire la relativa categoria di rilevanza, motivando la scelta con elementi oggettivi: impatti sul business, dipendenze tecnologiche, continuità operativa, effetti su clienti, utenti o filiere produttive.

Il soggetto può modificare la classificazione proposta o precedentemente attribuita senza trasmettere osservazioni ad ACN per ogni variazione, ma deve conservare internamente gli elementi che hanno portato alla scelta. Tracciabilità decisionale, non burocrazia aggiuntiva.

Perimetro: il sistema informativo e di rete, non il singolo asset

Il riferimento delle misure NIS2 non è il singolo asset che eroga direttamente un servizio, ma il sistema informativo e di rete nel suo complesso: applicazioni, infrastrutture, reti, identità digitali, dati, fornitori, processi, monitoraggio, capacità di ripristino e dipendenze operative.

Questo cambia in modo significativo l’approccio agli inventari. Molti inventari aziendali sono ancora costruiti partendo dagli asset (server, applicazioni, apparati, licenze, database). La logica richiesta dalla NIS2 è inversa: prima si individuano attività e servizi, poi i sistemi informativi e di rete che li supportano, infine si arriva agli asset e alle dipendenze. Un inventario che non collega attività, servizi, sistemi e fornitori resta un elenco ordinato di oggetti tecnologici, ma non uno strumento utile alla gestione del rischio.

Fornitori rilevanti: la chiave è la fungibilità

Il chiarimento più rilevante per le PMI manifatturiere e logistiche riguarda i fornitori rilevanti: non bisogna guardare soltanto ai fornitori ICT in senso stretto. La valutazione deve includere anche quei fornitori non fungibili che possono incidere sulla continuità delle attività o dei servizi NIS, anche se non forniscono tecnologia.

Il template ACN per l’inserimento dei fornitori a portale prevede tre criteri distinti:

• 1Fornitura ICT — software, infrastrutture, servizi cloud, manutenzione e supporto tecnologico in senso classico.
• 2Fornitura non fungibile — fornitori non ICT difficilmente sostituibili: materia prima, componenti industriali specifici, servizi logistici critici, lavorazioni esclusive.
• 3Fornitura ICT non fungibile — fornitori tecnologici difficilmente sostituibili: software gestionali verticali, integratori sistemici, fornitori OT proprietari.

Non tutti i fornitori ICT sono automaticamente non fungibili. Non tutti i fornitori non ICT sono irrilevanti. Alcuni fornitori possono essere contemporaneamente ICT e non fungibili. Il rischio operativo è duplice: caricare troppi fornitori, trasformando l’elenco in un’anagrafica amministrativa, oppure caricarne troppo pochi, dimenticando dipendenze fondamentali solo perché non rientrano nella categoria «informatica».

Un chiarimento utile riguarda il caso del reseller ICT: se il rapporto è di sola rivendita, senza manutenzione o supporto continuativo, il reseller potrebbe non essere il soggetto realmente rilevante. L’attenzione si sposta sul prodotto o servizio sottostante. Su questo punto è attesa una FAQ ufficiale ACN.

Incidenti: le 24 ore decorrono dall’evidenza

Altro chiarimento operativo: il termine delle 24 ore per la pre-notifica al CSIRT Italia non decorre dal momento materiale in cui l’incidente si è verificato, ma dal momento in cui il soggetto ne ha evidenza. Se un incidente avviene il sabato sera ma l’organizzazione ne acquisisce evidenza oggettiva il lunedì mattina, il termine decorre dal lunedì mattina.

Questo non legittima il mancato monitoraggio: significa che la notifica deve basarsi su un’evidenza effettiva, non su una supposizione. I piani di gestione degli incidenti dovranno distinguere chiaramente tra cinque momenti diversi: occorrenza dell’evento, rilevazione, evidenza dell’incidente, valutazione della significatività e attivazione della pre-notifica.

IS-3: livelli di servizio attesi ≠ SLA, RTO e RPO

ACN ha chiarito che, per la tipologia IS-3 (violazione dei livelli di servizio attesi), la valutazione non coincide automaticamente con SLA, RTO o RPO. Questi elementi possono essere utili e in alcuni casi sovrapporsi, ma non esauriscono la valutazione richiesta.

Il punto è capire se l’incidente ha compromesso, per un determinato periodo di tempo, la capacità del soggetto di erogare un’attività o un servizio in modo coerente con le esigenze del proprio business. È una valutazione sostanziale, non solo contrattuale o tecnica. Quando un’organizzazione non ha definito quali servizi sono attesi e quando la loro indisponibilità diventa significativa, durante un incidente rischia di dover improvvisare. Improvvisare raramente produce buoni risultati.

Organi direttivi e audit di terza parte

Sul coinvolgimento degli organi direttivi e amministrativi il messaggio ACN è netto: la supervisione dell’attuazione può essere delegata, ma la responsabilità resta collegiale. Questo impedisce di ridurre la NIS2 a tema esclusivamente tecnico o a una pratica da assegnare interamente all’IT, al consulente o al referente interno. Gli organi direttivi non devono trasformarsi in tecnici cyber security, ma devono essere messi in condizione di comprendere il modello, approvare le scelte, supervisionare il percorso e assumere decisioni coerenti con il rischio.

Sugli audit di terza parte, infine, ACN ha chiarito un punto importante: in Italia non esistono oggi soggetti privati certificati come auditor di compliance NIS2 con mandato ACN. Le organizzazioni possono farsi supportare da consulenti o auditor qualificati per verificare il proprio livello di adeguamento, ma nessuna terza parte può «certificare» ufficialmente la compliance NIS2 per conto dell’autorità. Diffidate da etichette rapide e rassicuranti.

Cosa cambia per le aziende

L’evento Clusit con ACN ha confermato una direzione precisa: la NIS2 non può essere gestita come una checklist documentale. La categorizzazione impatta su inventari e risk analysis. L’elenco dei fornitori rilevanti obbliga a leggere le dipendenze reali, anche oltre l’ICT. La gestione degli incidenti richiede procedure coerenti con il concetto di evidenza e con la valutazione dei livelli di servizio attesi. Gli organi direttivi restano responsabili del governo complessivo del percorso.

Il lavoro vero non è compilare sezioni del portale o aggiornare qualche documento. È costruire un modello coerente, in cui attività, servizi, sistemi informativi, fornitori, rischi, misure e responsabilità siano collegati tra loro. È qui che la NIS2 inizia a fare selezione tra compliance formale e governo reale del rischio.

Un partner certificato per l’adeguamento

AtWorkStudio opera da Piacenza dal 2000. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, con qualificazione ACN QC1 per i servizi cloud (Email Security Gateway e Backup Microsoft 365). Siamo membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.

Possiamo affiancare la tua organizzazione nell’adeguamento NIS2 con un percorso strutturato: mappatura delle attività e dei servizi, categorizzazione e attribuzione della rilevanza, censimento dei fornitori ICT e non fungibili, definizione dei piani di gestione incidenti e dei livelli di servizio attesi, coinvolgimento degli organi direttivi.