Indice dei contenuti
La nuova fase attuativa della NIS2 chiede a imprese e Pubbliche Amministrazioni di fare un passo molto concreto: elencare, caratterizzare e categorizzare attività e servizi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Gli esiti devono essere comunicati tramite piattaforma ACN dal 1° maggio al 30 giugno 2026.
Non è solo una compilazione formale. È una fotografia della criticità operativa dell’organizzazione: quali servizi sono davvero essenziali, da quali sistemi dipendono, quali infrastrutture li supportano e quanto sarebbe grave una loro interruzione.
NIS2, cosa significa categorizzare attività e servizi
Nel modello ACN, le attività e i servizi dell’organizzazione vengono ricondotti a macro-aree. Ogni macro-area rappresenta un insieme di attività o servizi accomunati da finalità, utenti, prestazioni o funzioni simili.
A ogni attività o servizio deve poi essere associata una categoria di rilevanza:
- impatto minimo
- impatto basso
- impatto medio
- impatto alto.
L’obiettivo è misurare quanto una compromissione possa incidere sulla capacità dell’organizzazione di continuare a svolgere le proprie attività e i propri servizi.
Questa classificazione non serve solo a “mettere un’etichetta”. Serve a orientare le misure di sicurezza, rendendole più proporzionate, progressive e coerenti con il reale livello di criticità dei sistemi informativi e di rete coinvolti.
Perché non basta compilare un modulo
Il rischio per molte organizzazioni è affrontare la categorizzazione NIS2 come un adempimento amministrativo: aprire la piattaforma ACN, compilare i campi, caricare le informazioni richieste.
Ma per classificare correttamente un servizio bisogna prima sapere da cosa dipende. Un servizio apparentemente semplice può poggiare su server fisici, macchine virtuali, storage, apparati di rete, database, applicazioni gestionali, backup, credenziali, integrazioni con fornitori esterni e componenti legacy. Se questa mappa non esiste, la categorizzazione rischia di essere incompleta o sottostimata.
Prima di parlare di cybersecurity, compliance NIS2 o misure tecniche, imprese e PA devono quindi rispondere a una domanda più basilare: conosciamo davvero la nostra infrastruttura ICT?
Categorizzazione NIS2: come procedere
La categorizzazione NIS2 è vicina, nella logica, a una Business Impact Analysis semplificata: aiuta a capire quali attività sono più critiche, quali interruzioni sono tollerabili e quali sistemi devono essere protetti per primi.
In questo senso, la categorizzazione ACN non è un adempimento isolato. È il punto di partenza per una strategia di cybersecurity, business continuity e disaster recovery basata sulle priorità reali dell’organizzazione.
In concreto, il percorso di categorizzazione richiede tre passaggi operativi principali:
- Identificazione di attività e servizi. Il primo step consiste nel ricostruire l’elenco delle attività e dei servizi svolti dall’organizzazione, distinguendo quelli ordinari da quelli realmente critici per la continuità operativa. Non si tratta solo di nominare un servizio, ma di capire quale funzione svolge, chi lo utilizza e cosa accadrebbe se venisse interrotto.
- Mappatura delle attività e dei servizi nelle macro-aree. Una volta individuati, attività e servizi devono essere ricondotti alle macro-aree previste dal modello ACN. Questo passaggio consente di organizzare le informazioni in modo coerente e di collegare ogni servizio ai processi, agli utenti, ai dati, ai sistemi informativi e alle infrastrutture tecnologiche che lo supportano.
- Attribuzione della categoria di rilevanza. Per ogni attività o servizio occorre valutare l’impatto che una sua interruzione, indisponibilità o compromissione potrebbe avere sull’organizzazione. Da questa analisi deriva l’attribuzione della categoria di rilevanza (impatto minimo, basso, medio o alto) utile per definire priorità di intervento, misure di sicurezza, backup, SLA e strategie di continuità operativa.
Come Laus Informatica può supportare il percorso
Laus Informatica affianca PMI, aziende di ogni tipologia e Pubblica Amministrazione attraverso un programma strategico e tattico definito:
- Censimento dell’infrastruttura ICT
- Supporto alla mappatura “attività-servizi-sistemi”
- Valutazione della continuità operativa
- Disaster Recovery e Business Continuity
- Supporto sistemistico e cybersecurity infrastrutturale
- Manutenzione hardware multibrand e legacy
La categorizzazione ACN non è solo una scadenza NIS2. È l’occasione per capire quali servizi tengono davvero in piedi l’organizzazione e se l’infrastruttura ICT è pronta a proteggerli. Per caricare correttamente attività e servizi su ACN, un’organizzazione deve prima conoscere davvero la propria infrastruttura: server, applicazioni, dati, backup, fornitori, SLA, componenti legacy e dipendenze operative.
Compila il form e richiedi a Laus Informatica un assessment tecnico dell’infrastruttura, dei servizi critici e della continuità operativa in vista degli adempimenti NIS2.