Chi non completa l’adempimento entro il 30 giugno vedrà il proprio elenco servizi NIS2 acquisito come definitivo, senza possibilità di correzione.
Il 24 aprile 2026 l’ACN ha pubblicato la Determinazione n. 155238 del 20 aprile 2026 e la guida alla lettura del modello di categorizzazione delle attività e dei servizi previsto dalla Direttiva NIS2. Si tratta di un passaggio operativo decisivo nel percorso di adeguamento al D.Lgs. 138/2024.
La compilazione avviene esclusivamente sulla piattaforma ACN, nella finestra che si è aperta il 1° maggio 2026 e si chiude il 30 giugno 2026.
Chi è obbligato
Sono tenuti all’adempimento tutti i soggetti essenziali e importanti già inseriti nell’elenco nazionale dei soggetti NIS. In concreto:
- le organizzazioni dei settori ad alta criticità indicati nell’Allegato I del D.Lgs. 138/2024 (energia, trasporti, banche, infrastrutture digitali, sanità, acqua, ecc.);
- quelle dei settori critici dell’Allegato II (servizi postali, gestione rifiuti, industria, alimentare, ricerca, ecc.);
- i soggetti della pubblica amministrazione rientranti nel perimetro.
Cosa va fatto entro il 30 giugno
Il processo richiede che ogni soggetto NIS, tramite il Punto di Contatto, acceda al Portale ACN e svolga le seguenti attività:
- elencare tutte le attività e i servizi svolti (sia quelli interni che quelli erogati verso terzi
- associarle a una delle 10 macro-aree previste dal modello ACN.
Le organizzazioni devono attribuire a ciascuna macro-area una delle 4 categorie di rilevanza: impatto minimo, basso, medio, alto.
Dalla categoria di rilevanza assegnata a ciascuna macro-area dipenderà la proporzionalità delle misure future: la categorizzazione è quindi uno strumento importante di calibrazione della compliance NIS2 a lungo termine.
La scadenza non è prorogabile
Decorso il termine del 30 giugno, l’elenco categorizzato delle attività e dei servizi si intende definitivamente acquisito e non più modificabile, salvo i casi di ritardo dovuti a documentate criticità tecnico-operative non imputabili al soggetto.
Ricordiamo che l’adempimento non può essere lasciato al solo ufficio IT, ma è responsabilità diretta e non delegabile degli Organi Direttivi ai sensi dell’art. 23 del D.Lgs. 138/2024: la delega operativa è ammessa, ma la responsabilità resta agli organi apicali.
Gli errori da evitare
Tra gli errori più comuni:
- classificare tutto come “impatto minimo”, una scelta che espone l’organizzazione a contestazioni in fase ispettiva
- non coinvolgere i responsabili di business, perché la categorizzazione non è solo IT ma richiede il contributo di chi gestisce i processi operativi
- trascurare la supply chain: i fornitori ICT critici devono essere identificati e inclusi nell’analisi (la scadenza per questo passaggio era il 31 maggio 2026).
Ricordiamo che la prossima scadenza è il 31 ottobre 2026: Piena conformità alle misure di sicurezza di base (Allegati 1 e 2, Determinazione ACN n. 379907/2025)
Come può aiutarti Gruppo 2G
Il team di Gruppo 2G supporta le organizzazioni nell’intero percorso di adeguamento NIS2: dalla verifica dell’obbligo di categorizzazione, alla compilazione del modello ACN con la corretta attribuzione delle categorie di rilevanza, fino all’integrazione con i presidi già in essere (Modello 231, sistemi di gestione, politiche di sicurezza).
📩 Contattaci: gruppo2g@gruppo2g.com