NIS2 – Categorizzazione attività e servizi: cosa devono fare i soggetti essenziali e importanti entro il 30 giugno 2026

Il processo è interamente digitale e si svolge sul Portale Servizi NIS di ACN (portale.acn.gov.it). Ecco i passi da seguire: Passo 1 – Scarica il template Dal Portale Servizi scarichi il file Excel ufficiale (“Elenco categorizzato”). È un workbook con tre fogli: Dashboard, Elenco categorizzato e Istruzioni. Il foglio da compilare è “Elenco categorizzato”. Passo 2 – Compila le attività e i servizi Per ogni attività o servizio che intendi dichiarare devi inserire:

• Macro-area (campo obbligatorio): scegli tra le 10 macro-aree predefinite tramite menu a tendina. Le macro-aree sono: Monitoraggio e controllo, Ricerca sviluppo e progettazione, Produzione di beni e servizi, Gestione finanziaria, Gestione dei clienti, Gestione delle risorse umane, Comunicazione e marketing, Gestione amministrativa, Altri servizi e attività, Logistica.
• Denominazione attività/servizio (campo obbligatorio): nome univoco dell’attività nella tua organizzazione.
• Descrizione (campo opzionale): descrizione dettagliata di come il servizio viene erogato nella tua specifica realtà.
• Categoria di rilevanza pre-assegnata (automatica): si calcola automaticamente in base alla macro-area scelta. Non è modificabile direttamente.
• Categoria di rilevanza attribuita: se vuoi modificare la categoria preassegnata, scegli tra Impatto minimo, Impatto basso, Impatto medio, Impatto alto.

Passo 3 – Controlla il Dashboard Il foglio Dashboard mostra quante macro-aree hai popolato e quante attività hai inserito per categoria. Usalo per verificare la completezza prima di caricare. Passo 4 – Carica e trasmetti Dal Portale Servizi utilizza il pulsante “Carica elenco categorizzato” per caricare il file, poi “Trasmetti elenco categorizzato” per inviarlo formalmente ad ACN.

Attenzione: ogni caricamento sovrascrive integralmente il precedente. Non vengono aggiornati singoli record: il sistema tratta il file come un documento unitario.

La scelta della categoria di rilevanza: una decisione strategica

La categoria di rilevanza non è un campo burocratico da compilare in fretta. Definisce il livello di obblighi di sicurezza applicabili a ciascun servizio: misure tecniche, piani di continuità operativa, gestione degli incidenti, audit periodici. Elevare o abbassare la categoria rispetto a quella preassegnata è possibile, ma va motivato internamente e deve riflettere la reale valutazione del rischio. Una sottostima deliberata potrebbe configurare una violazione degli obblighi di accuratezza nella comunicazione ad ACN.

Cosa succede dopo la trasmissione

Una volta trasmesso l’elenco, puoi modificarlo entro e non oltre il 30 giugno 2026, caricando un file aggiornato. Dopo quella data, la finestra si chiude fino al maggio 2027. ACN utilizzerà i dati della categorizzazione per:

• definire il profilo di rischio del soggetto NIS
• modulare le ispezioni e le verifiche
• tarare gli obblighi di notifica degli incidenti

Cosa rischi se non lo fai

Il D.Lgs. 138/2024 prevede sanzioni amministrative pecuniarie per i soggetti che non adempiono agli obblighi di comunicazione verso ACN. Per i soggetti essenziali le sanzioni massime possono raggiungere i 10 milioni di euro o il 2% del fatturato mondiale annuo. Per i soggetti importanti il massimo è 7 milioni di euro o l’1,4% del fatturato.

Come possiamo aiutarti

Exasys supporta le organizzazioni nei processi di adeguamento NIS2: dall’analisi dei servizi interni ed esterni da dichiarare, alla valutazione della categoria di rilevanza più appropriata, fino alla compilazione tecnica del template e alla trasmissione sul Portale ACN. Se non sei sicuro di aver già ricevuto la comunicazione di inclusione nell’elenco NIS, o se hai dubbi su quali attività dichiarare e con quale categoria, contattaci: il tempo è pochissimo. Fonte normativa: D.Lgs. 4 settembre 2024, n. 138 – art. 30; Determinazione ACN n. 155238 del 20 aprile 2026; Portale Servizi ACN (https://www.acn.gov.it/portale/nis)