Entro il 30 giugno si chiude la finestra per comunicare all’ACN l’elenco categorizzato delle attività e dei servizi NIS. Per gli operatori di comunicazione elettronica già inseriti nell’elenco dei soggetti essenziali o importanti, si tratta di un adempimento decisivo: da questa comunicazione dipende la base su cui l’Agenzia costruirà, in modo progressivo, l’assetto delle misure di sicurezza applicabili nei prossimi mesi.

L’articolo 30 del D.Lgs. 138/2024 prevede che i soggetti essenziali e importanti comunichino e aggiornino ogni anno, tra il 1º maggio e il 30 giugno, l’elenco delle proprie attività e dei propri servizi, indicando per ciascuno gli elementi di caratterizzazione e la relativa categoria di rilevanza.

Nel 2026 la finestra si è aperta il 1º maggio e si chiude il 30 giugno. Si tratta di un adempimento distinto rispetto a quello del 31 maggio, dedicato all’aggiornamento annuale delle informazioni e alla comunicazione dei fornitori rilevanti. Le due scadenze sono ravvicinate, ma non coincidono: aver assolto una non significa aver completato anche l’altra.

Per gli operatori di comunicazione elettronica, la categorizzazione non è un passaggio formale. L’articolo 31 del decreto collega infatti le misure di sicurezza alla categoria di rilevanza attribuita a ciascuna attività o servizio. In concreto, questo significa che non tutte le funzioni aziendali hanno lo stesso peso. Rete di accesso, core network, sistemi di provisioning, billing, customer care e attività amministrative possono ricadere in categorie diverse, a seconda del ruolo che svolgono nella continuità operativa e dell’impatto che avrebbe una loro compromissione.

La comunicazione di giugno è quindi il punto di partenza per il successivo affinamento delle misure di sicurezza, che ACN ha previsto in modo progressivo nel quadro attuativo del decreto.

Struttura e applicazione del modello

La Determinazione ACN n. 155238/2026 prevede due allegati con struttura analoga, ma con pre-assegnazioni differenziate in base al settore di appartenenza del soggetto.

L’Allegato 1 si applica ai soggetti dei settori ad alta criticità indicati nell’Allegato I del decreto NIS e ad alcuni altri settori critici richiamati dall’Allegato II, oltre al trasporto pubblico locale.

L’Allegato 2 si applica agli altri soggetti NIS, tra cui i settori bancario e finanziario, le infrastrutture digitali e i fornitori ICT business-to-business.

Gli operatori di comunicazione elettronica rientrano nel perimetro delle infrastrutture digitali e, in linea generale, utilizzano il modello dell’Allegato 2. Prima di procedere, però, è opportuno verificare con precisione la propria classificazione nel provvedimento di inserimento ACN, perché la selezione dell’allegato corretto è il primo presupposto di coerenza dell’intero adempimento.

Macro-aree e categorizzazione

Il modello ACN organizza attività e servizi in 10 macro-aree:

A ciascuna macro-area è associata una categoria di rilevanza, articolata su quattro livelli: minimo, basso, medio e alto. La categoria serve a rappresentare l’impatto che una compromissione dell’attività o del servizio potrebbe avere sulla capacità del soggetto di continuare a operare in modo efficace.

Per un operatore TLC, la macro-area Produzione di beni e servizi è in genere quella più delicata, perché tende a ricomprendere rete e piattaforme di erogazione del servizio. Gestione dei clienti può includere CRM e customer care, mentre Comunicazione e marketing e Gestione amministrativa ricadono spesso in categorie meno sensibili. Si tratta però di un orientamento generale: la collocazione finale va sempre verificata alla luce dell’organizzazione concreta del soggetto.

Processo per la categorizzazione

La guida operativa pubblicata da ACN descrive un percorso sostanzialmente articolato in tre fasi:

In molti casi il soggetto può accettare la pre-assegnazione proposta dal modello senza necessità di ulteriori evidenze. Quando invece la criticità reale di una specifica attività appare diversa da quella predefinita, è possibile motivare uno scostamento, purché la scelta sia supportata da un’analisi documentata.

In questi casi è utile predisporre una Business Impact Analysis semplificata, o comunque una valutazione strutturata dell’impatto. ACN non impone una metodologia unica, ma la documentazione adottata deve essere sufficientemente chiara da sostenere eventuali verifiche successive.

Rischi e conseguenze in caso di inadempienza

Dopo il 30 giugno, l’elenco categorizzato viene acquisito e, salvo situazioni eccezionali non imputabili al soggetto, non è più liberamente modificabile.

La mancata o tardiva comunicazione integra una violazione dell’articolo 30 del decreto NISe può esporre il soggetto alle sanzioni previste dall’articolo 38. Il quadro sanzionatorio distingue tra diverse tipologie di inadempimento e tra soggetti essenziali e importanti, con importi e parametri commisurati alla gravità della violazione.

Per questo motivo, il lavoro di categorizzazione non va considerato una mera formalità amministrativa: è un passaggio che incide direttamente sulla conformità complessiva del soggetto e sulla futura calibrazione degli obblighi di sicurezza.

La responsabilità degli adempimenti resta in capo agli organi di amministrazione e direzione, mentre il punto di contatto gestisce operativamente la comunicazione.

Importanza del processo

La categorizzazione di questo anno non chiude il percorso, ma ne costituisce il primo passaggio operativo. Per gli operatori TLC, affrontarla con metodo significa ridurre il rischio di contestazioni e arrivare