L’Agenzia per la Cybersicurezza Nazionale (ACN) ha declinato nuovi obblighi in materia di sicurezza informatica dettati dalla cosiddetta “Direttiva NIS 2”, la normativa europea che ha l’obiettivo di incrementare il livello di cybersecurity delle aziende che operano in settori qualificati come essenziali o importanti e dalla norma nazionale di recepimento d. lgs. 138/2024 (cosiddetto “Decreto NIS”).
Nello specifico, le imprese dovranno classificare le proprie attività e i propri servizi riconducendole ad una delle macro-categorie individuate dall’autorità. Questo è un passaggio fondamentale perché consentirà di definire il livello di rischio associato a ciascun processo e implementare misure di sicurezza adeguate e proporzionate alla criticità di ognuno.
La categorizzazione dell’ACN
Il cuore del nuovo provvedimento dell’ACN è un modello di classificazione che chiede alle imprese di fare ordine tra le proprie attività. Innanzitutto, ogni ente dovrà individuare tutte le attività e i servizi aziendali supportati, svolti o erogati da sistemi informatici.
Il secondo passaggio richiede di associare ciascuna di queste attività a una delle dieci macro-aree previste dal modello, che coprono i principali ambiti di un’organizzazione. Tra queste categorie rientrano varie attività, che vanno dal monitoraggio e controllo alla produzione di beni e servizi, dalla gestione finanziaria alle risorse umane, dalla logistica alla comunicazione e marketing, fino alla ricerca e sviluppo, alla gestione dei clienti, alla gestione amministrativa e ad altri servizi e attività, ognuna con un proprio livello di rilevanza predefinito.
Infine, il terzo passaggio prevede di verificare che il suddetto livello di rilevanza preassegnato dall’Agenzia a ciascuna categoria sia coerente con quello che il processo ha per l’azienda, valutando l’impatto di una possibile compromissione dell’attività o del servizio sulla capacità del soggetto di svolgere correttamente le attività e i servizi essenziali o importanti.
Può essere utile sottolineare come l’unica area a cui l’Agenzia ha assegnato un livello di rilevanza “alto” è quella relativa ai servizi finalizzati al monitoraggio e controllo, ivi inclusi il supporto agli organi di amministrazione e direttivi nonché ai vertici dell’organizzazione. Ciò potrebbe rispondere all’esigenza del legislatore di richiamare l’attenzione dei vertici aziendali su questa normativa, che non deve essere letta come di pertinenza esclusivamente IT, bensì come una vera e propria declinazione dell’obbligo per gli organi di direzione delle aziende di implementare assetti organizzativi adeguati anche in ambito cybersecurity.
Tuttavia, le aziende non sono vincolate a questi livelli predefiniti e possono discostarsene, purché motivino la propria scelta attraverso un’analisi specifica che dovrà essere documentata e conservata. In altre parole, le imprese dovranno svolgere un’analisi del rischio valutando quanto un’eventuale interruzione o malfunzionamento potrebbe danneggiare una determinata attività.
La classificazione come risorsa per orientare gli investimenti in cybersecurity
Questa operazione non è un mero esercizio burocratico. Il livello di rilevanza attribuito a ciascuna attività determinerà, in prospettiva, l’intensità delle misure di sicurezza informatica che l’azienda dovrà adottare sui relativi sistemi. Una classificazione accurata consentirà quindi di concentrare gli investimenti in sicurezza dove servono davvero, evitando oneri sproporzionati sulle aree a minor rischio.
Obblighi di base e obblighi a lungo termine: il doppio binario
Le imprese, inoltre, stanno attualmente implementando le cosiddette misure di base, un primo set di requisiti minimi di sicurezza che dovrà essere adottato entro ottobre 2026. In aggiunta, l’ACN introdurrà in futuro degli obblighi a lungo termine, che prevederanno misure più avanzate e differenziate proprio in funzione delle categorie di rilevanza assegnate a ciascuna attività. Questo significa che la classificazione effettuata oggi sarà utile anche per valutare il livello di impegno richiesto alle aziende nei prossimi anni.
Le prossime scadenze
Le scadenze sono estremamente stringenti e ravvicinate. Infatti, prima della scadenza di ottobre 2026 per l’adozione delle misure di sicurezza di base, le imprese dovranno comunicare all’ACN l’elenco delle proprie attività e servizi, completo della relativa classificazione, entro il 30 giugno prossimo. Per affrontare al meglio questo adempimento, è consigliabile verificare quale modello di classificazione sia applicabile alla propria realtà, avviare una ricognizione interna delle attività aziendali che dipendono da sistemi informatici e valutare se i livelli di rilevanza pre-assegnati siano adeguati al contesto specifico dell’impresa, o se sia opportuno motivare un diverso inquadramento.
Per questo motivo, la cybersecurity non può più essere considerata un tema di esclusiva pertinenza delle funzioni IT delle aziende, ma una responsabilità strategica che coinvolge l’intera organizzazione. Le imprese che sapranno muoversi per tempo avranno un vantaggio competitivo concreto e una solidità percepibile sul mercato, mentre chi agirà in ritardo rischierà di trovarsi impreparate di fronte a obblighi sempre più stringenti e a conseguenti responsabilità.
* Of Counsel Chiomenti
** Senior Associate Chiomenti