La Direttiva NIS2 sta prendendo forma concreta attraverso le determine attuative che completano il quadro normativo italiano. L'introduzione di mappature precise, come quella richiesta lo scorso mese per i fornitori, costringe le aziende a fare i conti con una domanda scomoda: sappiamo davvero come funzionano i nostri processi critici e quanto sono esposti al rischio cyber?
Questa domanda apre le porte alla considerazione che non basti più "proteggere i sistemi", ma che bisogna avere piena consapevolezza di quali attività tengono in piedi il business e su quali infrastrutture IT si reggono.
La categorizzazione dei servizi NIS2: cos'è e perché conta
Per rispondere a questa esigenza, l'Agenzia per la Cybersicurezza Nazionale (ACN) ha introdotto un modello di categorizzazione che i soggetti registrati devono completare entro il 30 giugno 2026 attraverso il portale dedicato.
Il portale mette a disposizione, nell'area riservata, un documento denominato “esempi_servizi”: un elenco pensato per guidare le organizzazioni nella compilazione.
Vale la pena sottolineare una distinzione importante: la maggior parte degli esempi è trasversale a tutti i settori, ma le macro-aree “Produzione di beni e servizi” e “Monitoraggio e controllo” sono declinate per tipologia di soggetto. È una scelta logica, perché queste aree rappresentano il cuore operativo distintivo di ciascuna organizzazione.
Il punto di vista del manifatturiero
Un'impresa che opera nella fabbricazione di macchinari (codice NACE C, divisione 28) ritroverà nel documento attività familiari: l'utilizzo di centri di lavoro CNC per la lavorazione dei metalli, l'assemblaggio di sottosistemi meccanici ed elettronici, i collaudi pre-consegna. Sul fronte del monitoraggio e controllo, emergono i temi correlati:
-
la supervisione delle macchine a controllo numerico
-
la protezione dei disegni tecnici CAD/CAM da accessi non autorizzati
-
il controllo dei componenti critici forniti da terze parti, come ad esempio l’OT.
Questo livello di dettaglio non è solo un esercizio di compilazione: è il primo passo per capire dove si concentra il rischio reale di incidente informatico.
Non solo conformità ma anche consapevolezza
Il cuore dell’attività, che salda i processi aziendali con la normativa, è la conferma della categoria di rilevanza: il portale ACN propone una classificazione predefinita, ma è l'azienda che deve validarla sulla base del proprio contesto operativo. Si tratta, in sostanza, di un vero e proprio esercizio di comprensione del rischio richiesto dalla normativa.
In questo scenario è avvantaggiato chi già ha valutato i propri processi aziendali come, ad esempio, coloro che sono certificati ISO 9001: la mappatura dei processi è già disponibile e può essere riutilizzata per identificare rapidamente le attività rilevanti ai fini NIS2, riducendo tempi e margini di errore.
Questo lavoro apre la strada a un'analisi più strutturata: la Business Impact Analysis (BIA), che consente di associare a ciascun processo parametri operativi chiave come:
-
RTO (Recovery Time Objective)
-
RPO (Recovery Point Objective)
-
MTO (Maximum Tolerable Outage).
Dove queste informazioni esistono possono essere integrate direttamente nei modelli richiesti, evitando duplicazioni.
Il vantaggio del lavoro fatto bene
Il risultato di un’approccio consapevole alle attività della determinazione 155238 del 20 aprile 2026 non è solo la conformità normativa. È un'organizzazione che sa dove sono i suoi punti deboli, può prevenire blocchi operativi, riduce i tempi di fermo e prende decisioni più informate in caso di incidente.
In un contesto in cui un attacco cyber può fermare una linea produttiva in pochi minuti, sapere cosa è davvero critico non è più un esercizio teorico: diventa un vantaggio competitivo.
Di Massimiliano Testoni - Docetz Services Product Manager, CYBEROO
