ACN ha pubblicato la determinazione che richiede ai soggetti NIS di elencare le proprie attività e servizi: https://www.acn.gov.it/portale/w/nis-pubblicate-le-modalita-per-l-elencazione-e-la-categorizzazione-delle-attivita-e-dei-servizi.

La Determinazione è accompagnata da Linee guida e da due allegati e si trovano nella pagina che ho citato sopra, oltre alla pagina generale sulla normativa NIS (https://www.acn.gov.it/portale/nis/la-normativa) e alla pagina dedicata alla categorizzazione (https://www.acn.gov.it/portale/nis/categorizzazione).

In sostanza, ACN ha identificato 10 marco-aree organizzative comuni a tutte le organizzazioni e un loro livello di impatto ("Categoria di rilevanza"). Le organizzazioni, se ho capito bene, nella pagina di registrazione per i soggetti NIS, dovranno quindi riportare quali di queste aree ne fanno parte e il loro livello di impatto.

Se poi una o più di queste aree va suddivisa in più sottoaree (per esempio, conosco un'azienda che produce tappi e tapparelle, quindi con due linee di "Produzione di beni e servizi"), questo va riportato in un documento interno (che chiamano Business Impact Analysis o BIA), con il livello di rischio di ciascuna.

Non forniscono linee guida per assegnare i livelli di impatto (minimo, basso, medio, alto) e questo mi sembra curioso.

Continuo a rimanere perplesso di fronte a queste continue richieste da ACN per molti motivi: la moltiplicazione delle scadenze, la mancanza di un canale di allerta che non sia il sito web, la raccolta di informazioni che neanche il SISDE e il SISMI, la prospettata pubblicazione di misure minime alla faccia dell'accountability. Tutte cose che già ho detto in precedenza e quindi ci evito la ripetizione dei dettagli.

NB: non sono sicuro di aver capito benissimo il tutto. Se qualcuno avrà modo di migliorare o correggere la mia descrizione, ben venga.