NIS 2, aziende chiamate alla classificazione entro il 30 giugno

Entro il 30 giugno le aziende interessate dalla disciplina NIS 2 dovranno trasmettere all’Agenzia per la Cybersicurezza Nazionale l’elenco delle attività e dei servizi svolti, associando a ciascuno la relativa classificazione. Il passaggio richiesto dall’ACN serve a ordinare processi, funzioni e servizi aziendali supportati da sistemi informatici, così da valutare il livello di rischio e definire misure di sicurezza proporzionate alla criticità delle singole attività.

Il modello ACN per classificare attività e servizi

Il nuovo adempimento chiede alle imprese di mappare tutte le attività aziendali erogate, gestite o supportate da strumenti digitali. Una volta completata questa ricognizione interna, ogni attività dovrà essere collegata a una delle dieci macro-categorie individuate dall’autorità competente, che coprono i principali ambiti organizzativi di un’impresa.

Il terzo passaggio riguarda la verifica della rilevanza preassegnata dall’ACN a ciascuna categoria. Le aziende dovranno valutare se quel livello sia coerente con l’impatto che una possibile compromissione avrebbe sulla continuità dei servizi essenziali o importanti. La classificazione non si limita quindi a un esercizio formale, ma diventa uno strumento operativo per capire dove concentrare controlli, procedure, investimenti e responsabilità interne.

Intelligenza artificiale e rischio di fuga dei dati

Il tema della sicurezza digitale si intreccia con l’uso crescente dell’intelligenza artificiale generativa nei processi aziendali. Secondo il Report 2025 di LayerX, il 77% dei dipendenti incolla dati sensibili aziendali su ChatGPT o su altre chatbot di intelligenza artificiale. Lo stesso rapporto indica che ogni dipendente inserisce testi nelle chat AI in media 14 volte al giorno, con almeno tre inserimenti contenenti informazioni sensibili.

Il dato segnala una pratica ormai diffusa: l’AI viene utilizzata per accelerare attività quotidiane, scrivere testi, riassumere documenti o analizzare contenuti, spesso prima che l’impresa abbia definito regole interne chiare. Un ulteriore rapporto della società di recruiting La Fosse indica che il 73% dei manager dichiara di aver caricato informazioni sensibili in strumenti di intelligenza artificiale.

La responsabilità, però, resta in capo all’impresa. Se un dato di un cliente viene inserito in un sistema AI senza adeguate garanzie, a risponderne è l’azienda che lo tratta. L’AI Act dell’Unione Europea introduce obblighi di trasparenza, supervisione e controllo per i sistemi utilizzati nei processi aziendali, con sanzioni che nei casi più gravi possono arrivare fino a 35 milioni di euro.

Linee guida per l’AI nel lavoro e tutela dei dipendenti

Con il decreto ministeriale n. 180 del 17 dicembre 2025, il Ministero del Lavoro e delle Politiche Sociali ha adottato le linee guida per l’implementazione dell’intelligenza artificiale nel mondo del lavoro. Il documento offre alle imprese, con particolare attenzione alle PMI, una roadmap che accompagna l’adozione dell’AI dalla valutazione della maturità digitale alla sperimentazione, fino all’utilizzo su larga scala e al monitoraggio continuo.

Le direttrici individuate riguardano formazione e sviluppo delle competenze, tutela dei lavoratori e riduzione del divario digitale. Il principio di fondo è che l’intelligenza artificiale non possa diventare una scatola nera capace di incidere in modo opaco su assunzioni, valutazioni, promozioni o licenziamenti. Le decisioni automatizzate devono essere comprensibili, verificabili e contestabili, con supervisione umana effettiva.

Cybersecurity e fiducia dei clienti

La cybersecurity non riguarda più soltanto reparti IT e specialisti tecnici. Per le aziende digitali è diventata una leva diretta di fiducia, reputazione e continuità del business. Il Digital Trust Index 2026 di Thales evidenzia che solo il 23% dei consumatori si fida delle aziende che utilizzano l’AI per gestire i propri dati, mentre solo il 16% afferma di comprendere chiaramente come le imprese raccolgano e utilizzino le informazioni personali.

Ogni ransomware, violazione di dati o frode online produce quindi effetti che vanno oltre il danno informatico. Incide sulla disponibilità degli utenti a usare servizi digitali, condividere informazioni personali e accettare strumenti basati sull’intelligenza artificiale. Per questo la gestione del dato lungo tutto il suo ciclo di vita, dalla raccolta alla cancellazione, diventa una responsabilità di governance e non una semplice procedura tecnica.

La scadenza NIS 2 del 30 giugno si inserisce in questo quadro più ampio: classificare attività e servizi, valutare i rischi, regolare l’uso dell’AI e rafforzare la protezione dei dati sono tasselli dello stesso percorso. Le imprese che sapranno affrontarlo con metodo potranno ridurre vulnerabilità, migliorare la conformità normativa e consolidare la fiducia di clienti, lavoratori e partner.