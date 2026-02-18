In vigore la nuova tassonomia di ACN per attuare l’obbligo di notifica in caso di incidenti cyber, secondo la Legge 90/2024.
Con la determina del 9 febbraio 2026, pubblicata in Gazzetta Ufficiale il 17 febbraio, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato la tassonomia degli incidenti cyber che i soggetti obbligati devono segnalare ai sensi della Legge 90/2024.
L’obiettivo è quello di rendere sempre più strutturati tutti gli obblighi in materia di condivisione delle informazioni relative agli incidenti informatici.
Si fa riferimento, inoltre, alla determinazione ACN n. 379907 del 19 dicembre 2025, unitamente ai relativi allegati tecnici, che stabilisce “le modalità’ e le specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS“. In particolare, l’allegato 3 che individua “la tassonomia di incidenti significativi di base per i soggetti importanti”.
Cosa prevede la tassonomia?
La misura dà attuazione all’obbligo di notifica degli incidenti cyber che hanno un impatto su reti, sistemi informativi e servizi informatici. Definisce in questo senso “una classificazione uniforme degli eventi rilevanti“.
Ai sensi dell’articolo 1, comma 1, “i soggetti di cui all’art. 1, comma 1, della legge 28 giugno 2024, n. 90, segnalano e notificano gli incidenti indicati nella tassonomia di cui all’Allegato A alla presente determina“.
Il comma 2 dell’articolo 1 statuisce invece che: “La tassonomia di cui al comma 1, in quanto coerente con l’elenco delle fattispecie di incidenti significativi di base stabiliti nella determina ACN adottata ai sensi degli articoli 31 e 40, comma 5, del decreto legislativo 4 settembre 2024, n. 138, rileva anche ai fini dell’adempimento dell’obbligo di cui all’art. 25 del medesimo decreto legislativo“.
La tassonomia, ai sensi dell’articolo 2, è entrata in vigore dal giorno della sua pubblicazione in Gazzetta Ufficiale, nel caso specifico dal 17 febbraio 2026.
Le principali categoria
L’Allegato A riporta i codici e la descrizione degli incidenti, con riferimento ai danni e alle conseguenze che il soggetto colpito può riscontrare. Si tratta di:
- IS-1 – Perdita di riservatezza. Esposizione verso l’esterno di dati digitali.
- IS-2 – Perdita di integrità. Alterazione dei dati con impatto esterno.
- IS-3 – Violazione dei livelli di servizio. Disservizi rispetto agli SLA definiti.
Per approfondire
- Leggi la determina 9 febbraio 2026.
- La determinazione 379907/2025.
- Consulta la Legge 90/2024.