Tassonomia incidenti ACN: guida alla classificazione secondo Legge 90/2024

Con la Determina del 9 febbraio 2026, pubblicata in Gazzetta Ufficiale, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito la tassonomia degli incidenti che i soggetti identificati nell’art. 1, comma 1, della Legge 28 giugno 2024, n. 90 devono segnalare o notificare. Questa classificazione standardizza le modalità di comunicazione degli eventi di sicurezza e si integra con gli obblighi previsti dalla direttiva NIS2.

Le tre categorie della tassonomia ACN

La tassonomia individua tre tipologie di incidenti che richiedono segnalazione o notifica formale:

• IS-1 – Perdita di riservatezza verso l’esterno: riguarda la compromissione di dati digitali di proprietà del soggetto o sui quali esercita il controllo, anche parziale. Include violazioni di dati personali, informazioni riservate o proprietà intellettuale.
• IS-2 – Perdita di integrità con impatto esterno: copre alterazioni non autorizzate di dati di proprietà del soggetto o sotto il suo controllo, anche parziale, che producono effetti verso terzi o verso l’operatività esterna.
• IS-3 – Violazione dei livelli di servizio attesi: si riferisce a interruzioni o degradi dei servizi e delle attività rispetto ai livelli di servizio (SL) stabiliti dal soggetto stesso, con impatto sulla continuità operativa.

Integrazione con la disciplina NIS2

La Determina ACN richiama esplicitamente la coerenza con la disciplina NIS2, già oggetto di precedente determinazione da parte dell’Agenzia. Un aspetto operativo rilevante è che la prenotifica e notifica effettuata ai sensi del decreto NIS assolve anche l’obbligo previsto dalla Legge 90/2024, evitando duplicazioni procedurali.

Questa integrazione semplifica la gestione degli obblighi di notifica per i soggetti che rientrano in entrambi i perimetri normativi, riducendo il carico amministrativo e favorendo un approccio unificato alla gestione degli incidenti di sicurezza. Per approfondire i requisiti della direttiva europea, consulta la nostra guida sulla conformità NIS2.

Come applicare la tassonomia nella pratica

L’adozione della tassonomia richiede un processo strutturato di classificazione degli eventi di sicurezza. Le organizzazioni devono:

• Definire procedure interne per identificare e classificare gli incidenti secondo le tre categorie IS-1, IS-2 e IS-3
• Stabilire soglie chiare per determinare quando un evento richiede segnalazione o notifica formale
• Integrare la tassonomia nei processi di incident response e nei piani di gestione delle crisi
• Formare il personale tecnico e i responsabili della sicurezza sulle modalità di applicazione della classificazione
• Documentare le decisioni di classificazione per garantire tracciabilità e coerenza nel tempo

Un Virtual CISO può supportare l’organizzazione nell’implementazione di questi processi, garantendo che la classificazione degli incidenti sia allineata sia ai requisiti normativi sia alle specificità operative dell’azienda. Per gli operatori economici autorizzati, l’integrazione con i requisiti di governance e sicurezza AEO rappresenta un ulteriore livello di complessità che richiede competenze specialistiche.

Impatto sulla gestione del rischio

La tassonomia ACN non si limita a definire categorie di incidenti, ma influenza direttamente le attività di valutazione del rischio. Le organizzazioni devono considerare:

• La probabilità che si verifichino eventi classificabili nelle tre categorie
• L’impatto potenziale di ciascuna tipologia di incidente sulle operazioni e sulla reputazione
• Le misure di prevenzione e mitigazione specifiche per ciascuna categoria
• I tempi di rilevamento e risposta necessari per contenere gli effetti degli incidenti

Integrare la tassonomia nei processi di risk assessment permette di allineare le priorità di sicurezza con gli obblighi normativi, ottimizzando gli investimenti in prevenzione e risposta agli incidenti. Un efficace sistema di monitoraggio SOC e incident response consente di rilevare tempestivamente gli eventi classificabili secondo la tassonomia ACN e di attivare le procedure di notifica nei tempi previsti.

Entrata in vigore e adempimenti

La tassonomia è entrata in vigore dalla data di pubblicazione in Gazzetta Ufficiale. I soggetti interessati devono adeguare immediatamente le proprie procedure di gestione degli incidenti per garantire la conformità agli obblighi di segnalazione e notifica previsti dalla Legge 90/2024.

• Quali soggetti devono applicare la tassonomia ACN?
• La tassonomia si applica ai soggetti identificati nell’art. 1, comma 1, della Legge 28 giugno 2024, n. 90. Questi includono operatori di servizi essenziali, fornitori di servizi digitali e altre entità critiche individuate dalla normativa. È necessario verificare la propria inclusione nel perimetro normativo attraverso un’analisi specifica della propria attività e settore di appartenenza.
• La notifica secondo NIS2 copre anche gli obblighi della Legge 90/2024?
• Sì, la Determina ACN chiarisce esplicitamente che la prenotifica e notifica effettuata ai sensi del decreto NIS assolve anche l’obbligo previsto dalla Legge 90/2024. Questo evita duplicazioni procedurali per i soggetti che rientrano in entrambi i perimetri normativi, semplificando la gestione degli adempimenti.
• Come si determina se un incidente rientra nella categoria IS-1, IS-2 o IS-3?
• La classificazione dipende dalla natura dell’impatto: IS-1 riguarda la compromissione della riservatezza dei dati verso l’esterno, IS-2 copre alterazioni dell’integrità con effetti esterni, IS-3 si riferisce a violazioni dei livelli di servizio attesi. È necessario valutare l’evento rispetto a questi criteri e documentare la decisione di classificazione per garantire coerenza e tracciabilità.
• Quali sono le tempistiche per la segnalazione degli incidenti?
• Le tempistiche di segnalazione seguono quanto previsto dalla Legge 90/2024 e, per i soggetti NIS2, dalla relativa disciplina. In generale, è richiesta una prenotifica tempestiva seguita da una notifica completa entro termini definiti. È fondamentale definire procedure interne che garantiscano il rispetto di questi termini, considerando i tempi necessari per la classificazione e la raccolta delle informazioni rilevanti.
• Come integrare la tassonomia nei processi di incident response esistenti?
• L’integrazione richiede l’aggiornamento delle procedure di gestione degli incidenti per includere la fase di classificazione secondo le tre categorie ACN. È necessario formare il team di risposta agli incidenti, definire criteri decisionali chiari e integrare la tassonomia negli strumenti di ticketing e documentazione. Un approccio strutturato prevede anche test periodici per verificare l’efficacia della classificazione in scenari realistici.