ACN adotta la tassonomia degli incidenti per i soggetti della Legge 90/2024 attraverso la Determina del 9 febbraio 2026, pubblicata in Gazzetta Ufficiale. L’Agenzia per la Cybersicurezza Nazionale definisce la tassonomia degli incidenti che devono essere segnalati o notificati dai soggetti identificati nell’art. 1, comma 1, della Legge 28 giugno 2024, n. 90.
Tassonomia degli incidenti definita da ACN
La tassonomia individua tre categorie di incidenti che devono essere oggetto di segnalazione o notifica:
- IS-1 – Perdita di riservatezza verso l’esterno di dati digitali di proprietà del soggetto o sui quali esercita il controllo, anche parziale.
- IS-2 – Perdita di integrità con impatto esterno di dati di proprietà del soggetto o sui quali esercita il controllo, anche parziale.
- IS-3 – Violazione dei livelli di servizio attesi dei propri servizi e/o attività, in base ai livelli di servizio atteso (SL) stabiliti dal soggetto.
Coerenza con la disciplina NIS2
Viene richiamata la coerenza con la disciplina NIS2, già oggetto di precedente determinazione da parte di ACN. La Determina chiarisce che la prenotifica e notifica effettuata ai sensi del decreto NIS assolve anche l’obbligo previsto dalla Legge 90/2024.
Gestione integrata degli obblighi di notifica
La norma incide sulla gestione integrata degli obblighi di notifica, evitando duplicazioni e sovrapposizioni procedurali.
La tassonomia entra in vigore dalla data di pubblicazione in Gazzetta Ufficiale.