Pubblicata in Gazzetta Ufficiale, Serie Generale, n. 39 del 17 febbraio 2026, la determina del 09 febbraio 2026 dell’Agenzia per la cybersicurezza Nazionale (ACN) sulla tassonomia degli incidenti informatici di cui all’art. 1, c. 1, L. 90/2024 (legge sulla cybericurezza).
Sul punto si ricorda che tale articolo ha previsto in capo ai soggetti indicati nella legge un obbligo di segnalazione di alcune tipologie di incidenti, indicati in apposita tassonomia, aventi impatto su reti, sistemi informativi e servizi informatici.
Sempre in base a tale articolo, la tassonomia degli incidenti deve essere adottata con determinazione tecnica del direttore generale dell’ACN.
Il decreto NIS (D. Lgs. 128/2024), inoltre, ed in particolare l’art. 31, c. 1 e 2, prevede che, ai fini di cui agli artt. 23, 24, 25, 27, 28 e 29, l’Autorità nazionale competente NIS deve stabilire obblighi proporzionati, tenuto debitamente conto, tra l’altro, del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.
L’ACN, in attuazione di tale articolo, con determina 379907/2025, aveva quindi stabilito le modalità e le specifiche di base per l’adempimento agli obblighi citati del decreto NIS; in particolare, l’allegato 3 individua la tassonomia di incidenti significativi di base per i soggetti importanti.
Pertanto, in attuazione dell’art. 1, c. 1, della L. 90/2024 la tassonomia degli incidenti che devono essere notificati viene individuata in modo coerente con quella di cui alla determina sopra citata adottata in attuazione del decreto NIS (per gli “incidenti significativi di base”): in un’ottica di semplificazione degli oneri da parte dei soggetti interessati, quindi, ACN considera assolto, in caso di prenotifica e notifica effettuata ai sensi dell’art. 25 del decreto NIS, anche l’obbligo di cui all’art. 1, c. 1, L. 90 del 2024.
