(Sicurezza dei dati: la tassonomia degli incidenti)
Con la determina 9 febbraio 2026, l'Agenzia per la cybersicurezza nazionale ha stabilito la tassonomia degli incidenti così come vanno comunicati.
La tipologia di incidente è riportata nell'allegato A pubblicato qui in coda al provvedimento.
Determina 9 febbraio 2026 dell'Agenzia per la cybersicurezza nazionale
Tassonomia degli incidenti di cui all'articolo 1, comma 1, della
legge 28 giugno 2024, n. 90. (26A00713)
(Gazzetta Ufficiale n. 39 del 17 febbraio 2026)
IL DIRETTORE GENERALE
Vista la legge 28 giugno 2024, n. 90, recante «Disposizioni in
materia di rafforzamento della cybersicurezza nazionale e di reati
informatici» e, in particolare, l'art. 1, comma 1, che ha previsto in
capo ai soggetti ivi indicati un obbligo di segnalazione di alcune
tipologie di incidenti, indicati in apposita tassonomia, aventi
impatto su reti, sistemi informativi e servizi informatici;
Vista la legge 23 settembre 2025, n. 132, recante «Disposizioni e
deleghe al Governo in materia di intelligenza artificiale» e, in
particolare, l'art. 28, comma 2, lettera a), che ha modificato l'art.
1, comma 1, della legge n. 90 del 2024, al fine di prevedere che la
tassonomia degli incidenti di cui al citato comma e' «adottata con
determinazione tecnica del direttore generale dell'Agenzia per la
cybersicurezza nazionale»;
Visto il decreto-legge 14 giugno 2021, n. 82, come convertito, con
modificazioni, nella legge 4 agosto 2021, n. 109, recante
«Disposizioni urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale»;
Visto il decreto legislativo 4 settembre 2024, n. 138, recante
«Recepimento della direttiva (UE) 2022/2555, relativa a misure per un
livello comune elevato di cibersicurezza nell'Unione, recante
modifica del regolamento (UE) n. 910/2014 e della direttiva (UE)
2018/1972 e che abroga la direttiva (UE) 2016/1148», cd. decreto NIS,
ed in particolare l'art. 31, commi 1 e 2, che prevede che, ai fini di
cui agli articoli 23, 24, 25, 27, 28 e 29, l'Autorita' nazionale
competente NIS stabilisce obblighi proporzionati tenuto debitamente
conto, tra l'altro, del grado di esposizione dei soggetti ai rischi,
delle dimensioni dei soggetti e della probabilita' che si verifichino
incidenti, nonche' della loro gravita', compreso il loro impatto
sociale ed economico;
Vista la determinazione ACN n. 379907 del 19 dicembre 2025,
unitamente ai relativi allegati tecnici, che stabilisce le modalita'
e le specifiche di base per l'adempimento agli obblighi di cui agli
articoli 23, 24, 25, 29 e 32 del decreto NIS e, in particolare,
l'allegato 3 che individua la tassonomia di incidenti significativi
di base per i soggetti importanti;
Ritenuto di dover dare attuazione a quanto previsto dal citato art.
1, comma 1, della legge 28 giugno 2024, n. 90, individuando la
tassonomia di incidenti che devono essere notificati ai sensi del
medesimo art. 1;
Valutato, altresi', che la tassonomia da individuare ai sensi della
legge 28 giugno 2024, n. 90 e' coerente con le fattispecie di
«incidenti significativi di base» ai sensi dell'allegato 3 alla
determinazione citata;
Ritenuto, pertanto, in un'ottica di semplificazione degli oneri da
parte dei soggetti interessati, di poter considerare assolto, in caso
di prenotifica e notifica effettuata ai sensi dell'art. 25 del
decreto NIS, anche l'obbligo di cui all'art. 1, comma 1, della legge
n. 90 del 2024;
Visto il decreto del Presidente del Consiglio dei ministri del 10
marzo 2023, recante la nomina del prefetto Bruno Frattasi a direttore
generale dell'Agenzia per la cybersicurezza nazionale;
Sentito il vice direttore generale;
Determina:
Art. 1
Tassonomia degli incidenti
1. I soggetti di cui all'art. 1, comma 1, della legge 28 giugno
2024, n. 90, segnalano e notificano gli incidenti indicati nella
tassonomia di cui all'allegato A alla presente determina.
2. La tassonomia di cui al comma 1, in quanto coerente con l'elenco
delle fattispecie di incidenti significativi di base stabiliti nella
determina ACN adottata ai sensi degli articoli 31 e 40, comma 5, del
decreto legislativo 4 settembre 2024, n. 138, rileva anche ai fini
dell'adempimento dell'obbligo di cui all'art. 25 del medesimo decreto
legislativo.
Art. 2
Pubblicazione
1. La presente determina e' pubblicata nella Gazzetta Ufficiale
della Repubblica italiana e si applica a decorrere dalla data della
sua pubblicazione.
Roma, 9 febbraio 2026
Allegato A
Tassonomia degli incidenti di cui all'articolo 1, comma 1,
della legge 28 giugno 2024, n. 90.
(Sicurezza dei dati: la tassonomia degli incidenti)
