La tassonomia degli incidenti informatici – Determina ACN 9 febbraio 2026

Con la Determina del 9 febbraio 2026 l’Agenzia per la Cybersicurezza Nazionale (ACN) definisce la tassonomia degli incidenti oggetto di segnalazione/notifica per i soggetti di cui all’art. 1, comma. 1, della legge n. 90/2024, e dunque: Pubbliche Amministrazioni Centrali; Enti Locali; Aziende Sanitarie Locali (ASL); Società di Trasporto Pubblico; Società in house che forniscono servizi informatici, di trasporto o di gestione rifiuti/acque per gli enti sopra citati.

L’ ACN distingue tre categorie di incidenti:
IS-1 — Perdita di riservatezza verso l’esterno
Perdita di riservatezza di dati digitali di proprietà o comunque sotto controllo (anche parziale)
IS-2 — Perdita di integrità verso l’esterno
Compromissione dell’integrità di dati di proprietà o sotto controllo (anche parziale), con effetti esterni
IS-3 — Violazione dei livelli di servizio attesi
Interruzioni/degradazioni rispetto ai livelli di servizio atteso (SL) definiti dal soggetto

Sono inoltre confermate le strette tempistiche di notifica imposte dalla legge:
– 24 ore per una notifica iniziale dal momento in cui si viene a conoscenza dell’incidente
– 72 ore per fornire dettagli completi, inclusa una valutazione iniziale dell’impatto e gli indicatori di compromissione

La prenotifica e la notifica effettuate ai sensi del decreto NIS assolvono anche l’obbligo della Legge n.90/2024, dunque un unico flusso di notifica ben governato consente di evitare sovrapposizioni e doppie comunicazioni.

Appare dunque necessario:
1.Mappare gli scenari di incidente su IS-1 /IS-2 / IS-3
2.Allineare playbook e soglie ai criteri NIS
3.Formalizzare ruoli, tempi, escalation e tracciamento evidenze (audit-ready)