| Gazzetta n. 39 del 17 febbraio 2026 (vai al sommario) |
| AGENZIA PER LA CYBERSICUREZZA NAZIONALE |
| DETERMINA 9 febbraio 2026 |
| Tassonomia degli incidenti di cui all'articolo 1, comma 1, della legge 28 giugno 2024, n. 90. |
|
|
IL DIRETTORE GENERALE
Vista la legge 28 giugno 2024, n. 90, recante «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» e, in particolare, l'art. 1, comma 1, che ha previsto in capo ai soggetti ivi indicati un obbligo di segnalazione di alcune tipologie di incidenti, indicati in apposita tassonomia, aventi impatto su reti, sistemi informativi e servizi informatici;
Vista la legge 23 settembre 2025, n. 132, recante «Disposizioni e deleghe al Governo in materia di intelligenza artificiale» e, in particolare, l'art. 28, comma 2, lettera a), che ha modificato l'art. 1, comma 1, della legge n. 90 del 2024, al fine di prevedere che la tassonomia degli incidenti di cui al citato comma e' «adottata con determinazione tecnica del direttore generale dell'Agenzia per la cybersicurezza nazionale»;
Visto il decreto-legge 14 giugno 2021, n. 82, come convertito, con modificazioni, nella legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;
Visto il decreto legislativo 4 settembre 2024, n. 138, recante «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148», cd. decreto NIS, ed in particolare l'art. 31, commi 1 e 2, che prevede che, ai fini di cui agli articoli 23, 24, 25, 27, 28 e 29, l'Autorita' nazionale competente NIS stabilisce obblighi proporzionati tenuto debitamente conto, tra l'altro, del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilita' che si verifichino incidenti, nonche' della loro gravita', compreso il loro impatto sociale ed economico;
Vista la determinazione ACN n. 379907 del 19 dicembre 2025, unitamente ai relativi allegati tecnici, che stabilisce le modalita' e le specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS e, in particolare, l'allegato 3 che individua la tassonomia di incidenti significativi di base per i soggetti importanti;
Ritenuto di dover dare attuazione a quanto previsto dal citato art. 1, comma 1, della legge 28 giugno 2024, n. 90, individuando la tassonomia di incidenti che devono essere notificati ai sensi del medesimo art. 1;
Valutato, altresi', che la tassonomia da individuare ai sensi della legge 28 giugno 2024, n. 90 e' coerente con le fattispecie di «incidenti significativi di base» ai sensi dell'allegato 3 alla determinazione citata;
Ritenuto, pertanto, in un'ottica di semplificazione degli oneri da parte dei soggetti interessati, di poter considerare assolto, in caso di prenotifica e notifica effettuata ai sensi dell'art. 25 del decreto NIS, anche l'obbligo di cui all'art. 1, comma 1, della legge n. 90 del 2024;
Visto il decreto del Presidente del Consiglio dei ministri del 10 marzo 2023, recante la nomina del prefetto Bruno Frattasi a direttore generale dell'Agenzia per la cybersicurezza nazionale;
Sentito il vice direttore generale;
Determina:
Art. 1
Tassonomia degli incidenti
1. I soggetti di cui all'art. 1, comma 1, della legge 28 giugno 2024, n. 90, segnalano e notificano gli incidenti indicati nella tassonomia di cui all'allegato A alla presente determina.
2. La tassonomia di cui al comma 1, in quanto coerente con l'elenco delle fattispecie di incidenti significativi di base stabiliti nella determina ACN adottata ai sensi degli articoli 31 e 40, comma 5, del decreto legislativo 4 settembre 2024, n. 138, rileva anche ai fini dell'adempimento dell'obbligo di cui all'art. 25 del medesimo decreto legislativo.
|
| | Allegato A
Tassonomia degli incidenti di cui all'articolo 1, comma 1,
della legge 28 giugno 2024, n. 90.
===========================================
| Codice | Descrizione |
+=============+===========================+
| |Il soggetto ha evidenza |
| |della perdita di |
| |riservatezza, verso |
| |l'esterno, di dati digitali|
| |di sua proprieta' o sui |
| |quali esercita il |
| IS-1 |controllo, anche parziale. |
+-------------+---------------------------+
| |Il soggetto ha evidenza |
| |della perdita di |
| |integrita', con impatto |
| |verso l'esterno, di dati di|
| |sua proprieta' o sui quali |
| |esercita il controllo, |
| IS-2 |anche parziale. |
+-------------+---------------------------+
| |Il soggetto ha evidenza |
| |della violazione dei |
| |livelli di servizio attesi |
| |dei suoi servizi e/o delle |
| |sue attivita', sulla base |
| |dei livelli di servizio |
| |atteso (SL) stabiliti dal |
| IS-3 |soggetto. |
+-------------+---------------------------+
|
| | Art. 2
Pubblicazione
1. La presente determina e' pubblicata nella Gazzetta Ufficiale della Repubblica italiana e si applica a decorrere dalla data della sua pubblicazione.
Roma, 9 febbraio 2026
Il direttore generale: Frattasi
|
| |
|
|