Una nuova tassonomia degli incidenti o una conferma di quella già esistente? Con la pubblicazione nella Gazzetta Ufficiale del 17 febbraio 2026 della determinazione adottata il 9 febbraio 2026 dall’Agenzia per la Cybersicurezza Nazionale, è stata formalmente introdotta la nuova tassonomia degli incidenti ai sensi dell’art. 1 della Legge 28 giugno 2024, n. 90.
Si tratta di un passaggio di particolare rilievo nel processo di attuazione del quadro nazionale di cybersicurezza, poiché l’atto dell’Autorità definisce in via tecnica e vincolante le categorie di eventi informatici che devono essere oggetto di segnalazione e notifica da parte dei soggetti obbligati. La nuova tassonomia degli incidenti assume una funzione di rilievo, incidendo direttamente sulle procedure interne di gestione del rischio cyber.
L’intervento dell’Agenzia si colloca in un contesto normativo già strutturato dal Decreto legislativo 4 settembre 2024, n. 138, attuativo della direttiva NIS 2, e si inserisce in un disegno di progressiva armonizzazione tra la disciplina della legge n. 90 del 2024 e quella del decreto NIS. La tassonomia degli incidenti funge da “raccordo” tra fonti primarie e fonti secondarie, con particolare riguardo a quei soggetti destinatari della Legge 90 e del Decreto NIS 2.
Obiettivo del presente contributo è offrire una sintesi ragionata delle determinazioni adottate dall’Agenzia in materia di tassonomia degli incidenti, illustrando il coordinamento tra la legge n. 90 del 2024 e D. Lgs. 138/2024.
La tassonomia degli incidenti nella Legge 90/2024
La disciplina della tassonomia degli incidenti trova il proprio fondamento nell’art. 1, comma 1, della Legge 28 giugno 2024, n. 90, che ha introdotto in capo ai soggetti ivi individuati un obbligo specifico di segnalazione e notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici (si veda qui un articolo di approfondimento sul tema).
La norma primaria subordina l’adempimento alla preventiva individuazione degli incidenti da notificare mediante determinazione tecnica del Direttore generale dell’Agenzia per la Cybersicurezza Nazionale (Le pubbliche amministrazioni […] «notificano, con le modalità e nei termini di cui al comma 2 del presente articolo, gli incidenti indicati nella tassonomia, adottata con determinazione tecnica del direttore generale dell’Agenzia per la cybersicurezza nazionale, aventi impatto su reti, sistemi informativi e servizi informatici»).
La tassonomia degli incidenti svolge, pertanto, una funzione regolatoria, poiché delimita l’ambito oggettivo dell’obbligo di segnalazione e consente di distinguere gli eventi meramente interni o fisiologici dalle fattispecie che assumono rilievo ai fini della sicurezza nazionale cibernetica.
Attraverso la previsione di una tassonomia degli incidenti formalmente adottata dall’Autorità, si delinea un parametro oggettivo di riferimento, idoneo a garantire coerenza interpretativa e proporzionalità nell’attivazione dei meccanismi di segnalazione.
La tassonomia degli incidenti nel Decreto NIS 2
La disciplina della tassonomia degli incidenti non può essere compresa appieno senza considerare il quadro delineato dal Decreto legislativo 4 settembre 2024, n. 138.
In particolare, l’art. 31 attribuisce all’Autorità nazionale competente il compito di stabilire obblighi proporzionati in materia di gestione e notifica degli incidenti, tenendo conto del grado di esposizione ai rischi, delle dimensioni del soggetto e della gravità dell’impatto sociale ed economico dell’evento. In tale prospettiva, la tassonomia degli incidenti è lo strumento tecnico attraverso il quale il principio di proporzionalità viene tradotto in categorie operative.
L’Agenzia per la Cybersicurezza Nazionale ha dato attuazione a tali disposizioni, da ultimo, mediante la determinazione n. 379907 del 19 dicembre 2025, che definisce le modalità e le specifiche di base per l’adempimento degli obblighi previsti dal decreto NIS, con particolare riguardo alla gestione degli incidenti significativi.
In tale atto, la tassonomia degli incidenti si differenzia in relazione alla qualificazione dei soggetti come “importanti” o “essenziali”, prevedendo un nucleo comune di fattispecie e, per questi ultimi, un ampliamento delle categorie notificabili. Da ultimo l’Agenzia ha inoltre chiarito come l’obbligo di notifica si inserisce nel contesto del più ampio onere di predisporre una procedura di gestione degli incidenti informatici (sul punto rinviamo al nostro precedente approfondimento).
La tassonomia degli incidenti e le tipologie di evento da notificare
La determinazione ACN del 9 febbraio 2026 introduce una formale della tassonomia degli incidenti contenuta nell’Allegato A. Tale allegato individua le categorie di eventi informatici che, ove riscontrati, impongono ai soggetti della L. 90/2024 l’attivazione degli obblighi di segnalazione e notifica all’Autorità competente. La tassonomia degli incidenti si articola in tre fattispecie principali, accomunate dalla presenza di eventi che producano un impatto verso l’esterno o che incidano in modo significativo sull’erogazione dei servizi.
La prima categoria (IS-1) concerne la perdita di riservatezza, configurata quale esposizione verso l’esterno di dati digitali di proprietà del soggetto o sui quali esso esercita un controllo, anche solo parziale. La seconda fattispecie (IS-2) riguarda la perdita di integrità, ossia l’alterazione non autorizzata di dati digitali con effetti esterni, tale da compromettere l’affidabilità delle informazioni trattate.
Infine, la terza categoria (IS-3) attiene alla violazione dei livelli di servizio attesi, individuati dal soggetto stesso sulla base dei parametri organizzativi e tecnici interni, e si riferisce a situazioni in cui l’incidente determini un disservizio significativo rispetto agli standard dichiarati.
Attraverso tale articolazione, la tassonomia degli incidenti recepisce le tre dimensioni fondamentali della sicurezza informatica – riservatezza, integrità e disponibilità – traducendole in categorie giuridicamente rilevanti ai fini dell’obbligo di notifica.
Similitudini e differenze con la tassonomia degli incidenti per soggetti importanti ed essenziali
La tassonomia degli incidenti delineata dalla determinazione del 9 febbraio 2026 si colloca all’interno di un quadro regolatorio più ampio, nel quale assume rilievo la distinzione operata dal Decreto legislativo 4 settembre 2024, n. 138 tra soggetti “importanti” e soggetti “essenziali”.
Per i soggetti importanti, la classificazione degli incidenti significativi di base si articola nelle tre categorie IS-1, IS-2 e IS-3, che trovano sostanziale corrispondenza nella tassonomia degli incidenti adottata ai sensi della legge n. 90 del 2024.
Per i soggetti essenziali, invece, l’obbligo di notifica riguarda anche l’ulteriore categoria (IS-4) dell’accesso non autorizzato o all’abuso dei privilegi concessi. Tale estensione riflette la maggiore esposizione di tali soggetti a minacce ad elevato impatto sistemico e la necessità di intercettare anche eventi che, pur non avendo ancora prodotto una perdita di riservatezza o integrità, rivelino una compromissione significativa dei presidi di sicurezza.
La scelta di limitare la tassonomia degli incidenti ex lege 90 alle tre categorie comuni ai soggetti importanti evidenzia la volontà dell’Autorità di allineare e semplificare gli adempimenti dei due testi normativi. Resta tuttavia fermo che tale scelta, per quanto condivisibile, non trova applicazione nei confronti delle pubbliche amministrazioni centrali dello Stato, le quali, qualificandosi ex lege quali soggetti essenziali ai sensi dell’art. 6, comma 1, lett. e), del Decreto legislativo 4 settembre 2024, n. 138, sono assoggettate alla tassonomia quadripartita prevista per tali soggetti e, conseguentemente, tenute a notificare anche la quarta categoria di incidente relativa all’accesso non autorizzato o all’abuso dei privilegi concessi.
Il coordinamento tra Legge 90 e Decreto NIS 2
La determinazione del 9 febbraio 2026 è stata adottato al precipuo scopo di garantire un’uniformità sostanziale tra gli adempimenti prescritti dall’art. 1 della Legge 90/2024 e quelli imposti dall’art. 25 del Decreto NIS 2.
Un simile coordinamento consente di ritenere assolto l’obbligo previsto dalla legge n. 90 del 2024 qualora la prenotifica e la notifica siano effettuate ai sensi dell’art. 25 del decreto NIS. La tassonomia degli incidenti diviene, pertanto, il perno di un meccanismo di integrazione tra fonti primarie e secondarie, evitando che i soggetti obbligati siano chiamati a duplicare comunicazioni aventi identico contenuto sostanziale.
La tassonomia degli incidenti assume dunque una funzione di raccordo tra la disciplina speciale della legge n. 90 e il più articolato impianto del decreto NIS 2, contribuendo a costruire un sistema delle notifiche unitario.
Tassonomia degli incidenti e procedure di gestione
La tassonomia degli incidenti, così come delineata nelle determinazioni dell’Autorità, incide in modo significativo sugli assetti organizzativi dei soggetti obbligati. La corretta individuazione di un evento riconducibile alle categorie IS-1, IS-2 o IS-3 presuppone, infatti, l’esistenza di procedure interne strutturate, di sistemi di monitoraggio adeguati e di una chiara attribuzione di responsabilità nella gestione dell’incidente.
Particolare rilievo assume, a questo riguardo, la definizione preventiva dei livelli di servizio attesi, che costituisce il parametro di riferimento per l’individuazione della terza categoria di incidente. La misurazione del disservizio non può essere rimessa a valutazioni estemporanee, ma deve fondarsi su criteri oggettivi previamente stabiliti e formalizzati nell’ambito della governance interna. Ne deriva che la tassonomia degli incidenti opera quale catalizzatore di un più ampio processo di maturazione organizzativa, imponendo ai soggetti obbligati di dotarsi di policy, procedure e sistemi di escalation coerenti con gli obblighi notificatori.
Sotto il profilo della responsabilità, la classificazione e la tempestiva notifica degli incidenti assumono rilevanza anche in relazione ai doveri degli organi amministrativi e direttivi, chiamati a garantire il rispetto delle scadenze, l’adeguatezza dell’assetto organizzativo e dei presidi di sicurezza.
Supporto legale qualificato in materia di sicurezza informatica
Il nostro Studio, grazie all’expertise maturata dall’Avv. Luca D’Agostino, è riconosciuto per fornire assistenza legale in materia di cybersicurezza e compliance NIS 2, supportando imprese e pubbliche amministrazioni nell’analisi degli obblighi derivanti dalla disciplina vigente, nella predisposizione di procedure interne di gestione degli incidenti e nell’adeguamento degli assetti organizzativi ai requisiti previsti dalle determinazioni dell’Autorità.
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.