L'Italia ha ora formalizzato la tassonomia degli incidenti che attiva gli obblighi di segnalazione e notifica previsti dall'articolo 1 della Legge 90/2024. ACN l'ha adottata con la Determina del 9 febbraio 2026, pubblicata in Gazzetta Ufficiale il 17 febbraio 2026 (n. 39, codice 26A00713), con applicazione dalla data di pubblicazione.

Fonti: pagina ACN, GU - Determina 9 febbraio 2026, Art. 2 - applicazione

Punti chiave

• La tassonomia è ora formalmente ancorata agli obblighi dell'articolo 1, comma 1, Legge 90/2024.
• I soggetti obbligati devono segnalare e notificare gli incidenti inclusi nell'Allegato A della determina ACN.
• L'articolo 1, comma 2, della Legge 90/2024 conferma il modello temporale: segnalazione entro 24 ore e notifica completa entro 72 ore dalla conoscenza dell'incidente.
• ACN esplicita la coerenza con le categorie NIS e prevede semplificazione quando prenotifica/notifica sono già effettuate ai sensi dell'articolo 25 del d.lgs. 138/2024.

Fonti: Legge 90/2024 - Art. 1, Determina - Art. 1, D.lgs. 138/2024

Cosa cambia operativamente

La nuova determina non crea un framework separato e scollegato dagli obblighi NIS. ACN collega invece gli obblighi della Legge 90/2024 a una tassonomia coerente con gli "incidenti significativi di base" già utilizzati nel perimetro NIS.

Per i team compliance, questo implica progettare un processo unico di gestione notifica, evitando flussi paralleli disallineati tra regimi normativi.

Fonte: Determina - Art. 1, commi 1-2 e premesse

Tassonomia in sintesi (Allegato A)

L'Allegato A pubblicato include codici di incidente come:

• IS-1: evidenza di perdita di riservatezza verso l'esterno di dati digitali.
• IS-2: evidenza di perdita di integrità con impatto verso l'esterno sui dati.
• IS-3: evidenza di violazione dei livelli di servizio attesi su servizi/attività.

Fonte: Allegato A

Chi rientra nel perimetro Legge 90/2024

L'articolo 1 della Legge 90/2024 elenca un perimetro ampio di soggetti pubblici e assimilati, incluse amministrazioni centrali, regioni/province autonome, città metropolitane, comuni di grandi dimensioni/capoluoghi, specifici operatori di trasporto, ASL e società in house pertinenti.

I dettagli sono definiti nel testo normativo ufficiale e vanno mappati sul perimetro dell'ente con funzioni legali e governance.

Fonte: Legge 90/2024 - Art. 1

Modello temporale di notifica da implementare

Ai sensi dell'articolo 1, comma 2, Legge 90/2024:

1. Segnalazione senza ritardo e comunque entro 24 ore dalla conoscenza.
2. Notifica completa entro 72 ore dal medesimo momento.
3. Segnalazione e notifica tramite procedure disponibili sul sito istituzionale ACN.

Fonte: Legge 90/2024 - Art. 1, comma 2

Checklist operativa per cyber, GRC e legale

1. Aggiornare la matrice di classificazione incidenti con i codici Allegato A (IS-1, IS-2, IS-3 e restante tassonomia).
2. Allineare triage ed escalation alle scadenze legali 24h/72h.
3. Armonizzare i flussi Legge 90/2024 e NIS per evitare duplicazioni o incoerenze.
4. Rafforzare ruoli, responsabilità e raccolta evidenze a fini di audit/regolatorio.
5. Testare il processo end-to-end con esercitazioni tabletop.

FAQ

Da quando si applica questa tassonomia?

Dalla data di pubblicazione in Gazzetta Ufficiale della determina, cioè 17 febbraio 2026. Fonte: Art. 2 - Pubblicazione

Questa determina sostituisce gli obblighi di notifica NIS?

La determina dichiara coerenza con la classificazione NIS e prevede una logica di semplificazione quando prenotifica/notifica avvengono ai sensi dell'articolo 25 NIS. I team devono comunque verificare il pieno adempimento di tutti gli obblighi applicabili. Fonte: Determina - Art. 1

Quali incidenti fanno scattare l'obbligo?

Quelli ricompresi nell'Allegato A della determina ACN. Fonte: Allegato A

Fonti ufficiali

• ACN - Legge 90/2024: tassonomia incidenti
• GU - Determina 9 febbraio 2026 (26A00713)
• GU - Determina Art. 1
• GU - Determina Art. 2
• GU - Determina Allegato A
• GU - Legge 90/2024 Art. 1
• GU - Decreto legislativo 138/2024 (NIS)