È stata pubblicata la determina dell’Agenzia per la Cybersicurezza Nazionale (ACN) del 9 febbraio 2026, che introduce una nuova tassonomia per dare attuazione all’obbligo di notifica degli incidenti cyber previsto dalla Legge 90/2024.

Quando un’autorità definisce una tassonomia, riduce l’ambiguità su cosa sia “rilevante”, aumenta la comparabilità delle segnalazioni e spinge organizzazioni e fornitori ad allineare procedure, log e reportistica. In pratica: non è solo un adempimento, ma un modello operativo che incide su incident response, audit e contratti IT.

Cosa aggiornare subito (impatto pratico): 1) Piano di Incident Response: ruoli, tempi, evidenze minime da raccogliere (log, timeline, sistemi impattati). 2) Catena decisionale: chi classifica l’incidente, chi approva la notifica, chi coordina comunicazioni interne/esterne. 3) Contratti con fornitori: SLA su rilevazione e comunicazione incidenti, obbligo di cooperazione e tracciamento eventi, accesso alle evidenze.