Cybersecurity, NIS2: definita la tassonomia degli incidenti con obbligo di notifica

Il provvedimento dell'Agenzia per la Cybersicurezza nazionale, pubblicato nella Gazzetta Ufficiale n. 39 del 17 febbraio 2026, organizza e distingue le tipologie di incidenti che i soggetti interessati, secondo l'articolo 1, comma 1, della legge n. 90 del 2024, devono comunicare entro 24 ore per la segnalazione e 72 ore per la notifica, a partire dal momento in cui ne vengono a conoscenza.

In un’ottica di armonizzazione normativa, la tassonomia è coerente con l’elenco degli incidenti significativi di base già stabilito dalla determinazione ACN n. 379907 del 19 dicembre 2025, adottata in attuazione del decreto legislativo 4 settembre 2024, n. 138, noto come decreto NIS.

Per semplificare gli adempimenti amministrativi dei soggetti coinvolti, in particolare di quelli rientranti anche nell’ambito di applicazione del decreto NIS, il portale di notifica degli incidenti (https://segnalazioni.acn.gov.it/) consente di assolvere contemporaneamente agli obblighi previsti sia dall’articolo 25 del decreto NIS sia dall’articolo 1, comma 1, della legge n. 90 del 2024 , qualora venga effettuata la pre-notifica o la notifica secondo la disciplina NIS.

Il prossimo incontro del Gruppo di lavoro CISO/cybersecurity di Confindustria Genova si terrà il 20 marzo alle ore 14.30.

Per ulteriori informazioni scrivere a vcanepa@confindustria.ge.it