Dall’analisi del Decreto Legislativo del 4 settembre 2024, n. 138, che in Italia a recepito gli adeguamenti normativi della Direttiva NIS2, è subito divenuto chiaro lo sforzo richiesto ad amministrazioni pubbliche e aziende private, che, oltre alle procedure di registrazione da ultimare entro il 28 febbraio 2025, ora devono attrezzarsi per implementare tutti i requisiti di notifica incidente entro l’anno.
A partire da gennaio 2026, infatti, scatterà l’obbligo di rispettare le tempistiche e le modalità di comunicazione degli incidenti cyber, che dovranno essere notificati all’Agenzia per la Cybersicurezza Nazionale (ACN) e al CSIRT Italia secondo precise regole.
È proprio in questo contesto che l’ACN ha pubblicato la nuova Tassonomia Cyber (TC-ACN), uno strumento pensato per favorire lo scambio di informazioni e facilitare il processo di notifica degli incidenti, introducendo un linguaggio comune che copra un ampio spettro di eventi e minacce informatiche.
Indice degli argomenti
NIS2 e classificazione degli incidenti: la tassonomia ACN
La “Tassonomia Cyber dell’ACN” (TC-ACN), è stata pubblicata dall’Agenzia a luglio 2024, proprio quando trapelavano le prime bozze del decreto di recepimento. Questo nuovo standard, tutto italiano, si propone come linguaggio unico e condiviso a livello nazionale per descrivere eventi e incidenti di sicurezza.
La tassonomia ACN ha come obiettivo il superamento della frammentazione terminologica e, attraverso un lessico comune, l’Agenzia vuole agevolare lo scambio informativo. La TC-ACN rappresenta infatti una base metodologica sia per la condivisione di informazioni riguardo agli eventi cyber, sia per la notifica degli incidenti al CSIRT Italia.
Il nuovo standard, frutto di un grande lavoro di analisi e sintesi, è però molto più complesso rispetto alle tradizionali metodologie di classificazione incidente: infatti, identifica e caratterizza gli eventi cyber.
Rispetto alle 11 classi ed ai 32 tipi di incidente della “Reference Incident Classification Taxonomy” di ENISA, la TC-ACN svetta: con 144 attributi e 22 predicati organizzati in 4 macrocategorie, la nuova tassonomia offre un’analisi molto più granulare degli incidenti, permettendo di descrivere con maggiore precisione dinamiche e impatti.
In particolare:
- BC – Baseline Characterization. Definisce il “livello zero” dell’indagine, in cui si cercano di comprendere i danni subiti, la natura dell’attacco (o evento) e la sua estensione. È utile anche per delineare i confini geografici e organizzativi dell’evento.
- TT – Threat Type. Approfondisce gli aspetti tecnici: come si è verificato l’evento, quali vulnerabilità sono state sfruttate e quali tecniche d’attacco sono state utilizzate (ad esempio phishing, malware, exploit di sistema ecc.).
- TA – Threat Actor. Evidenzia l’origine e la responsabilità dell’attacco. L’attore può essere un singolo individuo, un gruppo criminale organizzato, un insider o persino un’entità nazionale. Comprendere le motivazioni e le risorse a disposizione del soggetto aiuta a valutare il rischio e a predisporre contromisure adeguate.
- AC – Additional Context. Mette a fuoco tutti quei dettagli ulteriori che possono influenzare la comprensione dell’evento e le strategie di risposta: la tipologia dei sistemi colpiti (server, endpoint, reti specifiche), eventuali correlazioni con eventi precedenti, strumenti di sicurezza già in uso e possibili scenari di escalation.

Macrocategorie della TC-ACN.
Un cambio di paradigma rispetto a ENISA
La tassonomia classica di ENISA (e dei framework affini come Trusted Introducer) tende a suddividere gli incidenti in classi (p. es. Availability, Fraud, Information Gathering ecc.).
La TC-ACN, invece, adotta un approccio più espressivo, simile alla gestione delle vulnerabilità secondo CVSS, basandosi cioè su vettori che descrivono in maniera più dettagliata tipologia di minaccia, origine, motivazione dell’attacco, impatto, tecniche e tattiche, ma anche sistemi coinvolti ed aspettative.
Ad esempio, il vettore TC-ACN “BC:IM-DE BC:RO-MA BC:SE-HI BC:VG-IT”, esprime un incidente che ha comportato l’esposizione di dati sul territorio nazionale classificata grave (e.g. un data breach), causata da azioni malevole. Per semplicità, questo particolare vettore, in realtà rappresenta solamente la valorizzazione dei predicati nella macrocategoria “Baseline Characterization”, lasciamo come esercizio al lettore la valorizzazione delle ulteriori tre categorie.
Insomma, una cosa è chiara: questa ricchezza di attributi consente di caratterizzare un incidente da molteplici punti di vista, fornendo un quadro completo e omogeneo che facilita tanto la mitigazione quanto la condivisione delle informazioni tra i diversi soggetti coinvolti.

Struttura dei predicati di TC-ACN.
Come utilizzare la tassonomia cyber di ACN
Inutile nasconderlo, utilizzare questa nuova tassonomia è più complicato rispetto alla semplicità della controparte ENISA. Tuttavia, ACN ha pubblicato la linea guida ufficiale sul sito ACN, dove ha reso la tassonomia liberamente disponibile a tutti gli operatori che, in vista dell’adeguamento a NIS2 saranno chiamati a:
- Uniformare la terminologia, adottando un linguaggio comune per descrivere incidenti e minacce, in modo da semplificare la comunicazione con l’ACN, il CSIRT e gli altri stakeholder.
- Notificare correttamente gli incidenti classificando l’evento secondo la TC-ACN (almeno per i soggetti rientranti nel perimetro della NIS2 e del PSNC), specificando i predicati e i valori più appropriati.
- Colmare gap e lacune interne e migliorare i processi di incident handling interni, attraverso lo schema strutturato per raccogliere informazioni su eventi ed incidenti.
Uno strumento di supporto per le aziende
Esiste anche un utile strumento per cominciare a familiarizzare con la TC-ACN ed è stato reso disponibile gratuitamente a tutte le organizzazioni italiane da Utilia SpA – società di IT & Security di Gruppo Società Gas Rimini. Il tool consente di:
- Generare automaticamente i “vettori incidente” secondo la nuova tassonomia TC-ACN.
- Condividere con facilità i dati dell’incidente con gli organi competenti (CSIRT Italia, ACN) o con altri team di sicurezza interni/esterni.
- Ridurre il rischio di non conformità alle prossime scadenze normative legate a NIS2.
Uno strumento gratuito con il quale le aziende potranno compilare i campi descrittivi richiesti dalla tassonomia (in modo anche guidato), producendo rapidamente una segnalazione formale e completa.

Tool di Generazione Vettore TC-ACN.
Conclusioni
L’arrivo della NIS2 porta con sé un rafforzamento degli obblighi di sicurezza e delle responsabilità a carico di enti pubblici e privati.
In questo panorama, la nascita di una tassonomia “made in Italy” – la TC-ACN – rappresenta una mossa strategica per standardizzare il modo in cui classifichiamo e notifichiamo gli incidenti informatici:
- Punto di riferimento univoco: la tassonomia unifica il linguaggio, evitando ridondanze e confusioni in fase di comunicazione.
- Struttura modulare: l’uso di vettori e predicati, ispirato all’approccio CVSS, permette di descrivere l’incidente in modo più completo, includendo elementi di contesto, impatto e finalità.
- Benefici operativi: la notifica risulta più semplice e immediata, facilitando sia la gestione interna sia l’invio di report all’ACN e al CSIRT Italia.
I prossimi mesi saranno decisivi per tutte le organizzazioni che rientrano nel perimetro della NIS2.
Prepararsi fin da ora, approfondendo il funzionamento della nuova tassonomia e adottando gli strumenti messi a disposizione dall’ACN e dagli operatori specializzati, rappresenta il miglior investimento in vista delle scadenze (fine febbraio per la registrazione e inizio 2026 per la notifica obbligatoria).
La tassonomia cyber dell’ACN non è solo una nuova formalità burocratica, ma diventa un vero e proprio “architrave metodologico” che guiderà e uniformerà – finalmente – le pratiche di cyber sicurezza in Italia.
Prepararsi adeguatamente fin da ora permetterà di trasformare un obbligo normativo in un prezioso strumento di resilienza e protezione dei propri asset e dei servizi erogati.