Sign in
By Valentina Garilli in Transizione digitale

Obblighi di notifica degli incidenti in materia di cybersicurezza: la Determina dell’ACN interviene coordinando ulteriormente le diverse discipline esistenti

La Determina ACN del 9 febbraio 2026 introduce la tassonomia degli incidenti che i soggetti (pubblici) che rientrano nell’ambito di applicazione della L. n. 90/2024 devono notificare all’Agenzia stessa. La determina è frutto di un’operazione di coordinamento effettuata dall’art. 28 della L. n. 132/2025 (Legge sull’IA) il quale ha eliminato il richiamo all’art. 1, co. 3-bis (oggi abrogato) del D.L. n. 105/2019, relativo al Perimetro nazionale di sicurezza cibernetica, attribuendo all’ACN il compito di individuare tale tassonomia.

Prima dell’introduzione del D. Lgs. n. 138/2024 (Decreto NIS2), infatti, il legislatore italiano era già intervenuto a regolare la cybersicurezza nazionale, da una parte, con il Perimetro nazionale di sicurezza cibernetica e, dall’altra, con la già citata L. n. 90/2024, la quale ha rafforzato le misure di cybersicurezza per tutte le PA. Il Perimetro introduce per la prima volta una governance condivisa del rischio in ambito di sicurezza cibernetica, dove i relativi obblighi di notifica e di rispetto di adeguati standard di sicurezza interessano soggetti sia pubblici che privati, individuati secondo criteri determinati con decreti ministeriali, all’interno di diversi settori di cui sono competenti e responsabili i rispettivi ministeri. A differenza del decreto NIS2, che introduce una disciplina generalizzata ad un numero sempre più ampio di settori, soprattutto privati, il Perimetro mantiene invece un approccio “chirurgico”, individuando i soggetti tenuti a rispettare gli obblighi secondo il criterio della gradualità del rischio a cui sono soggetti. Peraltro, la disciplina del Perimetro prevale sul Decreto NIS2, laddove il primo dispone (art. 1, co. 8) che la notifica di un incidente effettuata ai sensi dello stesso assolve anche l’obbligo di cui all’art. 25, Decreto NIS2, per i soggetti a cui si applicano entrambe le discipline.

In questo contesto, oltre ad aggiornare gli incidenti che le PA sono tenute a notificare ai sensi della L. n. 90/2024, la Determina del 9 febbraio opera anche un ulteriore coordinamento, laddove specifica che, per i soggetti interessati, tale obbligo di notifica si considera assolto anche seguendo le modalità di cui all’art. 25, Decreto NIS2, riducendo così gli oneri operativi a carico dei soggetti a cui si applica più d’una delle suddette discipline.

Subscribe to Aggiornamenti VMA

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe