Pubblicata dalla ACN la tassonomia per le notifiche degli incidenti
Considerato che , a partire da gennaio 2026, scatterà l’obbligo di rispettare le tempistiche e le modalità di comunicazione degli incidenti cyber all’Agenzia per la Cybersicurezza Nazionale (ACN) e al CSIRT Italia , l’ACN ha pubblicato la nuova Tassonomia Cyber (TC-ACN), uno strumento pensato per favorire lo scambio di informazioni e facilitare il processo di notifica degli incidenti, introducendo un linguaggio comune che copra un ampio spettro di eventi e minacce informatiche.
NIS2 e classificazione degli incidenti: la tassonomia ACN
La tassonomia ACN mira a superare la frammentazione terminologica usando un lessico comune per facilitare lo scambio di informazioni. La TC-ACN offre una base metodologica per condividere informazioni sugli eventi cyber e notificare incidenti al CSIRT Italia. Il nuovo standard, identifica e caratterizza gli eventi cyber in 4 macrocategorie con 144 attributi e 22 predicati, che permettono una analisi molto più granulare degli incidenti, descrivendo con maggiore precisione dinamiche e impatti.
In particolare:
- BC – Baseline Characterization. Identifica il “livello zero” dell’indagine, che consiste nella comprensione dei danni subiti, della natura dell’attacco (o evento) e della sua portata. Questa fase è fondamentale anche per definire i confini geografici e organizzativi dell’evento.

- TT – Threat Type. Analizza in dettaglio i fattori tecnici: esamina le modalità dell’evento, identifica le vulnerabilità sfruttate e descrive le tecniche di attacco impiegate, come phishing, malware ed exploit di sistema.

- TA – Threat Actor. Identifica l’origine e il responsabile dell’attacco. L’attore può essere un individuo, un gruppo criminale, un insider o uno Stato. Capire le sue motivazioni e risorse aiuta a valutare il rischio e predisporre contromisure.

- AC – Additional Context. Mette a fuoco tutti quei dettagli ulteriori che possono influenzare la comprensione dell’evento e le strategie di risposta: la tipologia dei sistemi colpiti (server, endpoint, reti specifiche), eventuali correlazioni con eventi precedenti, strumenti di sicurezza già in uso e possibili scenari di escalation.

Un cambio di paradigma rispetto a ENISA
Mentre la precedente tassonomia suddivideva gli incidenti in classi (p. es. Availability, Fraud, Information Gathering ecc.), la TC-ACN, invece, adotta un approccio più espressivo, basandosi cioè su vettori che descrivono in maniera più dettagliata tipologia di minaccia, origine, motivazione dell’attacco, impatto, tecniche e tattiche, ma anche sistemi coinvolti ed aspettative. Ad esempio, il vettore TC-ACN “BC:IM-DE BC:RO-MA BC:SE-HI BC:VG-IT”, esprime un incidente che ha comportato l’esposizione di dati sul territorio nazionale classificata grave (e.g. un data breach), causata da azioni malevole.

Come utilizzare la tassonomia cyber di ACN
Per poter iniziare a familiarizzare con la nuova tassonomia ACN ha pubblicato la linea guida ufficiale sul sito ACN, e messo la tassonomia liberamente disponibile a tutti gli operatori che, in vista dell’adeguamento a NIS2, saranno chiamati a:
• Adotta un linguaggio comune per descrivere incidenti e minacce, semplificando la comunicazione con ACN, CSIRT e altri stakeholder.
• Notificare gli incidenti classificando l’evento secondo la TC-ACN (per i soggetti rientranti nel perimetro della NIS2 e del PSNC), specificando i predicati e i valori appropriati.
• Colmare le lacune interne e migliorare i processi di gestione degli incidenti interni, tramite uno schema strutturato per la raccolta di informazioni su eventi e incidenti.
E’ stato inoltre messo a disposizione delle aziende un utilissimo tool gratuito, creato da Utilia Spa, che consente di generare automaticamente i “vettori incidente” secondo la nuova tassonomia TC-ACN e condividere con facilità i dati dell’incidente con gli organi competenti (CSIRT Italia, ACN) o con altri team di sicurezza interni/esterni.
Vista l’abbondanza di strumenti e linee guida a disposizione, è fondamentale che i soggetti rientranti nel perimetro della NIS2 inizino a familiarizzare con questa nuova tassonomia in modo da arrivare pronti e attrezzati a inizio 2026 per eventuali notifiche obbligatorie.
Lascia un commento