Una guida pratica per orientarsi alla nuova classificazione degli incidenti informatici

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha introdotto una nuova classificazione degli incidenti cyber con l’obiettivo di uniformare il linguaggio e migliorare la gestione delle segnalazioni in ambito sicurezza informatica.

In questo articolo ti guidiamo alla scoperta della nuova tassonomia e ti offriamo uno strumento semplice e operativo per comprenderla e applicarla nel contesto della tua organizzazione.

Perché una nuova tassonomia?

Nel mondo cyber, tempestività e chiarezza sono elementi essenziali nella gestione degli incidenti. La nuova classificazione proposta da ACN nasce per:

• Standardizzare il linguaggio tra enti pubblici e aziende private nella comunicazione degli eventi di sicurezza.
• Rendere più efficiente la raccolta, gestione e condivisione delle informazioni tra gli attori coinvolti.
• Supportare il lavoro di CSIRT, SOC e team di Incident Response con una base comune e condivisa.

La tassonomia si ispira a framework internazionali come ENISA, MITRE ATT&CK e MISP, ma è stata adattata al contesto normativo italiano per essere pratica, concreta e operativamente utile.

Come funziona la classificazione

La tassonomia degli eventi cyber sviluppata dall’Agenzia per la Cybersicurezza Nazionale (ACN) ha lo scopo di fornire un linguaggio comune per descrivere in maniera chiara e coerente incidenti e minacce informatiche. Questo modello si articola in quattro macrocategorie, suddivise in 22 predicati e 144 valori, per garantire una caratterizzazione granulare degli eventi.

• Macrocategoria: rappresenta il livello più alto della tassonomia e raccoglie predicati con caratteristiche affini. Le macrocategorie sono: Baseline Characterization, Threat Type, Threat Actor e Additional Context.
• Predicato: è un insieme coerente di attributi che descrivono una specifica dimensione dell’evento, come la causa radice, l’impatto, la gravità o il tipo di minaccia.
• Valore: è l’elemento più dettagliato della tassonomia e descrive in modo specifico una caratteristica del cyber evento, come ad esempio “ransomware”, “phishing” o “data exfiltration”.

Ogni evento viene descritto attraverso l’associazione di uno o più valori appartenenti a predicati rilevanti, all’interno delle rispettive macrocategorie. Questo approccio consente una rappresentazione multidimensionale e flessibile degli incidenti, che supporta l’analisi, la risposta e la condivisione delle informazioni in modo strutturato.

Inoltre, la tassonomia ACN è stata progettata per essere interoperabile con le principali tassonomie internazionali (ENISA, MITRE, MISP), pur mantenendo una coerenza con il contesto normativo italiano. Questo rende possibile una condivisione efficace tra enti pubblici e privati sia a livello nazionale che internazionale.

Scarica la guida pratica alla tassonomia ACN

Per aiutarti ad applicare la nuova classificazione, abbiamo realizzato un PDF di sintesi, pensato per i team tecnici e i responsabili della sicurezza.

Questa guida è stata realizzata a scopo divulgativo e non rappresenta un documento ufficiale dell’Agenzia per la Cybersicurezza Nazionale (ACN).
La classificazione riportata si basa sulle informazioni attualmente disponibili e potrebbe essere soggetta a modifiche o aggiornamenti da parte dell’ACN.
Invitiamo pertanto a fare sempre riferimento alle fonti ufficiali per avere indicazioni aggiornate e complete.