La tassonomia cyber degli incidenti secondo ACN o CSIRT?
Il documento, intitolato "La Tassonomia Cyber dell’ACN" (TC-ACN), pubblicato a novembre 2025, è una guida operativa che definisce “il linguaggio comune per lo scambio di informazioni relative a eventi e minacce di cybersicurezza”. Il documento risulta fondamentale nel caso in cui si dovesse segnalare al CSIRT un incidente nel perimetro della NIS 2. In questo articolo si approfondiscono, dopo una breve introduzione al documento, l’applicazione del documento nel caso degli incidenti che impattano sulla protezione dei dati personali.
(Nella foto: l'Ing. Monica Perego, docente al Corso 'Direttiva NIS2: la gestione operativa degli incidenti ICT')
La struttura della Tassonomia Cyber di ACN - La tassonomia, che non risulta di immediata comprensione ad una prima analisi, fornisce gli strumenti per definire e descrivere in modo granulare gli eventi cyber. La struttura del documento si articola nelle seguenti sezioni principali:
- Capitolo 1 – “Introduzione” che ne illustra finalità e struttura
- Capitolo 2 – “Riferimenti” dove sono forniti i principali riferimenti a tassonomie cyber (come quelle di ENISA, Trusted Introducer, MITRE Corporation, Unione Europea e NATO) che sono state analizzate per la definizione della Tassonomia Cyber dell’ACN.
- Capitolo 3 – “La tassonomia degli eventi cyber di ACN” in questo è il capitolo centrale che definisce la Tassonomia Cyber di ACN. La TC-ACN è composta da un insieme di attributi che caratterizzano gli eventi cyber. In totale, la tassonomia include 219 “valori” organizzati in 21 “predicati”, che sono raggruppati in 4 “macrocategorie”.
- Appendice - l’Appendice riporta in forma grafica di sintesi la Tassonomia Cyber dell’ACN che comprende l’elenco completo dei 219 valori della TC-ACN.
Stando alle definizioni riportate nel documento si definisce:
- “macrocategoria”, un gruppo di predicati con caratteristiche affini;
- “predicato”, un lemma che ha lo scopo di raccogliere un sottoinsieme di valori in base alle loro proprietà e caratteristiche intrinseche;
- “valore”, ossia l’elemento granulare che specifica una determinata caratteristica di un evento cyber identificata dal predicato di riferimento.
Le macrocategorie del Capitolo 3 sono dettagliate nelle seguenti sottosezioni:
- 3.1 “Baseline Characterization” (BC) – informazioni necessarie a caratterizzare l’evento;
- 3.2 “Threat Type” (TT) – informazioni che facilitando la determinazione degli aspetti tecnici associati all’evento;
- 3.3 “Threat Actor” (TA) – informazioni per individuare l’agente (non necessariamente malevolo);
- 3.4 “Additional Context” (AC) – informazioni aggiuntive per una migliore comprensione dell’evento.
La Caratterizzazione degli Incidenti di Protezione dei Dati Personali nella Tassonomia Cyber ACN - Gli eventi privacy specificamente relativi alla compromissione e alla protezione dei dati personali sono riconducibili a quelli che minano la riservatezza, la disponibilità o l’integrità dei dati. Tra gli eventi più significativi, da questo punto di vista, si segnalano a titolo esemplificativo ma non esclusivo:
- Data Exposure (BC:IM_DE) si riferisce alla divulgazione non autorizzata di dati sensibili o riservati, causata da vulnerabilità di sicurezza, errori di configurazione o pratiche inadeguate di gestione delle informazioni. Questo fenomeno può portare alla diffusione di informazioni personali, finanziarie o aziendali aumentando il rischio di furti di identità, frodi o danni reputazionali per individui e organizzazioni;
- Personal Data (TT:DE_PD) identifica gli eventi cyber nei quali si è verificata una violazione di sicurezza dei personali, ovvero delle informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.
La gravità dell’evento - All’interno della macrocategoria BC sono definiti dei predicati per individuare alcune caratteristiche dell’evento e nello specifico il predicato Severity ha lo scopo di indicare la gravità dell’impatto di un evento cyber. Questo predicato è associabile a quattro livelli, riferiti alla criticità dell’impatto subito. Quelli associati a impatto hight e medium si riferiscono, tra le altre, rispettivamente anche alla condizione:
- hight - dati/informazioni personali o proprietarie sono stati modificati, cancellati o esfiltrati;
- medium – è stato rilevato l’accesso e l’esfiltrazione a dati/informazioni personali o proprietarie.
La differenza come evidente non è chiarissima, l’esfiltrazione di dati è associata ad un evento sia di livello alto che medio.
Vettori e Strumenti Rilevanti - Il documento specifica che gli attacchi che portano alla compromissione dei dati personali possono utilizzare diverse tecniche e vettori come, ad esempio: Ransomware (TT:MA_RA), Information Stealer (TT:MA_IN), Social Engineering (SO), Phishing (TT:SO_PH) e Spear-Phishing (TT:SO_SP).
Come usare la tassonomia - Sono diversi i modi in cui la tassonomia può essere utilizzata, non necessariamente limitatamente alla componente relativa ai soli dati personali. Infatti, rispetto ad approcci semplificati (es. classificazioni generiche), la TC-ACN offre una granularità molto maggiore, questo grado di dettaglio aiuta a distinguere con chiarezza tipi diversi di incidenti. Nello specifico:
- la procedura sul data breach potrebbe richiamare la tassonomia sopra definita, uniformando, in tal modo i termini ad uno standard condiviso ed autorevole;
- la modalità di raccolta dei dati, a seguito di un incidente potrebbe, facendo riferimento alle macrocategorie, aiutare a raccogliere i dati in modo più organico e strutturato, facilitando, grazie alla granularità, anche la classificazione dell’incidente;
- la classificazione, secondo il modello proposto aiuta ad individuare le azioni da mettere in atto come escalation, contenimento, notifica, remediation, comunicazioni, auditing;
- la formazione del team coinvolto nella gestione degli incidenti potrebbe far riferimento a tale tassonomia permettendo, in tal modo di individuare in modo più veloce ed oggettivo la criticità dell’evento medesimo.
Inoltre:
- un lessico comune tra protezione dei dati personali ed incidenti sulla sicurezza delle informazioni migliora la comunicazione interna ed esterna riducendo ambiguità, facilita il dialogo tra i team data breach, management, compliance e con autorità o partner esterni;
- grazie ad una classificazione coerente, diventa più semplice fare analisi statistiche degli incidenti, identificare trend, debolezze ricorrenti, asset più a rischio, e di conseguenza migliorare le misure preventive nel tempo (policy, controlli, formazione, segmentazione, backup, etc.).
Conclusioni - La struttura della TC-ACN consente quindi di non solo registrare che è avvenuta una violazione di dati, ma di specificare il tipo di dati coinvolti (es. dati personali), l’impatto sulle proprietà RID e la conseguente gravità dell’accaduto.
In sintesi le informazioni che si possono trarre dalla tassonomia degli incidenti non sono necessarie per adeguare la procedura relativa alla gestione degli stessi in ottica di NIS 2 (da gennaio 2026 diventa obbligatoria la notifica dei suddetti), ma anche per integrare la stessa procedura sul data breach. Si viene a creare in questo modo un ponte tra due procedure che hanno molti punti in comune. Se è pur vero che non tutti gli incidenti che impattano sui sistemi informativi e di rete degli apparati IT e di quelli industriali, compromettono dati personali è vero che quando ciò accade le due procedure si devono attivare parallelamente sincronizzando le azioni in modo congruente nei tempi e nei modi.
