nis²insights.com

In vigore dal 17 ott 2024·Giorno 565·

Gestione incidenti11 apr. 20259 min

Notifica di incidente NIS2: la guida pratica delle 72 ore

Un incidente informatico vi colpisce. Il cronometro NIS2 parte. Ecco cosa fare, ora per ora.

Notifica di incidente NIS2: la guida pratica delle 72 oreGestione incidenti

Un incidente informatico colpisce un martedì mattina. A pranzo del martedì, la domanda sul tavolo del comitato esecutivo non è più cosa sta succedendo — è cosa serve al regolatore, e per quando. L'articolo 23 della direttiva (UE) 2022/2555 è la parte di NIS2 che fa partire il cronometro. È anche la parte che i consigli interpretano più spesso male.

Questa è la guida pratica delle 72 ore, ora per ora, con il testo giuridico letto da vicino e la traduzione operativa che ne segue.

Quando parte il cronometro: «conoscenza», non «rilevamento»

L'articolo 23, paragrafo 1, impone ai soggetti di notificare gli incidenti significativi al CSIRT o all'autorità competente senza indebito ritardo. Il cronometro a cui l'articolo 23 fa riferimento decorre dal momento in cui il soggetto viene a conoscenza dell'incidente.

La distinzione conta. La «conoscenza» non è l'istante in cui scatta un alert SIEM. È l'istante in cui una persona all'interno del soggetto, con l'autorità e le informazioni per decidere, ha motivi ragionevoli per ritenere che si sia verificato un incidente e che la soglia di significatività sia superata. Il considerando 101 della direttiva lo inquadra come una decisione di giudizio, non come un'attivazione automatica.

In pratica, la «conoscenza» è l'istante in cui il vostro CISO di turno, o il responsabile delle operazioni di sicurezza, o l'addetto in reperibilità, decide che l'alert davanti a lui assomiglia a un incidente significativo. Quella decisione va datata e oraria. I CSIRT nazionali — ANSSI/CERT-FR in Francia, BSI/CERT-Bund in Germania, INCIBE-CERT in Spagna, ACN/CSIRT Italia, NCSC-IE in Irlanda — si aspettano tutti quel timestamp nella notifica.

Ora 24: il preallarme

L'articolo 23, paragrafo 4, lettera a) impone un preallarme entro 24 ore dalla conoscenza. Il preallarme è breve. Deve indicare:

  • se il soggetto sospetta che l'incidente sia causato da atti illeciti o dolosi,
  • se potrebbe avere impatto transfrontaliero, e
  • (in pratica, anche se non strettamente elencate) le informazioni minime di identificazione perché il CSIRT possa instradare il caso.

È tutto il contenuto. Niente forensica dettagliata, niente valutazione completa dell'impatto, niente paziente zero. Il preallarme è un segnale di instradamento, non un rapporto.

L'errore frequente è trattare il preallarme come la notifica completa e perdere la finestra perché il soggetto stava ancora indagando. La direttiva è esplicita: il preallarme è una bandierina, non un esito. Inviatelo su informazioni parziali; correggete o ampliate alla notifica delle 72 ore se necessario.

Ora 72: la notifica di incidente

L'articolo 23, paragrafo 4, lettera b) impone una notifica di incidente entro 72 ore dalla conoscenza, che aggiorna il preallarme con informazioni sostanziali. Deve contenere:

  • una valutazione iniziale della significatività dell'incidente (gravità, impatto, perimetro),
  • ove disponibili, indicatori di compromissione (IoC).

È qui che i regolatori cercano la prova che il soggetto abbia un processo di gestione degli incidenti che funziona. Le aspettative pubblicate dai CSIRT nazionali europei, con rinvio alle linee guida ENISA sulla segnalazione degli incidenti, sono coerenti su cosa significhi «sostanziali»:

  • una descrizione dei servizi colpiti e dell'impatto operativo (in linguaggio chiaro e quantificato dove possibile — numero di utenti colpiti, durata della disservizio),
  • il tipo di minaccia (ransomware, accesso non autorizzato, esfiltrazione di dati, denial-of-service, compromissione della catena di approvvigionamento),
  • gli IoC disponibili al momento della notifica (hash di file, domini malevoli, IP degli attaccanti),
  • le azioni di mitigazione già intraprese o in corso.

La notifica è inviata tramite il canale nazionale di segnalazione — nella maggior parte degli Stati membri, un portale autenticato gestito dal CSIRT o dall'autorità competente. Il formato varia; la sostanza no.

Un mese: la relazione finale

L'articolo 23, paragrafo 4, lettera d) impone una relazione finale entro un mese dalla notifica di incidente. Deve contenere:

  • una descrizione dettagliata dell'incidente, comprese gravità e impatto,
  • il tipo di minaccia o la causa radice che ha probabilmente innescato l'incidente,
  • le misure di mitigazione applicate e in corso,
  • ove pertinente, l'impatto transfrontaliero dell'incidente.

Se l'incidente è ancora in corso al traguardo del mese, l'articolo 23, paragrafo 4, lettera c) prevede al suo posto una relazione intermedia, con relazione finale presentata entro un mese dalla risoluzione dell'incidente.

La relazione finale chiude il ciclo regolatorio. È anche il documento che, nelle giurisdizioni con responsabilità personale degli amministratori, diventa il fulcro di ogni successiva istruttoria di vigilanza. I consigli devono trattarla di conseguenza: leggere, contestare, approvare, mettere a verbale la discussione.

Cos'è un «incidente significativo»?

L'articolo 23, paragrafo 3, definisce l'incidente significativo come quello che:

  • ha causato o può causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto, oppure
  • ha colpito o può colpire altre persone fisiche o giuridiche causando un danno materiale o immateriale considerevole.

La Commissione ha pubblicato soglie per i fornitori di servizi digitali e talune altre categorie (Regolamento di esecuzione (UE) 2024/2690). Per gli altri settori rientranti, la valutazione è qualitativa e ricade in prima battuta sul soggetto, salvo contestazione da parte dell'autorità nazionale competente.

La trappola, in pratica, non è la sotto-segnalazione — è la sopra-segnalazione di casi al limite per eccesso di prudenza, che soffoca il CSIRT nel rumore. La linea ENISA è chiara: il test è la significatività, non la gravità in termini assoluti. Un disservizio di 30 minuti su un flusso di pagamento può essere significativo per un acquirer su larga scala; lo stesso disservizio su uno strumento di back-office può non esserlo.

Il cronometro delle 72 ore non è una scadenza per la completezza. È una scadenza per una divulgazione onesta e strutturata di ciò che si sa fino a quel momento.

Come si presenta quando è fatto bene

Nelle istruttorie post-incidente dei regolatori tornano sistematicamente tre segnali:

  1. Una cronologia datata dell'incidente che fissa il momento della conoscenza e mostra l'orario del preallarme, della notifica a 72 ore e della relazione finale. I divari fra questi traguardi sono tollerati; gli orari mancanti no.
  2. Un'unica autorità firmataria per la catena di notifica — tipicamente il CISO di turno con un percorso di escalation documentato verso l'amministratore delegato o il rappresentante legale. Notifiche multiple e non coordinate provenienti da parti diverse del soggetto sono un segnale d'allarme.
  3. Prova che l'organo di amministrazione è stato informato a ogni traguardo. Un verbale del consiglio che richiami il preallarme è sufficiente. Il silenzio sulla cronologia lascia al regolatore lo spazio per chiedere perché.

Nessuno di questi documenti va inventato nel momento della crisi. Sono documenti che il soggetto deve avere provato in anticipo. Il cronometro delle 72 ore è corto; la pista per prepararsi non lo è.

Fonti

  1. Direttiva (UE) 2022/2555, articolo 23 («Obblighi di segnalazione»).
  2. Direttiva (UE) 2022/2555, articolo 23, paragrafo 3 (definizione di «incidente significativo»).
  3. Direttiva (UE) 2022/2555, considerando da 100 a 102 (procedura di segnalazione degli incidenti e criteri di significatività).
  4. Regolamento di esecuzione (UE) 2024/2690 (soglie di significatività degli incidenti per fornitori di servizi digitali e categorie analoghe).
  5. Linee guida pubblicate dalle autorità nazionali competenti e dai CSIRT: ANSSI / CERT-FR (FR), BSI / CERT-Bund (DE), INCIBE-CERT (ES), ACN / CSIRT Italia (IT), NCSC-IE (IE), e dall'ENISA.

Altri articoli

Articolo 20 NIS2: 5 responsabilità del consiglio che gli amministratori non possono delegareGovernance

Articolo 20 NIS2: 5 responsabilità del consiglio che gli amministratori non possono delegare

18 apr. 2025·Leggere · 10 min
Sicurezza della catena di approvvigionamento NIS2: 5 clausole da richiedere ai fornitoriCatena di approvvigionamento

Sicurezza della catena di approvvigionamento NIS2: 5 clausole da richiedere ai fornitori

9 apr. 2025·Leggere · 7 min
Un modello pragmatico di registro dei rischi per l’articolo 21 NIS2Gestione del rischio

Un modello pragmatico di registro dei rischi per l’articolo 21 NIS2

2 apr. 2025·Leggere · 6 min