In vigore dal 17 ott 2024·Giorno 566·

Gestione incidenti6 mag. 20267 min

Incidente significativo NIS2: l’albero decisionale per la reperibilità delle 3 di notte

La notifica NIS2 poggia su una parola: significativo. L’articolo 23, paragrafo 3, ne enuncia il principio; il Regolamento di esecuzione 2024/2690 ne fissa i numeri. Ecco l’albero decisionale per la reperibilità.

Incidente significativo NIS2: l’albero decisionale per la reperibilità delle 3 di notteGestione incidenti

Ogni obbligo di notifica ai sensi dell'articolo 23 della direttiva (UE) 2022/2555 poggia su un unico qualificatore: l'incidente deve essere significativo. Sotto la soglia, il soggetto non deve nulla all'autorità. Sopra, partono i contatori di 24 ore, 72 ore e un mese. Il costo di una valutazione errata corre nelle due direzioni — sovra-notificare sommerge il CSIRT; sotto-notificare apre un procedimento di vigilanza ai sensi dell'articolo 32.

Diciotto mesi dopo l'entrata in vigore, la definizione di incidente significativo NIS2 resta la domanda operativa più ricorrente sulla direttiva. L'articolo 23, paragrafo 3, ne enuncia il principio. Il Regolamento di esecuzione (UE) 2024/2690 ne fissa i numeri — per le sette categorie di settori che copre. Altrove decide il soggetto. Questa guida traduce la definizione giuridica in un albero decisionale che la vostra reperibilità può percorrere alle 3 di notte.

1. Il test a doppia gamba della direttiva

L'articolo 23, paragrafo 3, definisce l'incidente significativo come quello che soddisfa una delle due condizioni seguenti:

  • ha causato o può causare un grave disservizio operativo dei servizi o perdite finanziarie per il soggetto interessato; oppure
  • ha colpito o può colpire altre persone fisiche o giuridiche causando un danno materiale o immateriale considerevole.

Due locuzioni reggono il test: può causare — la soglia cattura anche gli incidenti evitati per un soffio il cui impatto è stato sventato solo dal caso — e considerevole — non definito dalla direttiva stessa, rinviato agli atti di esecuzione e alla prassi di vigilanza.

Il considerando 101 inquadra la valutazione come un giudizio, non come un'attivazione automatica. Il CSIRT e l'autorità competente si aspettano che il soggetto sia la prima istanza di valutazione, salvo contestazione. Ciò significa che il ragionamento della reperibilità, e non solo la conclusione, fa parte di ciò che l'autorità leggerà.

2. Cosa quantifica il Regolamento di esecuzione 2024/2690

Il Regolamento di esecuzione della Commissione, adottato il 17 ottobre 2024, fissa soglie concrete per sette categorie di settori: fornitori di servizi DNS, registri dei nomi a dominio di primo livello (TLD), fornitori di servizi di cloud computing, fornitori di servizi di centro dati, fornitori di reti di distribuzione di contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, mercati online, motori di ricerca online, piattaforme di social network e prestatori di servizi fiduciari.

Per queste categorie, un incidente è significativo quando supera una di tre fasce quantificate. In linguaggio operativo:

  • Impatto sulla disponibilità — il servizio è indisponibile per una durata data a un numero dato di utenti (ad esempio, un'ora per il 5 % degli utenti europei di un servizio cloud è significativo; le soglie variano per tipo di servizio e dimensione del soggetto).
  • Impatto su riservatezza / integrità dei dati — accesso non autorizzato non banale o modifica di dati dei clienti.
  • Impatto a cascata — l'incidente colpisce un altro fornitore in ambito NIS2 che dipende dal servizio interrotto.

I valori esatti per tipo di servizio sono negli allegati al 2024/2690 e costituiscono il riferimento operativo. I CISO dei settori coperti devono leggerli una volta e affiggere la tabella sul muro del SOC.

3. Cosa i sette settori non coprono — il test qualitativo

Per gli undici altri settori NIS2 (energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, pubblica amministrazione, spazio, servizi postali, gestione dei rifiuti, fabbricazione chimica / agroalimentare / dispositivi medici / ICT / equipaggiamenti per il trasporto / macchinari, fornitori digitali fuori dall'elenco RE, ricerca, produzione agroalimentare), le soglie del Regolamento di esecuzione non si applicano. Si applica il test qualitativo a doppia gamba dell'articolo 23, paragrafo 3 — integrato dalla matrice di classificazione che il soggetto ha definito a monte.

Una matrice difendibile si articola su tre assi:

  • Criticità del servizio — il servizio colpito figura nel piano di continuità operativa del soggetto come dipendenza di livello 1?
  • Impatto sugli utenti — numero di utenti colpiti; popolazioni vulnerabili coinvolte (pazienti, clienti energia in inverno).
  • Sicurezza del contenimento — l'incidente è circoscritto, oppure può degenerare senza intervento?

Quando due dei tre assi raggiungono un livello concordato a monte, l'incidente è significativo. La matrice è approvata dal consiglio ai sensi dell'articolo 20 ed è rivista annualmente. Le linee guida pubblicate dall'ENISA — riprese nei lavori del Gruppo di cooperazione sull'attuazione della NIS2 — indicano sistematicamente questo tipo di classificazione predefinita come standard operativo.

La definizione di incidente significativo NIS2 non è una soglia che si supera. È un giudizio che si difende — con il ragionamento della reperibilità marcato temporalmente al momento della presa di conoscenza.

4. L'albero decisionale che la reperibilità percorre alle 3 di notte

Nel momento in cui l'analista di turno guarda un alert SIEM nel cuore della notte, la definizione giuridica è troppo astratta. Serve un runbook in quattro domande, scritto in anticipo, che produca una di tre conclusioni: notificare, non notificare, escalare al CISO per decisione.

  1. Il servizio colpito figura nel nostro catalogo di servizi ai sensi del 2024/2690? Se sì, applicare le soglie quantificate dell'allegato. Se no, proseguire.
  2. L'incidente ha causato o può causare un grave disservizio operativo di un servizio che eroghiamo? Grave = guasto di un servizio di livello 1, perdita finanziaria oltre una soglia di materialità definita dal soggetto, o degrado del servizio che colpisce più di una percentuale definita di utenti.
  3. L'incidente colpisce altre persone fisiche o giuridiche in modo non minore? Esempi: esfiltrazione di dati, caduta a cascata che impatta sugli obblighi NIS2 di un cliente, impatto su salute pubblica o sicurezza.
  4. Se due o più degli assi 2–3 restano incerti, escalare al CISO. Per default, notificare anziché ritardare — il preallarme a 24 ore è un segnale, non una conclusione, e può essere corretto alla notifica a 72 ore.

La regola 4 è la più importante. L'articolo 23, paragrafo 4, lettera a) consente ai soggetti di aggiornare un preallarme nella notifica a 72 ore con informazioni sostanziali; la direttiva prevede esplicitamente una prima notifica incompleta. Una sovra-notifica difensiva al traguardo delle 24 ore costa meno di una scadenza mancata.

5. Transfrontaliero, multi-regolazione: quando la significatività si moltiplica

Due amplificatori trasformano un caso limite in un incidente chiaramente significativo:

  • Impatto transfrontaliero. L'articolo 23, paragrafo 4, lettera a) impone al preallarme di segnalare un eventuale impatto transfrontaliero sospetto. Se il vostro servizio è consumato in un altro Stato membro, si aggiunge un dovere di diligenza verso il CSIRT di tale Stato. Il quadro pan-europeo di coordinamento degli incidenti del Gruppo di cooperazione poggia su questo segnale.
  • Sovrapposizione con GDPR / DORA / CRA. Un incidente significativo NIS2 attiva di frequente obblighi paralleli. Una violazione di dati personali alimenta l'articolo 33 del GDPR (anch'esso 72 ore, ma con un punto di partenza diverso — conoscenza della violazione, non conoscenza dell'incidente). Un soggetto di servizi finanziari rientra parallelamente nel regime di notifica degli incidenti del DORA. I prodotti con elementi digitali coperti dal CRA aggiungono un terzo canale. Mappare questi regimi a monte — quale autorità riceve quale modulo, su quale orologio — è l'unico modo per evitare il mancato rispetto di una scadenza in un regime mentre si risponde a un altro.

La guida pratica delle 72 ore del sito accompagna la cadenza di notifica una volta confermato l'incidente significativo. Il presente articolo si pone a monte — risponde alla domanda se la cadenza si applichi.

Com'è quando è ben fatto

Tre segnali ricorrono nelle linee guida pubblicate da ACN, ANSSI, BSI, INCIBE, NCSC-IE ed ENISA sulla valutazione della significatività di un incidente:

  1. Una matrice di classificazione approvata dal consiglio — non un memo di una pagina, ma una matrice scritta con i tre o quattro assi che il soggetto utilizza per scoring degli incidenti, rivista negli ultimi dodici mesi, firmata dal consiglio ai sensi dell'articolo 20.
  2. Una traccia di ragionamento marcata temporalmente — per ogni incidente valutato dalla reperibilità: i punteggi della matrice all'istante della presa di conoscenza, la decisione che ne risulta (notificare / non notificare) e il nominativo del responsabile che l'ha presa. Estratta dal sistema di ticketing, non ricostruita a posteriori.
  3. Un ricalibrato annuale — i valori soglia della matrice sono rivisti rispetto agli incidenti reali dell'anno e adeguati. Soglie statiche si scostano dalla realtà operativa e diventano una debolezza difensiva dopo diciotto mesi.

Nessuno di questi documenti è esotico. Esistono già nei programmi maturi di gestione degli incidenti. Il lavoro dei prossimi dodici mesi, per i soggetti che non li hanno ancora codificati, è scriverli — prima che arrivi il primo incidente significativo.

Fonti

  1. Direttiva (UE) 2022/2555, articolo 23 («Obblighi di notifica»).
  2. Direttiva (UE) 2022/2555, articolo 23, paragrafo 3 (definizione di «incidente significativo»).
  3. Direttiva (UE) 2022/2555, considerando 101 (la valutazione della significatività come giudizio).
  4. Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024 (requisiti tecnici e metodologici; soglie di significatività per i fornitori di servizi digitali ed entità assimilate).
  5. Direttiva (UE) 2022/2555, articolo 32 («Misure di vigilanza ed esecutive nei confronti dei soggetti essenziali»).
  6. Linee guida di attuazione pubblicate dalle autorità nazionali competenti — ACN (IT), ANSSI (FR), BSI (DE), INCIBE (ES), NCSC-IE (IE) — e dall'ENISA tramite il Gruppo di cooperazione NIS.

Altri articoli

Articolo 20 NIS2: 5 responsabilità del consiglio che gli amministratori non possono delegareGovernance

Articolo 20 NIS2: 5 responsabilità del consiglio che gli amministratori non possono delegare

18 apr. 2025·Leggere · 10 min
Notifica di incidente NIS2: la guida pratica delle 72 oreGestione incidenti

Notifica di incidente NIS2: la guida pratica delle 72 ore

11 apr. 2025·Leggere · 9 min
Sicurezza della catena di approvvigionamento NIS2: 5 clausole da richiedere ai fornitoriCatena di approvvigionamento

Sicurezza della catena di approvvigionamento NIS2: 5 clausole da richiedere ai fornitori

9 apr. 2025·Leggere · 7 min