La direttiva NIS2 introduce un obbligo di segnalazione degli incidenti di sicurezza informatica con tempistiche molto stringenti. Per le aziende italiane, l'interlocutore è l'ACN tramite il CSIRT Italia. Non rispettare queste scadenze espone a sanzioni significative — fino al 2% del fatturato mondiale.
Le tempistiche obbligatorie
La NIS2 impone un processo di segnalazione in tre fasi:
Fase 1: Preallarme — 24 ore
Entro 24 ore dalla scoperta dell'incidente significativo, dovete inviare un preallarme al CSIRT Italia. Questo primo rapporto deve includere:
- Descrizione sommaria dell'incidente
- Valutazione preliminare della natura (attacco informatico, guasto, errore umano)
- Impatto transfrontaliero potenziale
- Indicatori di compromissione (IoC) disponibili
Non è necessario avere tutte le informazioni — il preallarme serve a attivare il coordinamento con le autorità.
Fase 2: Notifica completa — 72 ore
Entro 72 ore dalla scoperta, dovete trasmettere una notifica completa che aggiorna il preallarme con:
- Valutazione dettagliata dell'incidente (gravità, impatto)
- Natura e causa probabile dell'incidente
- Misure di mitigazione adottate e previste
- Impatto transfrontaliero confermato o escluso
Fase 3: Relazione finale — 1 mese
Entro un mese dalla notifica completa, dovete presentare una relazione finale contenente:
- Descrizione dettagliata dell'incidente e della sua causa principale (root cause)
- Misure di mitigazione applicate
- Impatto effettivo (operativo, finanziario, reputazionale)
- Lezioni apprese e azioni correttive pianificate
Cos'è un "incidente significativo"?
Non tutti gli incidenti richiedono la segnalazione. La NIS2 definisce un incidente significativo quando provoca:
- Perturbazione grave del funzionamento dei servizi
- Perdite finanziarie significative per il soggetto coinvolto
- Danni a persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli
Esempi concreti in Italia
| Incidente | Significativo? | Motivo | |-----------|----------------|--------| | Ransomware che blocca l'ERP per 3 giorni | ✅ Sì | Perturbazione grave dei servizi | | Furto di 50.000 record clienti | ✅ Sì | Danni a persone fisiche | | Tentativo di phishing bloccato | ❌ No | Nessun impatto effettivo | | DDoS di 2 ore su sito vetrina | ⚠️ Dipende | Valutare impatto sui servizi | | Esfiltrazione dati di ricerca | ✅ Sì | Perdita finanziaria/proprietà intellettuale |
Come segnalare al CSIRT Italia
1. Canale di comunicazione
Il CSIRT Italia (Computer Security Incident Response Team) è il punto di contatto nazionale. La segnalazione avviene tramite:
- Piattaforma online dell'ACN — canale preferenziale
- Email sicura al CSIRT Italia per emergenze
- Telefono per incidenti critici in corso
2. Contenuto del preallarme (template)
PREALLARME INCIDENTE NIS2
Data/ora scoperta: [GG/MM/AAAA HH:MM]
Soggetto segnalante: [Ragione sociale]
Codice identificativo ACN: [se disponibile]
DESCRIZIONE SOMMARIA:
[Cosa è successo in 3-5 righe]
TIPO DI INCIDENTE:
☐ Attacco ransomware
☐ Violazione dei dati (data breach)
☐ Attacco DDoS
☐ Compromissione della catena di fornitura
☐ Sfruttamento di vulnerabilità
☐ Altro: [specificare]
IMPATTO PRELIMINARE:
- Servizi coinvolti: [elenco]
- Sistemi interessati: [numero/tipo]
- Dati potenzialmente compromessi: [sì/no, tipo]
- Impatto transfrontaliero: [sì/no/in valutazione]
MISURE IMMEDIATE ADOTTATE:
[Azioni intraprese]
INDICATORI DI COMPROMISSIONE (IoC):
[IP, hash, domini, se disponibili]
Preparazione: cosa fare PRIMA dell'incidente
Il momento peggiore per creare una procedura di segnalazione è durante un incidente. Ecco cosa preparare:
Piano di risposta agli incidenti
Documentate chi fa cosa, quando e come. Il piano deve includere:
- Responsabile della segnalazione — chi contatta l'ACN (di solito il CISO o il DPO)
- Catena di escalation — dal SOC al management alla segnalazione
- Modelli precompilati — template di preallarme e notifica
- Contatti CSIRT Italia — salvati e accessibili 24/7
- Registro degli incidenti — per tracciare tutte le segnalazioni
Esercitazioni periodiche
Simulate un incidente almeno una volta l'anno. Misurate:
- Tempo di rilevamento (MTTD)
- Tempo dalla rilevazione alla segnalazione
- Completezza delle informazioni nel preallarme
- Coordinamento tra team interni
Strumenti di rilevamento
Non potete segnalare ciò che non rilevate. Assicuratevi di avere:
- Monitoraggio continuo dei sistemi (SIEM)
- Scansione regolare delle vulnerabilità
- Analisi dei log in tempo reale
- Sistemi di rilevamento delle intrusioni (IDS/IPS)
Errori fatali da evitare
Aspettare di avere tutte le informazioni — Il preallarme serve proprio a segnalare rapidamente con le informazioni disponibili. Non aspettate l'analisi completa.
Segnalare troppo tardi — Le 24 ore decorrono dalla scoperta dell'incidente, non dalla conferma. Se sospettate un incidente, il timer è partito.
Minimizzare l'incidente — Sottostimare l'impatto nella segnalazione iniziale e poi doverlo rivalutare al rialzo è peggio che segnalare correttamente dall'inizio.
Non documentare le azioni — Ogni decisione e azione durante la gestione dell'incidente deve essere tracciata con timestamp.
Rapporto con il GDPR
Se l'incidente coinvolge dati personali, scatta anche l'obbligo di notifica al Garante per la Protezione dei Dati Personali entro 72 ore (art. 33 GDPR). Le due segnalazioni sono complementari:
| Aspetto | NIS2 (ACN) | GDPR (Garante) | |---------|------------|-----------------| | Cosa | Incidente sicurezza | Violazione dati personali | | Quando | 24h preallarme + 72h notifica | 72h dalla scoperta | | A chi | CSIRT Italia / ACN | Garante Privacy | | Focus | Continuità servizi | Protezione dati personali |
Se l'incidente coinvolge dati personali e servizi critici, dovete notificare entrambe le autorità.
Conclusione
La segnalazione degli incidenti non è solo un obbligo normativo — è un meccanismo che protegge l'intero ecosistema digitale italiano. Preparatevi prima che l'incidente accada, e le 24 ore saranno gestibili.
Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.