La Direttiva NIS2 stabilisce informazioni specifiche che devono essere incluse in una notifica preliminare di un incidente significativo. L’Articolo 23, Paragrafo 4(a) afferma che le entità devono inviare una notifica preliminare al proprio CSIRT (Computer Security Incident Response Team) o all’autorità nazionale competente “senza ritardi ingiustificati e, in ogni caso, entro 24 ore” dal momento in cui vengono a conoscenza di un incidente significativo.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.Questa notifica preliminare deve includere, ove applicabile:
- Sospetto di attività illecita o malevola: Se l’entità sospetta che l’incidente sia stato causato da azioni illegali o malevole, questo deve essere chiaramente indicato nella notifica preliminare.
- Potenziale impatto transfrontaliero: L’entità deve specificare se l’incidente potrebbe influenzare persone o organizzazioni in altri Stati membri dell’UE.
Considerazioni sull’obiettivo della notifica preliminare
Le fonti evidenziano che l’obiettivo principale di una notifica preliminare è quello di fornire un rapido avviso alle autorità competenti. Pertanto, sebbene la rapidità sia fondamentale, in questa fase non è necessario includere dettagli approfonditi sull’incidente. L’attenzione deve essere posta sul segnalare rapidamente l’incidente e indicare le potenziali aree di preoccupazione (come attività criminali o effetti transfrontalieri).
Informazioni aggiuntive per facilitare l’assistenza
Anche se non esplicitamente richiesto dall’Articolo 23, Paragrafo 4(a), la Comunicazione della Commissione chiarisce che l’invio di una notifica preliminare consente alle entità colpite di richiedere assistenza al proprio CSIRT o all’autorità competente. Per facilitare questa assistenza, è consigliabile includere nella notifica preliminare le seguenti informazioni, anche se non strettamente obbligatorie:
- Breve descrizione dell’incidente: Fornire una panoramica concisa di quanto accaduto può aiutare il CSIRT o l’autorità a comprendere rapidamente la natura della situazione.
- Valutazione iniziale dell’impatto: Se possibile, è utile fornire una valutazione preliminare della gravità e del potenziale impatto dell’incidente, ma non è previsto un’analisi dettagliata in questa fase.
- Assistenza specifica richiesta: Indicando chiaramente il tipo di assistenza di cui l’entità ha bisogno (ad esempio, indicazioni sulle misure di mitigazione o supporto operativo) il CSIRT o l’autorità potranno rispondere in modo più efficace.
Includendo queste informazioni aggiuntive, anche in un formato sintetico, le entità possono ottimizzare il processo di notifica preliminare e abilitare un supporto più efficace da parte delle autorità di cybersecurity designate.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.