Le normative, in particolare la legislazione dell’Unione Europea (UE) che stabilisce la Direttiva NIS2, descrivono a chi le entità devono segnalare gli incidenti significativi che si verificano all’interno della loro infrastruttura digitale.
- Le entità classificate come essenziali o importanti sono obbligate a segnalare gli incidenti significativi al loro Computer Security Incident Response Team (CSIRT) designato o, ove appropriato, alla competente autorità nazionale. Questo meccanismo di segnalazione mira a garantire una risposta rapida e coordinata agli incidenti di sicurezza informatica in tutta l’UE.
- La legislazione sottolinea l’importanza della valutazione iniziale effettuata dall’entità interessata per determinare se un incidente sia sufficientemente significativo da giustificare la segnalazione. Tale valutazione dovrebbe tenere conto della criticità dei sistemi coinvolti per l’erogazione dei servizi dell’entità, della gravità e della natura di eventuali minacce informatiche, nonché dell’esperienza pregressa dell’entità con incidenti simili.
- Oltre a segnalare gli incidenti significativi al proprio CSIRT o all’autorità nazionale competente, le entità sono tenute a informare anche i destinatari dei propri servizi qualora l’incidente possa influire negativamente sulla fornitura di tali servizi.
Considerazioni importanti per la segnalazione:
- La legislazione enfatizza un approccio a più fasi per la segnalazione degli incidenti, che prevede l’invio di un’allerta precoce, una notifica formale dell’incidente e un rapporto finale. Questo approccio mira a bilanciare la necessità di una segnalazione tempestiva, per ridurre potenziali impatti diffusi, con la necessità di report dettagliati che facilitino l’apprendimento da singoli incidenti.
- L’allerta precoce deve essere inviata entro 24 ore dal momento in cui si viene a conoscenza di un incidente significativo. Successivamente, è richiesta una notifica formale dell’incidente entro 72 ore. Infine, un rapporto finale deve essere presentato entro un mese dalla notifica iniziale, a meno che l’incidente non sia ancora in corso; in tal caso, è necessario inviare un rapporto di avanzamento e un rapporto finale entro un mese dalla risoluzione dell’incidente. Tuttavia, i fornitori di servizi fiduciari devono segnalare gli incidenti significativi entro 24 ore dal momento in cui ne sono venuti a conoscenza, senza eccezioni.
- Le normative sottolineano inoltre che il semplice atto di segnalare un incidente non espone l’entità segnalante a una maggiore responsabilità legale. Questa disposizione incoraggia la trasparenza e la segnalazione tempestiva degli incidenti di sicurezza informatica senza il timore di ripercussioni.
Nel complesso, la normativa evidenzia il ruolo cruciale della segnalazione nell’instaurare pratiche di sicurezza informatica robuste in tutta l’UE. Definendo chiaramente le linee di segnalazione e sottolineando l’importanza della condivisione tempestiva e completa delle informazioni, la Direttiva NIS2 punta a rafforzare la resilienza informatica collettiva delle entità essenziali e importanti.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.