L’attuazione del D.Lgs. 138/2024 (Decreto NIS2) e delle determinazioni dell’Agenzia per la Cybersicurezza Nazionale introduce un processo strutturato e cronometrato nella gestione degli incidenti, trasformando questa attività da reattiva a governata. Il Referente CSIRT, obbligatoriamente designato entro il 31 dicembre 2025, diventa il punto di contatto per tutte le comunicazioni con lo CSIRT Italia, assicurando che ogni evento segua una sequenza precisa di notifica e analisi.
Soglia di significatività: quando è obbligatoria la notifica
Non tutte le anomalie informatiche richiedono una segnalazione. L’obbligo di notifica nasce soltanto in presenza di incidenti significativi come stabilito dall’articolo 25 del Decreto NIS2. Un incidente è significativo se soddisfa almeno uno di questi criteri:
- Perturbazione operativa: causa o può causare una grave interruzione dei servizi forniti dall’organizzazione.
- Perdite finanziarie: provoca danni economici rilevanti per la vittima.
- Impatto su terzi: genera ripercussioni importanti, materiali o immateriali, su altre persone fisiche o giuridiche.
La Determinazione ACN n. 164179/2025 individua quattro tipologie principali di “incidenti significativi di base”:
- IS-1 (Perdita di riservatezza): compromissione verso l’esterno di dati digitali dell’organizzazione o di soggetti controllati.
- IS-2 (Perdita di integrità): manomissione dei dati con impatto esterno.
- IS-3 (Violazione dei livelli di servizio): mancato raggiungimento dei service level stabiliti per le attività critiche.
- IS-4 (Abuso di privilegi – Solo per Soggetti Essenziali): accesso non autorizzato o abuso di privilegi su dati digitali di proprietà.
Il Referente CSIRT verifica se l’evento rientra in queste categorie e valuta se supera le soglie previste dall’articolo 25.
Il ciclo di notifica: fasi e tempistiche
Quando viene riconosciuto un incidente significativo, il Referente CSIRT deve eseguire la comunicazione verso lo CSIRT Italia rispettando scadenze precise dal momento della conoscenza dell’evento.
Pre-notifica (entro 24 ore)
- Deve essere inviata entro 24 ore.
- Deve attestare che l’incidente è significativo.
- Indica, se possibile, se l’evento ha natura malevola.
- Valuta la presenza di impatti transfrontalieri.
Notifica completa (entro 72 ore)
- Deve essere trasmessa entro 72 ore (ridotte a 24 per i prestatori di servizi fiduciari).
- Aggiorna le informazioni della pre-notifica.
- Include la valutazione iniziale della gravità e dell’impatto.
- Fornisce gli Indicatori di Compromissione (IoC), se disponibili.
Relazioni intermedie e aggiornamenti
- Su richiesta dello CSIRT Italia, possono essere richieste relazioni intermedie.
- In caso di incidente superiore a un mese, la normativa prevede report mensili di stato fino alla chiusura.
Relazione finale (entro un mese)
- Va prodotta entro 30 giorni dall’invio della notifica completa.
- Descrive dettagliatamente l’incidente e la root cause.
- Analizza la minaccia o vettore d’attacco.
- Riporta le misure di mitigazione adottate e quelle in corso.
- Presenta la valutazione definitiva dell’impatto transfrontaliero.
Notifiche volontarie: valorizzazione dell’informazione
L’articolo 26 della NIS2 promuove le notifiche volontarie. Il Referente CSIRT può segnalare allo CSIRT Italia:
- Incidenti non significativi, ma tecnicamente rilevanti.
- Minacce informatiche, anche se l’attacco non è ancora avvenuto.
- Quasi-incidenti (near-miss): eventi potenzialmente gravi che sono stati intercettati o evitati.
Le notifiche volontarie non comportano oneri aggiuntivi o sanzioni, né pregiudicano chi collabora rispetto a chi non lo fa.
Ruolo operativo del referente csirt
Il Referente CSIRT, designato obbligatoriamente entro il 31 dicembre 2025, è il solo referente operativo per le interlocuzioni con lo CSIRT Italia. Le sue responsabilità sono determinanti durante tutte le fasi:
- Rilevamento: analizza gli allarmi dal SOC o dai fornitori IT per validare se si tratta di incidente significativo.
- Risposta e investigazione: coordina il Team di Incident Response (IRT), che include legali, IT, DPO, comunicazione, garantendo la raccolta e la conservazione delle evidenze senza rischi di alterazione.
- Notifica: invia i dati tramite il portale ACN, verificando la coerenza tra log tecnici e qualificazione giuridica.
- Ripristino e miglioramento: contribuisce al Post-Incident Report, individuando gap nelle procedure e aggiornando i playbook di risposta, per esempio su ransomware o DDoS.
Governance, responsabilità e continuità operativa
La responsabilità giuridica degli obblighi di notifica rimane agli organi di amministrazione e direzione, come previsto dall’articolo 23 del D.Lgs. 138/2024. Il Referente CSIRT svolge una delega esclusivamente operativa e funzionale.
Il mancato rispetto delle tempistiche nella pre-notifica o nella relazione finale espone a sanzioni amministrative e a ispezioni da parte dell’ACN. Per assicurare la continuità operativa anche in caso di indisponibilità del referente, è fortemente raccomandata la nomina di uno o più sostituti con gli stessi poteri tecnici e autorizzativi.
Conclusione
La gestione degli incidenti secondo NIS2 richiede un Referente CSIRT capace di integrare competenze tecniche e precisione procedurale, trasformando l’adempimento normativo in un elemento centrale della resilienza operativa dell’organizzazione.
Vuoi essere conforme al Decreto NIS2?
Con ISGroup puoi ottenere:
- Referente CSIRT e Incident Response Team conforme NIS2
- Gestione strutturata degli incidenti di sicurezza
- Coordinamento con le autorità competenti e obblighi di notifica
- Governance della sicurezza tramite servizio Virtual CISO (vCISO)
Non perderti il meglio della cybersecurity.
Ogni settimana, analisi esperte, attacchi reali e soluzioni concrete: tutto in un’unica newsletter.
Iscriviti alla newsletter Cyber WeeklyFonti principali:
Gazzetta Ufficiale