Quali sono i requisiti minimi per la segnalazione degli incidenti secondo la Direttiva NIS2?

NIS2 Frequently Asked Questions

La Direttiva NIS2 delinea un approccio a più fasi per la segnalazione degli incidenti da parte delle entità designate come “essenziali” o “importanti”, richiedendo loro di fornire informazioni tempestive e complete alle autorità competenti.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

Ecco i requisiti minimi:

1. Allerta Preliminare (Entro 24 Ore)

Attivazione: Un’entità essenziale o importante deve inviare un’allerta preliminare al proprio Computer Security Incident Response Team (CSIRT) nazionale o all’autorità nazionale competente “senza indebito ritardo, e in ogni caso entro 24 ore” dal momento in cui diventa consapevole di un “incidente significativo”.

Contenuto:

  • Questa allerta preliminare dovrebbe, “ove applicabile”, indicare se l’incidente:
    • È sospettato di essere il risultato di atti illegali o malevoli, oppure
    • Potrebbe avere un impatto transfrontaliero.
  • Secondo il Considerando 102, l’allerta preliminare dovrebbe contenere solo le informazioni necessarie per informare il CSIRT o l’autorità competente che si è verificato o è in corso un incidente significativo.
  • Scopo:
  • Consentire alle autorità una rapida valutazione della situazione.
  • Fornire all’entità interessata l’opportunità di richiedere assistenza, orientamento o consigli operativi sull’implementazione di misure di mitigazione.

2. Notifica dell’Incidente (Entro 72 Ore)

Attivazione: Successivamente all’allerta preliminare, l’entità deve inviare una notifica più dettagliata dell’incidente.

Tempistica: Questa notifica deve essere inviata “senza indebito ritardo, e in ogni caso entro 72 ore” dal momento in cui l’entità diventa consapevole dell’incidente significativo.

Contenuto:

  • Questa notifica dovrebbe, “ove applicabile”, aggiornare le informazioni fornite nell’allerta preliminare.
  • Dovrebbe includere anche una valutazione iniziale dell’incidente, tra cui:
    • La sua gravità,
    • Il suo impatto, e
    • Dove disponibili, gli indicatori di compromissione.

3. Rapporto Finale (Entro Un Mese)

Attivazione: La fase finale della segnalazione degli incidenti è la presentazione di un rapporto finale completo.

Tempistica: Questo rapporto deve essere inviato “entro un mese” dalla trasmissione della notifica dell’incidente.

Contenuto: Il rapporto finale deve includere:

  • Una descrizione dettagliata dell’incidente, compresa la sua gravità e il suo impatto,
  • Il tipo di minaccia o la causa radice che probabilmente ha scatenato l’incidente,
  • Le misure di mitigazione adottate e in corso, e
  • Ove applicabile, l’impatto transfrontaliero dell’incidente.

Incidenti in Corso: Se l’incidente è ancora in corso quando il rapporto finale è dovuto, l’entità deve:

  • Fornire un rapporto di avanzamento in quel momento, e
  • Presentare un rapporto finale entro un mese dalla risoluzione dell’incidente.

4. Requisiti Aggiuntivi e Considerazioni

Incidente Significativo: I requisiti di segnalazione sono attivati da “incidenti significativi”. Un incidente è considerato significativo se soddisfa uno dei seguenti criteri:

  • Ha causato o è in grado di causare una interruzione sostanziale nella fornitura dei servizi dell’entità o una perdita finanziaria per l’entità, oppure
  • Ha avuto o è in grado di avere un impatto sostanziale su altre persone fisiche o giuridiche, risultando in danni materiali o immateriali considerevoli.

Divulgazione delle Vulnerabilità: La Direttiva NIS2 introduce un processo di divulgazione coordinata delle vulnerabilità attraverso un CSIRT designato, facilitando la comunicazione tra coloro che scoprono vulnerabilità e i fornitori di prodotti/servizi ICT interessati. Questo processo mira ad affrontare tempestivamente le vulnerabilità e a minimizzare il loro potenziale impatto.

Condivisione delle Informazioni: Le entità essenziali e importanti sono incoraggiate a stabilire accordi per la condivisione di informazioni sulla cibersicurezza, inclusi minacce, incidenti e migliori pratiche, per promuovere un approccio più proattivo e collaborativo alla cibersicurezza.

I requisiti di segnalazione degli incidenti della Direttiva NIS2 enfatizzano un approccio proattivo e multilivello alla condivisione delle informazioni e alla risposta agli incidenti. Fornendo rapporti tempestivi e completi alle autorità, le organizzazioni contribuiscono a una postura di cibersicurezza più robusta in tutta l’UE.

Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.

In