La direttiva NIS2 prevede un approccio multi-fase per la segnalazione degli incidenti significativi, ponendo l’accento sia sulla rapidità che sulla completezza.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.Ecco una sintesi delle tempistiche:
1. Allerta Preliminare (Entro 24 Ore)
- Articolo 23, paragrafo 4(a): Le entità devono inviare un’allerta preliminare al proprio CSIRT o all’autorità nazionale competente “senza ritardi ingiustificati, e comunque entro 24 ore” dal momento in cui vengono a conoscenza di un incidente significativo.
- Scopo: L’allerta preliminare serve a informare rapidamente le autorità competenti, anche prima che sia possibile una valutazione completa dell’impatto dell’incidente.
- Contenuto: L’allerta preliminare non richiede molti dettagli, ma dovrebbe, quando applicabile, indicare:
- Attività sospette o dannose: Se si ritiene che l’incidente sia il risultato di un’azione dolosa.
- Impatto transfrontaliero: Se l’incidente potrebbe influenzare persone o organizzazioni in altri Stati membri.
- Richiesta di assistenza: La comunicazione della Commissione sottolinea che l’invio di un’allerta preliminare consente alle entità coinvolte di richiedere assistenza al proprio CSIRT o all’autorità competente, che può includere indicazioni sulle misure di mitigazione o supporto operativo.
2. Notifica dell’Incidente (Entro 72 Ore)
- Articolo 23, paragrafo 4(b): Successivamente all’allerta preliminare, deve essere inviata una notifica più dettagliata dell’incidente “senza ritardi ingiustificati, e comunque entro 72 ore” dal momento in cui si viene a conoscenza dell’incidente.
- Contenuto: La notifica dovrebbe ampliare le informazioni fornite nell’allerta preliminare e includere:
- Informazioni aggiornate: Qualsiasi nuovo dettaglio emerso dall’invio dell’allerta preliminare.
- Valutazione iniziale: Una valutazione preliminare dell’incidente significativo, includendo:
- Gravità: Qual è stato o potrebbe essere l’impatto dell’incidente sull’entità e su terze parti potenzialmente coinvolte?
- Impatto: Quali sono le conseguenze specifiche dell’incidente, in termini di interruzione del servizio e danni potenziali (finanziari, reputazionali, ecc.)?
- Indicatori di Compromissione (IoC): Se disponibili, dettagli tecnici che possano aiutare a identificare la fonte o la natura dell’incidente, come indirizzi IP dannosi o firme di malware.
3. Report Intermedio (Su Richiesta)
- Articolo 23, paragrafo 4(c): Il CSIRT o l’autorità competente può richiedere rapporti intermedi all’entità coinvolta per fornire aggiornamenti sulla situazione.
- Scopo: Questo permette alle autorità di monitorare l’andamento dell’incidente, valutare eventuali rischi emergenti e coordinare le azioni di risposta, se necessario.
4. Rapporto Finale (Entro Un Mese)
- Articolo 23, paragrafo 4(d): Un rapporto finale completo deve essere presentato “entro un mese” dall’invio della notifica iniziale dell’incidente.
- Contenuto: Il rapporto finale dovrebbe includere una descrizione dettagliata dell’incidente, con:
- Descrizione dettagliata: Una spiegazione completa dell’incidente, incluse cause principali, tecniche utilizzate, sistemi interessati e cronologia degli eventi.
- Gravità e Impatto: Un’analisi approfondita dell’impatto dell’incidente, basata sulla valutazione iniziale fornita in precedenza.
- Misure di Mitigazione: Una descrizione delle azioni intraprese per contenere l’incidente, mitigare gli effetti e prevenire futuri eventi simili.
- Impatto Transfrontaliero: Se applicabile, un resoconto dettagliato su come l’incidente ha influenzato o potrebbe influenzare persone o organizzazioni in altri Stati membri.
5. Incidenti in Corso
- Articolo 23, paragrafo 4(e): Se un incidente è ancora in corso quando scade il termine di un mese per il rapporto finale, l’entità deve fornire:
- Rapporto di Progresso: Un aggiornamento sullo stato attuale dell’incidente e le misure di mitigazione in corso.
- Rapporto Finale (Entro un Mese dalla Risoluzione): Una volta risolto l’incidente, il rapporto finale deve essere presentato entro un mese, seguendo la stessa struttura e i requisiti di contenuto descritti in precedenza.
Caso Speciale: Fornitori di Servizi Fiduciari
- Articolo 23, paragrafo 4 (ultimo comma): I fornitori di servizi fiduciari, a causa della natura dei loro servizi, hanno tempistiche di segnalazione più ristrette per gli incidenti significativi che impattano i loro servizi principali. Devono informare il proprio CSIRT o l’autorità competente “senza ritardi ingiustificati, e comunque entro 24 ore” dal momento in cui vengono a conoscenza dell’incidente. Questo allineamento segue le tempistiche per l’allerta preliminare previste per le altre entità.
Punti Chiave:
- Più fasi: Il processo di segnalazione secondo la NIS2 è iterativo, richiedendo alle entità di fornire informazioni in fasi successive, iniziando con un rapido allerta iniziale e concludendo con un rapporto finale completo.
- Focus sulla tempestività: Le scadenze rigorose per la segnalazione sottolineano l’importanza di un’azione pronta in risposta agli incidenti significativi.
- Equilibrio tra rapidità e dettaglio: Mentre le segnalazioni iniziali danno priorità alla velocità, i rapporti successivi pongono maggiore enfasi su un’analisi dettagliata e sulle lezioni apprese.
- Supporto alla cooperazione e alla risposta: I requisiti di segnalazione sono progettati non solo per informare le autorità, ma anche per facilitare la cooperazione, coordinare gli sforzi di risposta e migliorare la postura complessiva di cybersecurity.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.