Quali sono le tempistiche per la segnalazione degli incidenti significativi secondo la NIS2?

La direttiva NIS2 prevede un approccio multi-fase per la segnalazione degli incidenti significativi, ponendo l’accento sia sulla rapidità che sulla completezza. Per le organizzazioni che stanno strutturando il proprio piano di conformità, il servizio di adeguamento alla Direttiva NIS2 di ISGroup supporta l’intero percorso, dalla valutazione iniziale all’implementazione delle misure richieste. Per approfondire il quadro normativo di partenza, è utile chiarire prima qual è l’obiettivo principale della Direttiva NIS2.

Ecco una sintesi delle tempistiche:

1. Allerta Preliminare (Entro 24 Ore)

• Articolo 23, paragrafo 4(a): Le entità devono inviare un’allerta preliminare al proprio CSIRT o all’autorità nazionale competente “senza ritardi ingiustificati, e comunque entro 24 ore” dal momento in cui vengono a conoscenza di un incidente significativo.
• Scopo: L’allerta preliminare serve a informare rapidamente le autorità competenti, anche prima che sia possibile una valutazione completa dell’impatto dell’incidente.
• Contenuto: L’allerta preliminare non richiede molti dettagli, ma dovrebbe, quando applicabile, indicare:
  • Attività sospette o dannose: Se si ritiene che l’incidente sia il risultato di un’azione dolosa.
  • Impatto transfrontaliero: Se l’incidente potrebbe influenzare persone o organizzazioni in altri Stati membri.
• Richiesta di assistenza: La comunicazione della Commissione sottolinea che l’invio di un’allerta preliminare consente alle entità coinvolte di richiedere assistenza al proprio CSIRT o all’autorità competente, che può includere indicazioni sulle misure di mitigazione o supporto operativo. Le modalità di designazione del referente CSIRT per i soggetti NIS sono definite dalla normativa di attuazione italiana.

2. Notifica dell’Incidente (Entro 72 Ore)

• Articolo 23, paragrafo 4(b): Successivamente all’allerta preliminare, deve essere inviata una notifica più dettagliata dell’incidente “senza ritardi ingiustificati, e comunque entro 72 ore” dal momento in cui si viene a conoscenza dell’incidente.
• Contenuto: La notifica dovrebbe ampliare le informazioni fornite nell’allerta preliminare e includere:
  • Informazioni aggiornate: Qualsiasi nuovo dettaglio emerso dall’invio dell’allerta preliminare.
  • Valutazione iniziale: Una valutazione preliminare dell’incidente significativo, includendo:
    • Gravità: Qual è stato o potrebbe essere l’impatto dell’incidente sull’entità e su terze parti potenzialmente coinvolte?
    • Impatto: Quali sono le conseguenze specifiche dell’incidente, in termini di interruzione del servizio e danni potenziali (finanziari, reputazionali, ecc.)?
  • Indicatori di Compromissione (IoC): Se disponibili, dettagli tecnici che possano aiutare a identificare la fonte o la natura dell’incidente, come indirizzi IP dannosi o firme di malware.

3. Report Intermedio (Su Richiesta)

• Articolo 23, paragrafo 4(c): Il CSIRT o l’autorità competente può richiedere rapporti intermedi all’entità coinvolta per fornire aggiornamenti sulla situazione.
• Scopo: Questo permette alle autorità di monitorare l’andamento dell’incidente, valutare eventuali rischi emergenti e coordinare le azioni di risposta, se necessario.

4. Rapporto Finale (Entro Un Mese)

• Articolo 23, paragrafo 4(d): Un rapporto finale completo deve essere presentato “entro un mese” dall’invio della notifica iniziale dell’incidente.
• Contenuto: Il rapporto finale dovrebbe includere una descrizione dettagliata dell’incidente, con:
  • Descrizione dettagliata: Una spiegazione completa dell’incidente, incluse cause principali, tecniche utilizzate, sistemi interessati e cronologia degli eventi.
  • Gravità e Impatto: Un’analisi approfondita dell’impatto dell’incidente, basata sulla valutazione iniziale fornita in precedenza.
  • Misure di Mitigazione: Una descrizione delle azioni intraprese per contenere l’incidente, mitigare gli effetti e prevenire futuri eventi simili.
  • Impatto Transfrontaliero: Se applicabile, un resoconto dettagliato su come l’incidente ha influenzato o potrebbe influenzare persone o organizzazioni in altri Stati membri.

5. Incidenti in Corso

• Articolo 23, paragrafo 4(e): Se un incidente è ancora in corso quando scade il termine di un mese per il rapporto finale, l’entità deve fornire:
  • Rapporto di Progresso: Un aggiornamento sullo stato attuale dell’incidente e le misure di mitigazione in corso.
  • Rapporto Finale (Entro un Mese dalla Risoluzione): Una volta risolto l’incidente, il rapporto finale deve essere presentato entro un mese, seguendo la stessa struttura e i requisiti di contenuto descritti in precedenza.

Caso Speciale: Fornitori di Servizi Fiduciari

• Articolo 23, paragrafo 4 (ultimo comma): I fornitori di servizi fiduciari, a causa della natura dei loro servizi, hanno tempistiche di segnalazione più ristrette per gli incidenti significativi che impattano i loro servizi principali. Devono informare il proprio CSIRT o l’autorità competente “senza ritardi ingiustificati, e comunque entro 24 ore” dal momento in cui vengono a conoscenza dell’incidente. Questo allineamento segue le tempistiche per l’allerta preliminare previste per le altre entità.

Punti Chiave:

• Più fasi: Il processo di segnalazione secondo la NIS2 è iterativo, richiedendo alle entità di fornire informazioni in fasi successive, iniziando con un rapido allerta iniziale e concludendo con un rapporto finale completo.
• Focus sulla tempestività: Le scadenze rigorose per la segnalazione sottolineano l’importanza di un’azione pronta in risposta agli incidenti significativi.
• Equilibrio tra rapidità e dettaglio: Mentre le segnalazioni iniziali danno priorità alla velocità, i rapporti successivi pongono maggiore enfasi su un’analisi dettagliata e sulle lezioni apprese.
• Supporto alla cooperazione e alla risposta: I requisiti di segnalazione sono progettati non solo per informare le autorità, ma anche per facilitare la cooperazione, coordinare gli sforzi di risposta e migliorare la postura complessiva di cybersecurity. Il testo integrale degli obblighi è consultabile nel documento ufficiale della Direttiva NIS2.