Cosa si intende per incidente significativo, come deve essere gestito e quali obblighi di notifica prevede la normativa
Introduzione
La Direttiva NIS2 e il d.lgs. 138/2024 introducono un sistema strutturato per la gestione e la notifica degli incidenti significativi, ovvero quegli eventi di sicurezza informatica che hanno impatti rilevanti sulla continuità dei servizi essenziali.
La gestione degli incidenti è uno degli obblighi più delicati del nuovo quadro normativo, poiché coinvolge aspetti organizzativi, tecnici, di governance e di responsabilità degli Organi Direttivi.
Il soggetto designato deve garantire tempestività, completezza e tracciabilità delle comunicazioni verso lo CSIRT Italia e ASL/Autorità di settore quando previsto.
Che cosa si intende per “incidente significativo”
Un incidente è considerato significativo quando:
- compromette o potrebbe compromettere la continuità di un servizio essenziale;
- causa gravi danni economici, operativi o reputazionali;
- comporta la perdita di disponibilità, integrità o riservatezza dei dati e dei sistemi;
- impatta sulla sicurezza o sul funzionamento di infrastrutture critiche;
- supera le soglie e i criteri definiti da ACN negli atti attuativi.
I criteri precisi sono oggetto di determinazioni ACN e possono includere: impatto sulla disponibilità, durata dell’interruzione, estensione geografica, numero di utenti coinvolti, gravità tecnica.
Le fasi della notifica di un incidente significativo (preallarme, notifica, relazione)
Il modello di notifica previsto da NIS2 si articola in tre momenti:
- Preallarme
Da inviare entro 24 ore dalla rilevazione dell’incidente o dell’evento potenzialmente rilevante.
Contenuti essenziali:
- sintesi dell’accaduto;
- impatto potenziale;
- prime misure adottate;
- indicazioni su possibili evoluzioni.
- Notifica iniziale
Da inviare entro 72 ore.
Contenuti:
- valutazione dell’impatto;
- cause probabili;
- sistemi e servizi coinvolti;
- eventuali effetti su terzi;
- stato delle azioni correttive.
- Relazione finale
Da inviare entro i tempi stabiliti da ACN, una volta conclusa la gestione.
Contenuti:
- descrizione completa dell’incidente;
- cause radicate;
- misure adottate;
- azioni preventive future;
- eventuali responsabilità esterne.
Il ruolo del CSIRT Italia
Il CSIRT Italia:
- riceve le notifiche di preallarme, notifica e relazione finale;
- fornisce indicazioni operative;
- coordina le attività di risposta;
- può richiedere informazioni aggiuntive;
- informa le Autorità competenti quando necessario.
Il Referente CSIRT, figura obbligatoria introdotta da ACN, è responsabile dell’interlocuzione con il CSIRT Italia.
Come preparare l’organizzazione alla gestione degli incidenti
Per garantire conformità e tempestività è necessario predisporre:
- procedure interne chiare, aggiornate e formalizzate;
- un flusso operativo che definisca ruoli, responsabilità e passaggi;
- un registro degli incidenti;
- un gruppo interno di risposta (IRT) o un partner esterno;
- strumenti di monitoraggio e rilevazione;
- capacità di logging e audit;
- misure di coordinamento con la supply chain.
È importante che tutto il personale coinvolto sia adeguatamente formato.
Errori comuni da evitare
Tra gli errori più frequenti:
- valutare troppo tardi la rilevanza dell’incidente;
- comunicare informazioni incomplete o tardive;
- mancanza di tracce documentali;
- non nominare il Referente CSIRT entro le scadenze;
- non avere procedure interne aggiornate;
- non coordinare la comunicazione con la dirigenza.
Come iSimply può supportare la gestione degli incidenti NIS
Il nostro supporto include:
- predisposizione delle procedure interne di gestione incidenti;
- definizione dei flussi di escalation;
- formazione del personale coinvolto;
- supporto al Referente CSIRT;
- assistenza nella compilazione delle notifiche;
- supporto in caso di incidenti reali;
- predisposizione della relazione finale.
Hai bisogno di supporto per strutturare la gestione degli incidenti significativi o per assistere il tuo Referente CSIRT?
Contattaci per un confronto operativo
Tel 0125 1899500