Notifica incidenti NIS2: 24 ore, 72 ore, report e processo operativo

Risposta rapida

• La notifica incidenti NIS2 richiede un processo già pronto: rilevazione, triage, classificazione, escalation, early warning, notifica successiva, aggiornamenti, report finale ed evidenze.
• Le 24 ore e le 72 ore non sono solo timer: sono la prova che l’organizzazione sa riconoscere e gestire un incidente significativo.
• Il processo deve coordinarsi con GDPR quando ci sono dati personali e con DORA quando il soggetto rientra nel settore finanziario o nei servizi ICT collegati.
• GAPOFF Incident Management può supportare timer, workflow, template, timeline e audit trail.

Perché la notifica non si improvvisa

Un incidente cyber crea pressione: sistemi indisponibili, clienti che chiamano, fornitori da coinvolgere, direzione che chiede risposte, tecnici che cercano cause, legali e DPO che valutano impatti. In questo contesto, pretendere di costruire la procedura di notifica da zero è irrealistico.

La NIS2 richiede che l’organizzazione sia pronta prima. La notifica è solo la parte visibile di un processo più ampio: capacità di rilevare, qualificare, documentare, contenere, comunicare e correggere.

Le fasi del processo

Un processo operativo dovrebbe distinguere almeno cinque fasi:

| Fase | Obiettivo | Output | |---|---|---| | Rilevazione | identificare evento o anomalia | alert, ticket, segnalazione | | Triage | capire gravità e ambito iniziale | classificazione preliminare | | Early warning | attivare comunicazione rapida | pre-notifica e prime evidenze | | Notifica completa | fornire quadro aggiornato | notifica strutturata entro termini | | Chiusura/post-mortem | correggere e documentare | report finale, lesson learned, remediation |

L’articolo Early warning NIS2 approfondisce la prima comunicazione; Notifica completa NIS2 entro 72 ore e Report finale incidente NIS2 completano il cluster.

Cosa deve succedere nelle prime 24 ore

Le prime 24 ore sono decisive. L’obiettivo non è sapere tutto, ma sapere abbastanza per attivare il processo corretto.

L’organizzazione dovrebbe:

1. registrare data e ora della rilevazione;
2. identificare fonte della segnalazione;
3. aprire un ticket/incidente formale;
4. attivare referenti IT, security, compliance e direzione;
5. valutare se l’evento può essere significativo;
6. raccogliere prime evidenze tecniche;
7. avviare misure di contenimento;
8. valutare eventuale impatto su dati personali;
9. verificare fornitori coinvolti;
10. decidere se procedere con early warning.

Se queste informazioni restano in telefonate, chat o email non tracciate, l’azienda perde una parte essenziale dell’audit trail.

Cosa serve per la notifica entro 72 ore

La notifica più completa dovrebbe avere un quadro più strutturato:

• descrizione dell’incidente;
• sistemi o servizi coinvolti;
• impatto operativo;
• impatto su utenti, clienti o fornitori;
• misure di contenimento;
• stato di ripristino;
• indicatori tecnici disponibili;
• decisioni prese;
• soggetti interni coinvolti;
• eventuali aggiornamenti previsti.

Non sempre la causa radice è già nota entro 72 ore. L’importante è documentare cosa si sa, cosa non si sa, cosa è stato fatto e cosa si farà.

Coordinamento con GDPR

Se l’incidente coinvolge dati personali, occorre valutare anche il GDPR. Un data breach può richiedere notifica al Garante entro 72 ore dalla conoscenza, oltre ad eventuale comunicazione agli interessati nei casi previsti. Questo non coincide automaticamente con la NIS2, ma i due processi devono parlarsi.

Un sistema maturo dovrebbe evitare due registri separati e incoerenti. Meglio avere un unico incidente con viste diverse: NIS2, GDPR, DORA se applicabile, business continuity e fornitore coinvolto.

Coordinamento con DORA

Per soggetti finanziari o fornitori ICT rilevanti, il Regolamento DORA introduce obblighi specifici sugli incidenti ICT. Questo rende importante avere un processo capace di classificare l’incidente rispetto a più framework. Un’unica timeline dovrebbe alimentare report diversi senza duplicare informazioni.

Evidenze da conservare

Un fascicolo incidente dovrebbe includere:

• timeline completa;
• log tecnici;
• screenshot e report strumenti;
• ticket interni;
• comunicazioni rilevanti;
• decisioni e approvazioni;
• misure di contenimento;
• analisi forense se disponibile;
• relazione impatto;
• eventuali notifiche;
• report finale;
• remediation e lesson learned.

Le evidenze devono essere ordinate, accessibili e protette. Non devono essere disperse in cartelle personali.

Come GAPOFF aiuta

La pagina GAPOFF Incident Management presenta timer normativi per GDPR, NIS2 e DORA, workflow guidati, notifiche precompilate, timeline e audit trail. Collegando Incident Management al modulo NIS2, l’azienda può gestire early warning, notifica, report e remediation senza frammentare il processo.

Checklist operativa

• Definire criteri per incidente significativo.
• Creare matrice di escalation.
• Predisporre template early warning e notifica completa.
• Configurare timer 24h e 72h.
• Collegare incidenti a asset, fornitori e servizi critici.
• Integrare GDPR e DORA quando applicabili.
• Conservare evidenze e timeline.
• Fare post-mortem e remediation.

Errori comuni

• Aspettare certezza assoluta prima di attivare il processo. Nelle prime ore serve una qualificazione ragionevole, non un’indagine conclusa.
• Non registrare la timeline. Senza timeline è difficile dimostrare diligenza.
• Tenere GDPR e NIS2 separati. Può creare incoerenze su date, impatti e decisioni.
• Non coinvolgere fornitori. Molti incidenti dipendono da servizi esterni.
• Non chiudere con remediation. Un incidente senza lesson learned è un’occasione persa.

FAQ

La pre-notifica NIS2 deve contenere tutti i dettagli?

No. Nelle prime ore spesso non sono disponibili tutte le informazioni. Deve però attivare un processo documentato e fornire gli elementi essenziali disponibili.

La notifica entro 72 ore è sempre definitiva?

No. Può essere aggiornata. L’importante è trasmettere un quadro strutturato e continuare a documentare evoluzione, impatti e misure.

Se l’incidente coinvolge dati personali cosa succede?

Occorre valutare anche il GDPR e l’eventuale data breach. Il processo deve coordinare NIS2 e privacy.

GAPOFF può inviare automaticamente notifiche ufficiali?

GAPOFF può supportare workflow, template, timer e audit trail. La decisione e l’invio ufficiale devono essere governati dall’organizzazione secondo le procedure e le fonti applicabili.

Fonti ufficiali e riferimenti

• ACN - Portale NIS
• ACN - Misure di sicurezza e notifica incidenti
• Direttiva (UE) 2022/2555 - EUR-Lex
• D.Lgs. 138/2024 - Gazzetta Ufficiale
• GDPR - Regolamento (UE) 2016/679
• DORA - Regolamento (UE) 2022/2554
• GAPOFF - Incident Management

Disclaimer legale

Contenuto informativo generale. Non costituisce consulenza legale, tecnica o parere su notifiche obbligatorie. La qualificazione e comunicazione degli incidenti deve essere valutata caso per caso con professionisti qualificati e fonti ufficiali aggiornate.

FAQ

La pre-notifica NIS2 deve contenere tutti i dettagli?

No. Nelle prime ore spesso non sono disponibili tutte le informazioni. Deve però attivare un processo documentato e fornire gli elementi essenziali disponibili.

La notifica entro 72 ore è sempre definitiva?

No. Può essere aggiornata. L’importante è trasmettere un quadro strutturato e continuare a documentare evoluzione, impatti e misure.

Se l’incidente coinvolge dati personali cosa succede?

Occorre valutare anche il GDPR e l’eventuale data breach. Il processo deve coordinare NIS2 e privacy.

GAPOFF può inviare automaticamente notifiche ufficiali?

GAPOFF può supportare workflow, template, timer e audit trail. La decisione e l’invio ufficiale devono essere governati dall’organizzazione secondo le procedure e le fonti applicabili.