Sotto la NIS2, un soggetto in ambito che subisce un incidente significativo deve inviare un pre-allarme al CSIRT Italia entro 24 ore dalla scoperta, una notifica completa entro 72 ore e una relazione finale entro un mese. Sono gli obblighi introdotti in Italia dal D.Lgs. 138/2024 e gestiti attraverso la piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). La sfida operativa non è solo rispettare le scadenze, ma capire cosa conta come incidente significativo e come coordinare questa notifica con quella al Garante quando sono coinvolti dati personali.
Questa guida ricostruisce il workflow, le soglie e il doppio binario NIS2-GDPR.
Key Takeaways
- 24 ore: pre-allarme (early warning) al CSIRT Italia dalla scoperta dell’incidente significativo.
- 72 ore: notifica dell’incidente con valutazione iniziale di gravità e impatto.
- 1 mese: relazione finale con analisi delle cause, misure adottate e impatto transfrontaliero.
- Un incidente è significativo se causa grave perturbazione operativa, perdite finanziarie o danni ad altri.
- Se sono coinvolti dati personali, resta dovuta anche la notifica al Garante entro 72 ore ex art. 33 GDPR.
Le tre scadenze in dettaglio
Il modello NIS2 è a tappe: si comunica presto e poco, poi si aggiorna. Questo evita che l’obbligo di notifica rallenti la risposta tecnica all’incidente.
| Fase | Termine | Contenuto |
|---|---|---|
| Pre-allarme (early warning) | Entro 24 ore dalla scoperta | Sospetto di illiceità/malevolenza, possibile impatto transfrontaliero |
| Notifica | Entro 72 ore dalla scoperta | Valutazione iniziale: gravità, impatto, indicatori di compromissione |
| Relazione intermedia | Su richiesta del CSIRT | Aggiornamenti sullo stato |
| Relazione finale | Entro 1 mese dalla notifica | Cause, gravità, misure di mitigazione, impatto transfrontaliero |
Il conteggio parte dalla scoperta dell’incidente, non dal suo verificarsi. Per questo il rilevamento tempestivo — monitoraggio, log, alerting — è il presupposto della conformità: non si può notificare entro 24 ore un incidente che si scopre dopo settimane.
Cos’è un «incidente significativo»
Non ogni anomalia va notificata. La NIS2 richiede la notifica dei soli incidenti significativi, ossia quelli che:
- hanno causato o possono causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto;
- hanno avuto o possono avere ripercussioni su altre persone fisiche o giuridiche, causando danni considerevoli.
Le soglie quantitative di dettaglio sono definite dagli atti di esecuzione europei per alcune categorie (in particolare fornitori digitali) e dalle determinazioni dell’ACN. In pratica il soggetto deve dotarsi di una procedura di classificazione interna che, di fronte a un evento, stabilisca rapidamente se scatta l’obbligo. Questa procedura si integra con le misure di gestione degli incidenti previste dall’art. 21 e descritte nella guida alla NIS2 in Italia e al D.Lgs. 138/2024.
Il doppio binario NIS2-GDPR
È il punto che manda in crisi le organizzazioni. Un attacco ransomware che cifra i sistemi e sottrae dati dei clienti è contemporaneamente un incidente NIS2 e una violazione di dati personali. Scattano due obblighi distinti verso due autorità diverse.
| Profilo | NIS2 (ACN / CSIRT Italia) | GDPR (Garante) |
|---|---|---|
| Oggetto | Sicurezza di reti e sistemi | Dati personali |
| Autorità | ACN – CSIRT Italia | Garante privacy |
| Prima scadenza | Pre-allarme entro 24 ore | Notifica entro 72 ore |
| Soglia | Incidente significativo | Rischio per i diritti degli interessati |
| Base normativa | D.Lgs. 138/2024 | Art. 33 Regolamento (UE) 2016/679 |
I due obblighi non si assorbono: vanno adempiuti entrambi, con tempistiche proprie. La procedura interna deve prevedere una doppia valutazione al momento della scoperta. Il flusso lato GDPR è dettagliato nella guida alla notifica di violazione dei dati al Garante; per il quadro delle differenze tra i due regimi si veda NIS2 vs GDPR. Tenere aggiornato il registro delle violazioni aiuta a documentare entrambe le catene di notifica.
Come prepararsi prima dell’incidente
La notifica si vince prima. Un soggetto in ambito dovrebbe avere pronti:
- Un punto di contatto designato e registrato sulla piattaforma ACN, raggiungibile h24.
- Una procedura di incident response con ruoli, soglie di classificazione e template di notifica precompilati.
- Rilevamento e logging adeguati, per scoprire gli incidenti in tempo utile a rispettare le 24 ore.
- Un registro degli incidenti che documenti valutazioni e comunicazioni.
- Il coordinamento con il DPO per la valutazione parallela ex art. 33: chi ricopre il ruolo trova i riferimenti nei compiti del DPO/RPD.
Legiscope permette di gestire in un unico flusso la classificazione dell’incidente, la doppia notifica NIS2 e GDPR e la relativa documentazione; per un confronto degli strumenti disponibili si può partire dal software per la conformità NIS2.
Cosa scrivere in ciascuna comunicazione
Il contenuto delle tre comunicazioni cresce con l’avanzare dell’analisi. Il pre-allarme è essenziale: basta indicare che si è verificato un incidente potenzialmente significativo, se si sospetta un’azione malevola o illecita e se può avere un impatto transfrontaliero. Non serve — e non ci si aspetta — un’analisi completa a 24 ore dalla scoperta.
La notifica a 72 ore aggiunge la valutazione iniziale di gravità e impatto, gli indicatori di compromissione noti e le prime misure di contenimento adottate. La relazione finale chiude il ciclo con la descrizione dettagliata dell’incidente, le cause profonde, la gravità effettiva, l’impatto sui servizi e sugli utenti e le misure di mitigazione e prevenzione messe in campo. Se l’incidente è ancora in corso al momento della scadenza mensile, si presenta una relazione sullo stato e la relazione finale segue alla chiusura.
Il ruolo del CSIRT Italia
Il CSIRT Italia, incardinato nell’ACN, non è solo il destinatario delle notifiche: fornisce supporto, indicazioni tecniche e, quando opportuno, allerte al resto dell’ecosistema. Notificare tempestivamente non è quindi solo un obbligo, ma anche un canale di assistenza durante la gestione della crisi. Il soggetto che collabora in modo trasparente con il CSIRT si trova in una posizione migliore anche rispetto all’eventuale valutazione sanzionatoria, perché la cooperazione con l’autorità è un elemento considerato nella graduazione delle misure. Mantenere aggiornati recapiti e canali di contatto sulla piattaforma ACN è quindi un presidio operativo, non una formalità: nel momento dell’incidente non c’è tempo per verificare chi debba notificare e con quali credenziali accedere ai sistemi dell’Agenzia.
FAQ
Entro quanto tempo va notificato un incidente NIS2 in Italia?
Il pre-allarme al CSIRT Italia va inviato entro 24 ore dalla scoperta dell’incidente significativo, seguito dalla notifica completa entro 72 ore e dalla relazione finale entro un mese. Il termine decorre dal momento in cui il soggetto viene a conoscenza dell’incidente, non da quando l’incidente si verifica.
Cosa si intende per incidente significativo?
Un incidente è significativo quando ha causato o può causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto, oppure quando produce ripercussioni rilevanti su altre persone fisiche o giuridiche. Le soglie di dettaglio derivano dagli atti di esecuzione UE e dalle determinazioni dell’ACN.
Devo notificare sia all’ACN sia al Garante?
Sì, se l’incidente coinvolge anche dati personali. La notifica NIS2 all’ACN e la notifica di data breach al Garante ex art. 33 GDPR sono obblighi distinti, con autorità e tempistiche proprie, che non si sostituiscono a vicenda. La procedura interna deve prevedere una doppia valutazione al momento della scoperta.
A chi si invia la notifica NIS2?
Al CSIRT Italia, attraverso la piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale. Il soggetto deve aver registrato un punto di contatto in fase di iscrizione ed essere in grado di utilizzare i canali telematici dell’ACN per l’invio del pre-allarme e delle successive comunicazioni.
Vedi anche: un registro delle violazioni per documentare gli incidenti, utile anche ai fini della notifica GDPR; per capire chi è tenuto a notificare, vedi la distinzione tra soggetti essenziali e importanti.
Fonti ufficiali: Agenzia per la Cybersicurezza Nazionale · Direttiva (UE) 2022/2555 (NIS2) su EUR-Lex
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial