La direttiva NIS2 (Direttiva UE 2022/2555) impone alle organizzazioni essenziali e importanti nuovi obblighi stringenti in materia di gestione degli incidenti di sicurezza informatica.
In particolare, dal 1° gennaio 2026 le aziende rientranti nel campo di applicazione NIS2 dovranno notificare all’ACN (Agenzia per la Cybersicurezza Nazionale) gli incidenti informatici significativi entro tempi molto rapidi. Ciò richiede un approccio strutturato alla gestione degli incidenti informatici, con processi chiari che coinvolgano sia il team tecnico sia il top management sin dalle fasi iniziali.
In questo articolo vediamo quali sono le misure chiave da adottare per essere conformi e come una piattaforma ITSM come HDA ITSM può supportare questo percorso.
Incident handling: preparazione e processi chiave
Una efficace NIS2 incident response richiede un ecosistema integrato di procedure organizzative e processi di governance chiari per il rilevamento, la gestione e la notifica degli incidenti di sicurezza.
Le linee guida tecniche ENISA/ACN suddividono questo pilastro in diverse componenti, ciascuna delle quali va adeguatamente pianificata e formalizzata:
- Politica di gestione degli incidenti
Definisce ruoli e responsabilità e le modalità di classificazione degli eventi. È fondamentale prevedere un sistema di categorizzazione coerente degli eventi di sicurezza (per distinguere ad esempio tra incident minori e incident significativi) e piani di comunicazione ed escalation efficaci.
Il personale deve sapere a chi segnalare un evento anomalo e come attivare la risposta; la politica va approvata dal top management e comunicata a tutti i dipendenti interessati.
- Monitoraggio e logging
Occorre disporre di strumenti e procedure di monitoraggio continuo dei sistemi e di registrazione dei log degli eventi. L’uso di sistemi SIEM con funzioni di correlazione e alerting automatizzato aiuta a individuare tempestivamente incidenti, riducendo falsi positivi/negativi.
Tutti i log devono avere timestamp sincronizzati tra loro per poter correlare gli eventi e vanno protetti da manomissioni o accessi non autorizzati.
- Meccanismi di segnalazione interna
È importante definire canali semplici e chiari attraverso cui dipendenti, fornitori e anche clienti possano segnalare prontamente eventi di sicurezza sospetti. Ciò può includere una casella email dedicata, un form sul portale o un numero di emergenza interno.
Questi meccanismi vanno comunicati periodicamente e il personale va formato sul loro utilizzo corretto.
- Valutazione e classificazione degli eventi
Non tutti gli eventi diventano incidenti. Occorre definire criteri predefiniti per stabilire quando un evento sospetto costituisce un incidente reale. Un processo di triage deve valutare impatto e urgenza, correlando informazioni da più sistemi.
Ad esempio, un singolo alert antivirus potrebbe essere classificato come incidente solo se associato ad altre evidenze (es. traffico anomalo correlato nei log).
È prevista la riclassificazione continua man mano che emergono nuove informazioni.
- Risposta agli incidenti
È il cuore dell’incident management e deve poggiare su procedure documentate per il contenimento, l’eradicazione della minaccia e il ripristino dei sistemi colpiti.
Ogni incidente significativo richiede la notifica all’ACN/CSIRT Italia (vedi sezione successiva) e possibili comunicazioni ad altre autorità o soggetti terzi in base a normative di settore.
Durante la risposta, tutte le attività devono essere registrate e tracciate, raccogliendo evidenze forensi dell’accaduto. È importante avere pronti dei playbook per i vari scenari (es. malware, data breach, DoS) in modo da reagire in modo strutturato e rapido.
- Post-incident review
Dopo la gestione di un incidente grave, NIS2 richiede di condurre un’analisi post-incident per identificare le cause root e le eventuali carenze nei controlli di sicurezza. Le Lesson Learned devono essere documentate e tradotte in azioni correttive (es. migliorare una procedura, applicare patch, rafforzare la formazione al personale) per ridurre la probabilità di incidenti futuri.
Questo approccio di miglioramento continuo è fondamentale per aumentare la resilienza nel tempo.
Obbligo di notifica rapida all’ACN e coordinamento con il CSIRT
Oltre alla gestione operativa interna, NIS2 introduce un rigoroso obbligo di notifica degli incidenti informatici significativi.
In Italia, gli enti dovranno segnalare gli incidenti al CSIRT Italia (tramite la piattaforma ACN) rispettando tre step temporali:
- Entro 24 ore dalla scoperta dell’incidente: invio di una prenotifica preliminare (early warning) contenente le informazioni iniziali sull’incidente (anche se incomplete). Questo serve ad allertare subito le autorità che qualcosa di grave è accaduto.
- Entro 72 ore: invio della notifica dettagliata iniziale, con una prima valutazione degli impatti, della natura dell’attacco, degli indicatori IoC raccolti e delle misure di mitigazione attuate. Questa notifica più completa permette all’ACN/CSIRT di attivarsi per supporto o allerta ad altri enti se necessario.
- Entro 1 mese: invio del rapporto finale (final assessment) contenente l’analisi definitiva dell’incidente, le cause individuate, i dati completi sugli impatti (es. asset impattati, numero di utenti coinvolti, dati esfiltrati, danni economici) e le azioni correttive intraprese.
Il rispetto di queste tempistiche è cruciale: ritardi o omissioni nelle notifiche possono esporre l’ente a sanzioni amministrative pesanti (fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali). Inoltre, la normativa prevede sanzioni personali per i dirigenti in caso di negligenza grave, come la sospensione temporanea da incarichi manageriali.
È fondamentale stabilire a priori chi (ruoli e nominativi) sarà il punto di contatto con ACN per le notifiche e come verrà gestito il flusso informativo verso l’esterno. Spesso il CISO o un membro del team di sicurezza viene designato a interfacciarsi col CSIRT. Un’efficace collaborazione con il CSIRT nazionale può facilitare la gestione dell’incidente, ad esempio ricevendo indicatori di compromissione aggiuntivi o supporto tecnico.
Dal punto di vista operativo, assicurarsi la conformità a questi obblighi richiede soluzioni applicative di ticketing e monitoring. Una piattaforma di IT Service Management come HDA ITSM consente di gestire l’intero ciclo di vita degli incident: dalla segnalazione iniziale (anche automatizzata grazie a integrazioni con sistemi di monitoraggio) alla chiusura dell’incident e produzione del report finale.
Attraverso workflow configurabili, è possibile impostare alert automatici sulle scadenze per inviare le notifiche entro i termini di legge e mantenere uno storico dettagliato di tutte le azioni svolte e comunicazioni inviate. Questo facilita anche eventuali audit da parte delle autorità, potendo dimostrare con evidenze l’aderenza alle procedure.
Preparazione organizzativa e formazione del personale
Un altro aspetto cruciale è la preparazione proattiva dell’organizzazione. NIS2 richiede che le aziende approvino formalmente un piano di risposta agli incidenti entro aprile 2026, assieme ad altre policy di sicurezza.
Ciò significa che devono esistere documenti ufficiali (ad esempio una Incident Response Plan e una Incident Management Policy) validati dalla direzione aziendale. Questi documenti dovrebbero definire nel dettaglio gli step sopra descritti, i team di risposta (es. Computer Security Incident Response Team interno), le comunicazioni interne/esterne e così via.
È inoltre importante investire in formazione periodica: tutto il personale deve comprendere l’importanza di segnalare prontamente attività sospette e conoscere le basi della sicurezza (cyber awareness). In molti casi gli attacchi informatici hanno successo per disattenzione o mancata conoscenza delle minacce da parte degli utenti.
La direttiva NIS2 sottolinea infatti che la sicurezza informatica è una responsabilità condivisa a tutti i livelli. Organizzare simulazioni di incidente (table-top exercise) aiuterà i team a familiarizzare con le procedure di crisi, così che in caso di reale necessità sapranno agire con tempestività e coordinamento.
FAQ - Domande Frequenti
1) Chi rientra e da quando scattano gli obblighi NIS2?
- Dal 1° gennaio 2026, i soggetti essenziali e importanti devono notificare gli incidenti significativi ad ACN/CSIRT;
- Entro aprile 2026 devono avere Incident Response Plan e Incident Management Policy approvati dal top management;
- Dal 1° ottobre 2026, le aziende devono aver implementato tutte le misure di sicurezza avanzate previste dalla direttiva
2) Quali sono i tempi di notifica verso ACN/CSIRT Italia?
24 ore: early warning preliminare, 72 ore: notifica iniziale dettagliata, 1 mese: rapporto finale.
3) Quali sono le sanzioni NIS2?
Ritardi e omissioni possono comportare sanzioni fino a 10 M€ o 2% del fatturato globale (oltre a possibili responsabilità dei dirigenti).
I prossimi step del percorso
La gestione degli incidenti di sicurezza è uno dei pilastri fondamentali su cui le organizzazioni devono concentrarsi per la conformità NIS2. Non si tratta solo di evitare sanzioni, ma soprattutto di proteggere il proprio business in un contesto di minacce crescenti e sempre più sofisticate.
Implementare processi di incident management consistenti ed efficaci significa ridurre al minimo l’impatto di eventuali attacchi e imparare dagli incidenti per prevenire i successivi, nella logica del Lesson Learned.
Per supportare le aziende in questo percorso, soluzioni come HDA ITSM di Pat integrano in un’unica piattaforma tutti i processi necessari a gestire gli incidenti e gli altri aspetti chiave dell’IT Service Management. HDA ITSM consente di avere sotto controllo l’intero ciclo di vita degli incidenti, dall’invio di alert automatici alla generazione di report, facilitando la conformità ai requisiti NIS2 in modo concreto.
Per approfondire come ottimizzare la gestione degli incidenti e gli altri requisiti NIS2 con un approccio ITSM integrato, scarica l’ebook gratuito "HDA ITSM per facilitare la conformità NIS2". Scoprirai linee guida operative e consigli pratici per affrontare al meglio la sfida della compliance NIS2 sfruttando processi e strumenti ITSM avanzati.
