Dal 1° gennaio 2026, l’obbligo di notifica degli incidenti significativi allo CSIRT Italia è pienamente operativo per tutti i soggetti NIS2 e per le pubbliche amministrazioni rientranti nell’ambito del Codice dell’Amministrazione Digitale (CAD).
Le Linee Guida dell’Agenzia per la Cybersicurezza Nazionale (ACN) forniscono un framework strutturato — articolato nelle fasi di Preparazione, Rilevamento, Risposta, Ripristino e Miglioramento — che rappresenta oggi il riferimento operativo imprescindibile per costruire un sistema di incident response conforme.
Il quadro normativo di riferimento
Il recepimento della Direttiva NIS2 con il D.Lgs. 138/2024 ha ridisegnato profondamente gli obblighi di sicurezza cibernetica per soggetti essenziali e importanti, introducendo un regime di notifica degli incidenti a carattere obbligatorio e vincolato a scadenze precise.
La Legge 90/2024 ha ulteriormente rafforzato il quadro nazionale, estendendo gli obblighi anche a soggetti non direttamente inclusi nel perimetro NIS2.
Le organizzazioni prive di un piano di gestione degli incidenti formalizzato si trovano oggi in una condizione di inadempimento normativo che espone i propri vertici a responsabilità dirette.
Il modello in cinque fasi delle Linee Guida ACN
Le Linee Guida ACN adottano un ciclo di vita strutturato in cinque fasi principali:
Preparazione
Definizione di politiche, ruoli (matrice RACI), strumenti di monitoraggio, backup e template di comunicazione. È la fase più strategica: va completata prima che un incidente si verifichi.
Rilevamento
Monitoraggio proattivo (Threat Hunting) e reattivo tramite SIEM, EDR e IDS/IPS; triage degli eventi per distinguere falsi positivi da incidenti reali; dichiarazione formale dell’incidente, momento da cui decorrono i termini di notifica.
Risposta
Articolata in investigazione forense (kill chain, IOC, timeline), notifica multilivello alle autorità, contenimento (isolamento sistemi e blocco accessi) ed eradicazione (rimozione malware, reset credenziali, patching).
Ripristino
Reinstallazione da golden/clean image, ricollegamento in rete e monitoraggio intensivo per verificare l’assenza di recidive. Le priorità devono essere definite preventivamente sulla base del Business Impact Analysis.
Miglioramento
Lesson learned strutturate, aggiornamento delle procedure, misurazione dei KPI (MTTD e MTTR) ed esercitazioni periodiche. È la fase più spesso trascurata, ma è essenziale per la maturità operativa.
Gli obblighi di notifica: tempistiche e autorità
La notifica allo CSIRT Italia è articolata su tre livelli:
- Pre-notifica entro 24 ore dalla scoperta dell’incidente;
- Notifica completa entro 72 ore;
- Relazione finale entro un mese.
Quando l’incidente comporta anche una violazione di dati personali, si attivano in parallelo gli obblighi GDPR:
- notifica al Garante Privacy entro 72 ore;
- comunicazione agli interessati, se il rischio è elevato.
Il DPO deve essere coinvolto sin dalle prime fasi e disporre di canali di comunicazione diretta con i vertici aziendali.
Per i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC) i termini sono ancora più stringenti: 6 ore per gli incidenti gravi.
Responsabilità e sanzioni
Il D.Lgs. 138/2024 prevede sanzioni fino a:
- 10 milioni di euro (o 2% del fatturato mondiale) per i soggetti essenziali;
- 7 milioni di euro (o 1,4%) per quelli importanti.
Una novità significativa è la responsabilità personale degli organi di gestione: i vertici aziendali che non approvano o non supervisionano le misure di sicurezza possono essere temporaneamente esclusi dall’esercizio di funzioni manageriali.
Sul versante GDPR, la mancata notifica di un data breach può comportare sanzioni fino a 20 milioni di euro o al 4% del fatturato.
Priorità operative per l’adeguamento
Le organizzazioni che non hanno ancora completato l’adeguamento devono intervenire con priorità su tre fronti:
- Formalizzare il piano di gestione degli incidenti con ruoli, responsabilità e procedure di notifica definite;
- Configurare gli strumenti di monitoraggio per ridurre il tempo medio di rilevamento (MTTD);
- Formare il personale coinvolto nella catena di risposta, dall’utente finale all’incident responder.
È inoltre essenziale estendere il framework alla supply chain, inserendo nei contratti con fornitori ICT e MSSP clausole specifiche sugli obblighi di notifica e cooperazione nelle attività forensi.
Conclusioni
Le Linee Guida ACN rappresentano un riferimento tecnico di elevata qualità, capace di tradurre in indicazioni operative concrete un quadro normativo complesso.
L’adozione integrale del framework non è solo un percorso privilegiato verso la conformità NIS2: è una roadmap verso una maturità operativa che, in un panorama di minacce in costante evoluzione, misura la vera resilienza di un’organizzazione.
La gestione degli incidenti non è un traguardo da raggiungere una volta per tutte, ma un processo di miglioramento continuo che richiede investimenti costanti in tecnologia, competenze e cultura organizzativa.
