Quando un incidente significativo colpisce un'organizzazione soggetta alla NIS2, scatta un orologio che non si ferma. L'Art. 25 del D.Lgs. 138/2024 impone una procedura di notifica articolata in tre tempi — 24 ore, 72 ore e un mese — verso l'Agenzia per la Cybersicurezza Nazionale (ACN). Sapere cosa succede in ognuno di questi step, e prepararsi prima che accada, è ciò che separa una gestione professionale da un'inadempienza sanzionabile.
La Direttiva (UE) 2022/2555 ha introdotto in tutta l'Unione Europea un regime uniforme di notifica degli incidenti significativi. In Italia, il D.Lgs. 4 settembre 2024, n. 138 ha recepito questo obbligo all'Art. 25, articolando la procedura in tre scadenze cumulative. Ognuna ha un nome tecnico, una finalità precisa e contenuti minimi obbligatori. Mancare una qualunque di queste finestre temporali — anche per disorganizzazione, anche per dubbi sulla qualificazione dell'evento — espone l'organizzazione a sanzioni amministrative pesanti e, soprattutto, all'apertura di un'istruttoria ACN che difficilmente si chiude in pochi giorni.
Cosa è un "incidente significativo"
Prima di parlare di tempi, bisogna chiarire quando scatta l'obbligo di notifica. L'Art. 25 si applica agli incidenti significativi, definiti dal decreto come gli eventi che:
- hanno causato o sono in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
- si sono ripercossi o sono in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
La definizione è volutamente ampia, perché copre sia gli attacchi informatici riusciti (ransomware, data breach, defacement) sia gli incidenti accidentali (errori umani, guasti hardware, indisponibilità prolungata di servizi essenziali) che producono effetti analoghi. Nel dubbio, vale una regola pratica: se un incidente avrebbe potuto avere conseguenze sui servizi essenziali, sui clienti o sull'operatività dell'azienda, va trattato come "significativo" e portato attraverso la procedura di notifica. È meglio una notifica in eccesso che una mancata notifica giudicata negligente.
T+24h — Pre-notifica (early warning)
Entro 24 ore dal momento in cui l'organizzazione ha avuto conoscenza dell'incidente significativo, va inviata ad ACN una pre-notifica. Si tratta di un'informativa breve — non un report tecnico — che ha l'obiettivo di mettere l'autorità in condizione di sapere cosa sta succedendo e di valutare un primo coordinamento.
Cosa deve contenere, come minimo:
- Identificazione del soggetto NIS (denominazione, identificativo ACN, settore Allegato I/II);
- Data e ora di rilevazione dell'incidente e modalità con cui è stato scoperto;
- Indicazione preliminare sulla natura dell'evento: si sospetta un atto illecito o malevolo? È in corso un attacco?
- Servizi e asset coinvolti, anche in via preliminare;
- Eventuale impatto cross-border: l'incidente potrebbe interessare altri Stati membri dell'Unione?
La pre-notifica non richiede un'analisi forense completata. Richiede però un canale chiaro e una persona individuata: chi è il referente NIS2 dell'organizzazione, come si raggiunge fuori orario, chi è autorizzato a inviare la notifica per conto del legale rappresentante.
T+72h — Notifica completa
Entro 72 ore dal momento in cui l'organizzazione ha avuto conoscenza dell'incidente, va trasmessa ad ACN la notifica completa. Questa volta il livello di dettaglio sale: serve una valutazione iniziale dell'evento, comprensiva di gravità, impatto e — quando disponibili — degli indicatori tecnici di compromissione.
Contenuti minimi attesi:
- Aggiornamento rispetto alla pre-notifica (cosa è cambiato nelle 48 ore successive);
- Valutazione iniziale di gravità e impatto sui servizi, sugli utenti, sui dati;
- Indicatori di compromissione (IoC): hash dei file malevoli, indirizzi IP, domini, account compromessi, vettori di attacco identificati;
- Misure di mitigazione già adottate o in corso di adozione (containment, eradication, recovery);
- Coordinamento con altre autorità: se l'incidente comporta un trattamento illecito di dati personali, è in corso una notifica al Garante Privacy ai sensi dell'Art. 33 GDPR? È in corso una denuncia all'Autorità Giudiziaria?
Le 72 ore non sono molte se l'organizzazione non si è preparata prima. Per questo motivo, il piano di Incident Response (IRP) deve includere template precompilati della notifica, con i campi anagrafici e tecnici già pronti. Ogni minuto guadagnato in fase di redazione è un minuto in più dedicato al containment.
T+1 mese — Relazione finale
Entro un mese dalla notifica completa, l'organizzazione deve trasmettere ad ACN la relazione finale sull'incidente. Qui si chiude il ciclo: l'evento è stato analizzato, le cause sono state identificate, le misure correttive sono state implementate, le lezioni apprese sono state documentate.
Cosa deve contenere:
- Descrizione dettagliata dell'incidente, della sua portata e della sua gravità reale (non più stimata);
- Tipologia di minaccia e cause che hanno reso possibile l'evento (root cause analysis);
- Misure di mitigazione adottate, incluse quelle correttive di lungo periodo (cambiamenti architetturali, nuovi controlli, formazione mirata);
- Eventuale impatto cross-border confermato a posteriori;
- Lezioni apprese e modifiche al piano IRP per il futuro.
La relazione finale ha un valore particolare: è il documento che ACN userà per valutare la maturità della risposta dell'organizzazione. Un incidente gestito bene, documentato bene e seguito da misure correttive concrete è un fattore attenuante in caso di successivo procedimento sanzionatorio. Al contrario, una relazione lacunosa o un'assenza di misure correttive è un'aggravante.
Cosa succede se l'incidente non si è ancora risolto
Se a un mese di distanza l'incidente è ancora in corso (es. ricostruzione di sistemi, ripristino di dati da backup, indagini forensi non concluse), è prevista una relazione di stato al posto della relazione finale, e una relazione finale entro un mese dal termine della gestione. La logica è semplice: ACN vuole essere informata in modo continuo, non aspettare in silenzio. Il dialogo aperto con l'autorità è uno dei segnali più forti di una buona postura di compliance.
Comunicazione agli utenti: l'altra notifica
L'Art. 25 prevede anche un secondo livello di comunicazione: quando un incidente significativo è suscettibile di incidere negativamente sulla fornitura dei servizi, il soggetto NIS deve comunicarlo senza ingiustificato ritardo agli utenti dei servizi, segnalando le misure che possono adottare per contenerne le conseguenze. È una notifica diversa da quella verso ACN, con finalità di trasparenza e di empowerment dell'utente. Va prevista nel piano IRP, con i contenuti, i canali e i tempi standardizzati in anticipo.
La preparazione: cosa fare PRIMA dell'incidente
Le 24 ore non sono il momento di scoprire chi è il referente ACN dell'organizzazione, né di cercare il template di notifica. Una procedura di notifica funziona se è preparata. Ecco i passaggi minimi:
- Registrazione preventiva dei contatti e dei referenti del soggetto NIS sulla piattaforma ACN;
- Piano di Incident Response (IRP) formalizzato, con catena di comando, war room virtuale, ruoli e responsabilità chiari;
- Template precompilati per pre-notifica, notifica completa e relazione finale, con i campi anagrafici già popolati;
- Procedura di reperibilità H24 per il referente NIS2: chi viene chiamato di notte, chi prende le decisioni di scalata;
- Esercitazioni periodiche (table-top exercise) per testare la procedura prima che sia un incidente reale a farlo;
- Coordinamento documentato con DPO, ufficio legale, ufficio comunicazione e fornitori critici;
- Catena di custodia delle evidenze (log, immagini disco, snapshot) che permetta sia l'analisi forense sia, eventualmente, l'utilizzo in sede giudiziaria.
Sanzioni e attenuanti
L'omessa o tardiva notifica espone l'organizzazione a sanzioni amministrative pecuniarie significative, ai sensi dell'Art. 38 del D.Lgs. 138/2024. Per i soggetti essenziali si arriva fino a 10 milioni di euro o al 2% del fatturato annuo mondiale (la misura più alta delle due); per i soggetti importanti, fino a 7 milioni o 1,4% del fatturato. A queste sanzioni si aggiunge la responsabilità personale del Management per la mancata supervisione delle misure di sicurezza, che può sfociare in misure interdittive nei casi più gravi.
Esistono però cause attenuanti che riducono significativamente l'entità delle sanzioni e che possono persino evitarle. Sono tutte legate alla qualità della preparazione e alla collaborazione con l'autorità: documentazione completa delle misure di sicurezza implementate, evidenza della formazione del personale (Art. 20), notifica tempestiva, cooperazione attiva durante l'istruttoria, adozione di misure correttive concrete dopo l'incidente. È qui che la conformità documentata fa la differenza pratica: non solo riduce il rischio di subire un incidente, ma riduce drasticamente le conseguenze quando l'incidente — purtroppo, prima o poi — accade.
In sintesi: l'orologio parte dal momento della conoscenza
Il punto chiave dell'Art. 25 è il dies a quo: l'orologio delle 24, 72 ore e un mese parte dal momento in cui l'organizzazione ha avuto conoscenza dell'incidente, non da quando è oggettivamente avvenuto. Questo significa che il sistema di rilevazione (SIEM, EDR, SOC) e quello di reporting interno sono parti integranti della procedura di notifica: un alert non escalato è un'occasione di compliance persa.
Per costruire una postura solida servono tre cose, in quest'ordine: tecnologia per rilevare gli incidenti, processo per gestirli, formazione per fare in modo che le persone sappiano cosa fare quando l'allarme suona. La NIS2 non chiede di essere infallibili: chiede di essere preparati e trasparenti.