Salta al contenuto
Guida

NIS2: come notificare un incidente all'ACN (24h, 72h, relazione finale)

Runbook operativo della notifica incidenti NIS2 al CSIRT Italia: pre-notifica 24 ore, notifica 72 ore e relazione finale entro un mese. Cosa conta come incidente significativo, chi notifica e cosa preparare prima.

SynSphere Italia 10 min di lettura
NIS2: come notificare un incidente all'ACN (24h, 72h, relazione finale)

Sono le 7:40 di un lunedì. Il responsabile IT di una manifatturiera di 90 persone trova il gestionale fermo, i file cifrati e una richiesta di riscatto. Mentre isola i sistemi, il direttore generale fa la domanda che gela la stanza: “Dobbiamo avvisare qualcuno entro stasera?”. Se l’azienda rientra nel perimetro NIS2 la risposta è sì, e il cronometro è già partito da quando l’incidente è stato scoperto, non da quando finite di gestirlo.

La notifica degli incidenti all’Agenzia per la Cybersicurezza Nazionale (ACN), tramite il CSIRT Italia, è uno degli obblighi più concreti e a scadenza fissa della NIS2. È un processo a tempo che va preparato prima, perché durante una crisi non si ha la lucidità per inventarselo. Questo è il runbook operativo, pensato per una PMI.

Il modello a tre tempi della notifica NIS2

La NIS2, recepita in Italia con il D.Lgs. 138/2024, struttura la notifica in fasi successive: non un unico documento, ma una sequenza con scadenze precise che decorrono da quando il soggetto viene a conoscenza dell’incidente significativo.

  • Pre-notifica (early warning) entro 24 ore. Un primo avviso rapido: “ci è successo qualcosa di significativo, lo stiamo gestendo”. Indica se si sospetta un’azione malevola e se può avere impatto transfrontaliero. Non serve avere già tutte le risposte.
  • Notifica entro 72 ore. La notifica vera e propria. Aggiorna l’early warning con una valutazione iniziale: gravità, impatto, indicatori di compromissione disponibili.
  • Relazione intermedia su richiesta. L’ACN può chiedere, o voi fornire spontaneamente, aggiornamenti di stato mentre l’incidente è ancora aperto.
  • Relazione finale entro un mese dalla notifica delle 72 ore: descrizione dettagliata, gravità e impatto, tipologia di minaccia o causa radice, misure di mitigazione adottate e in corso, eventuale impatto transfrontaliero.

Regola importante per gli incidenti lunghi: se allo scadere del mese l’incidente è ancora in corso, si invia una relazione intermedia e la finale entro un mese dalla gestione conclusiva. Nessuno vi chiede di chiudere un incidente in modo artificioso per rispettare la scadenza.

Il vincolo da fissare è uno: il conteggio parte dalla conoscenza dell’incidente. Più tardi ve ne accorgete, più tardi parte; ma una volta che lo sapete, il cronometro è inesorabile.

Cosa conta come “incidente significativo”

Non tutto va notificato: l’obbligo scatta per gli incidenti significativi. Un incidente è tale quando ha causato o può causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto, oppure quando ha o può avere ripercussioni su altre persone fisiche o giuridiche con danni considerevoli.

Nella pratica di una PMI rientrano: un ransomware che cifra i sistemi di produzione, un’indisponibilità prolungata di un servizio essenziale erogato a clienti, l’esfiltrazione di dati su larga scala, una compromissione delle credenziali amministrative del tenant cloud. La parte difficile non è capirlo a cose fatte, ma decidere in anticipo dove cade la soglia, così che chi è in turno alle 7:40 di lunedì sappia se far partire la procedura.

Per questo la classificazione va scritta nel runbook prima che serva. Se non avete chiaro se rientrate nel perimetro e con quali obblighi, partite dal nostro strumento gratuito di self-assessment NIS2 e dalla guida operativa su cosa fare nel 2026.

Chi notifica e come si accede al portale ACN

La notifica è responsabilità del soggetto NIS2, non del singolo tecnico. Operativamente, però, qualcuno deve compilarla. Il modello italiano funziona così:

  • In fase di registrazione del soggetto sulla piattaforma ACN, l’azienda designa un punto di contatto e i referenti abilitati. Senza registrazione completata e referenti abilitati, alle 7:40 di lunedì non riuscite nemmeno ad accedere.
  • L’accesso al portale avviene con identità digitale (SPID/CIE) dei referenti designati.
  • La responsabilità della gestione del rischio resta in capo agli organi di amministrazione e direttivi, che la NIS2 rende direttamente responsabili. La firma e la responsabilità sono di chi governa l’azienda, anche se a digitare è il referente tecnico.

Serve quindi sapere prima chi accede, con quali credenziali, e chi decide il contenuto. Se l’unica persona abilitata è in ferie all’estero, avete un problema di processo, non di tecnologia.

Runbook “minuto per minuto” pre-incidente

Il segreto per notificare in 24 ore non è essere veloci durante la crisi: è aver fatto i compiti prima.

Prima dell’incidente (settimane prima)

  1. Soggetto registrato sul portale ACN, con punto di contatto e almeno due referenti abilitati (mai una persona sola).
  2. Classificazione degli incidenti significativi scritta, con esempi calati sulla vostra operatività.
  3. Catena decisionale definita: chi dichiara l’incidente, chi approva il contenuto, chi firma per il soggetto.
  4. Rubrica di emergenza offline (ACN/CSIRT, fornitore IT, assicurazione, legale, DPO) su un canale che non dipende dalla rete aziendale.
  5. Canale di comunicazione fuori banda: se posta e Teams sono compromessi, su cosa vi coordinate?
  6. Registro incidenti già impostato: la NIS2 richiede di tracciare anche quelli sotto soglia.

Da 0 a 60 minuti (rilevazione)

  • Annotare data e ora esatta della conoscenza: è il punto di partenza del cronometro delle 24 ore.
  • Attivare il contenimento (isolare, non spegnere alla cieca, preservare le evidenze): il riferimento è il nostro playbook dei primi 60 minuti contro il ransomware.
  • Convocare chi decide. La domanda “è significativo?” va sciolta subito.

Entro 24 ore (early warning)

  • Accedere al portale ACN col referente abilitato e inviare la pre-notifica: cosa è successo, sospetto di azione malevola, possibile impatto transfrontaliero. Bastano le informazioni disponibili.

Entro 72 ore (notifica)

  • Aggiornare con la valutazione iniziale: gravità, impatto sui servizi, indicatori di compromissione, misure già adottate.

Entro 1 mese (relazione finale)

  • Inviare la relazione finale: descrizione dettagliata, causa radice, impatto, misure di mitigazione, lezioni apprese. Se l’incidente è ancora aperto, inviare prima una relazione intermedia.

I campi che vi verranno chiesti

Il portale del CSIRT struttura la raccolta in modo coerente con le fasi. I contenuti da tenere pronti sono ricorrenti: identificazione del soggetto e del referente; inquadramento temporale (inizio, scoperta, se è in corso); natura dell’incidente e sospetta azione malevola; impatto su servizi, utenti e clienti, con eventuale dimensione transfrontaliera; misure di contenimento adottate. Tenerli come template trasforma la compilazione da esercizio sotto stress a copia-incolla aggiornato.

Errori che fanno sforare le scadenze

Tre trappole ricorrenti, tutte evitabili a costo zero se affrontate prima:

  • Aspettare di “capire tutto” prima di notificare. La pre-notifica delle 24 ore esiste proprio perché non avete ancora tutto chiaro. Notificare con le informazioni disponibili è corretto e dovuto.
  • Confondere la gestione tecnica con l’adempimento. Risolvere l’incidente e notificarlo sono flussi paralleli. Se aspettate di aver ripristinato i sistemi, le 24 e le 72 ore sono già passate.
  • Nessuno abilitato sul portale. L’errore più banale e frequente, che si scopre nel momento peggiore.

Le conseguenze del notificare in ritardo non sono teoriche: rientrano nel quadro sanzionatorio della NIS2, dettagliato nell’articolo su cosa rischiano le PMI in ritardo entro dicembre 2026.

Quando ha senso un servizio gestito

Il punto delicato non è compilare il modulo: è avere il processo già rodato e qualcuno reperibile che sappia eseguirlo sotto pressione. Per una PMI senza un team di sicurezza interno H24, è il terreno di un servizio gestito.

Con la nostra Assistenza cybersecurity gestita prepariamo con voi il runbook di incident response, definiamo la classificazione degli incidenti significativi e affianchiamo il referente nelle fasi critiche. Se l’ambiente è interamente Microsoft, la copertura si integra con l’Assistenza Microsoft 365 gestita, che presidia tenant, identità e log da cui spesso parte il rilevamento.

Il primo passo è capire dove cadete nel perimetro NIS2 e quali obblighi vi toccano, poi parla con un nostro consulente per costruire un processo di notifica davvero pronto all’uso.

Domande frequenti

Entro quanto tempo una PMI soggetta a NIS2 deve notificare un incidente all’ACN?

Il modello è a tre tempi: una pre-notifica (early warning) entro 24 ore dalla conoscenza dell’incidente significativo, una notifica completa entro 72 ore con la valutazione iniziale di gravità e impatto, e una relazione finale entro un mese. Se l’incidente è ancora in corso allo scadere del mese, si invia una relazione intermedia e poi quella finale entro un mese dalla chiusura.

Cosa conta come incidente significativo ai fini della notifica NIS2?

Un incidente è significativo quando ha causato o può causare una grave perturbazione operativa o perdite finanziarie per il soggetto, oppure quando ha avuto o può avere impatti su altre persone fisiche o giuridiche provocando danni considerevoli. In pratica rientrano indisponibilità prolungata di servizi essenziali, compromissioni di dati su larga scala, ransomware ed esfiltrazioni. La soglia esatta va fissata in anticipo nella vostra procedura interna, non decisa nel panico.

Chi materialmente invia la notifica all’ACN?

La notifica è responsabilità del soggetto NIS2, che agisce tramite il punto di contatto registrato sul portale dell’ACN. Operativamente accede al portale il referente designato in fase di registrazione del soggetto, usando le credenziali SPID/CIE associate. La firma e la responsabilità restano in capo agli organi di amministrazione, che la NIS2 rende direttamente responsabili della gestione del rischio.

Cosa devo preparare prima per riuscire a notificare in 24 ore?

Serve avere già pronti: il soggetto registrato sul portale ACN con punto di contatto e referenti, un runbook di incident response con la classificazione degli incidenti significativi, i recapiti di chi decide e di chi firma, un canale di comunicazione fuori banda nel caso la posta aziendale sia compromessa, e un registro incidenti. Improvvisare a incidente in corso è la causa più frequente di notifiche tardive.

Tag

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.

Potrebbe interessarti anche

Articoli correlati per argomento e categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci