NIS2 e gestione degli incidenti. Guida pratica: obblighi, categorie e responsabilità per le aziende

Data Protection - Governance - Privacy

La notifica degli incidenti NIS2 è ad oggi uno degli obblighi più stringenti per tutti gli operatori essenziali e importanti. La direttiva europea, recepita in Italia attraverso il nuovo quadro regolatorio guidato dall’ACN (Agenzia per la Cybersicurezza Nazionale), introduce un modello di gestione degli incidenti che richiede rapidità, tracciabilità e capacità di dimostrare la propria diligenza organizzativa. Per molte aziende, questo rappresenta un cambio di paradigma: non basta più reagire, serve un sistema strutturato e documentato.

Notifica incidenti NIS2: obblighi, categorie, responsabilità e come strutturare una gestione conforme e dimostrabile.

Perché la notifica è così centrale nella NIS2

La NIS2 punta a creare un ecosistema europeo più sicuro e in costante miglioramento, in cui gli incidenti non restano isolati ma diventano informazioni utili per prevenire attacchi futuri. Per questo, ogni incidente significativo sulla fornitura dei servizi del soggetto NIS deve essere notificato al CSIRT Italia, secondo quanto stabilito dalla determina ACN 379907/2025”. La notifica non è un atto burocratico: è un elemento di responsabilità e trasparenza, che permette alle autorità di valutare la gravità dell’evento e coordinare eventuali risposte.

Quali incidenti devono essere notificati?

Ogni incidente rilevante viene classificato con un codice identificativo, utile per uniformare la comunicazione e facilitare l’analisi. Le categorie principali sono:

  • IS‑1 — Violazioni della riservatezza dei servizi o delle attività – dati digitali di proprietà del soggetto NIS o sui quali esercita controllo anche parziale
  • IS‑2 — Violazioni dell’integrità dei servizi o delle attività – dati digitali di proprietà del soggetto NIS o sui quali esercita controllo anche parziale
  • IS‑3 — Violazioni della disponibilità, come downtime prolungati o interruzioni critiche – violazione dei livelli di servizio attesi
  • IS‑4 — Accessi non autorizzati o abuso di privilegi – dati digitali di proprietà del soggetto NIS o sui quali esercita controllo anche parziale

Questa classificazione aiuta le aziende a valutare rapidamente la natura dell’incidente e a predisporre la notifica corretta.

Cosa fare?

  • 1- Segnalazione preliminare entro 24 ore (early warning) – Entro un giorno dalla consapevolezza dell’incidente, il punto di contatto (aziendale) CSIRT deve inviare un avviso al CSIRT dell’Agenzia per la Cybersicurezza Nazionale (ACN), comunicando che si è verificato un incidente significativo su questo portale
  • 2-Notifica dettagliata entro 72 ore – La normativa richiede poi un rapporto completo sull’incidente, comprensivo di analisi tecnica, impatti sulla continuità del servizio, indicatori di compromissione, vettori di attacco e azioni di mitigazione adottate
  • 3-  Notifica finale entro 1 mese – con descrizione dettagliata, cause probabili, misure adottate/in corso e impatto. Ricordiamo che lo CSIRT potrebbe chiedere ulteriori aggiornamenti e informazioni circa l’accaduto.

L’ACN ha chiarito che la responsabilità della notifica non può essere delegata: anche se un fornitore gestisce parte dei sistemi, l’obbligo resta in capo al Referente CSIRT (e, se nominati, dai relativi sostituti), designati tramite Portale ACN.

Incidenti informatici: quando si devono avvisare i clienti?

In caso di attacco informatico, la Direttiva NIS2 regola solo i rapporti con le Autorità (ACN), non le comunicazioni ai clienti. Per decidere se avvisare i clienti, il riferimento è il GDPR, basato sul livello di rischio:

  • Notifica OBBLIGATORIA (Rischio Elevato): L’attacco ha sottratto dati sensibili o critici (es. dati di carte di credito o credenziali della Carta d’Identità Elettronica – CIE). Il pericolo di danno per il cliente è immediato.
  • NESSUNA notifica (Rischio Basso): La violazione riguarda solo dati isolati e a basso impatto, come un elenco di indirizzi email (informazioni spesso già pubbliche su canali come LinkedIn).

La NIS2 serve a proteggere l’infrastruttura aziendale segnalando l’evento all’ACN; la scelta di contattare i clienti è invece una valutazione che spetta unicamente ai criteri del GDPR.

Perché molte aziende faticano a rispettare le tempistiche?

Nel panorama imprenditoriale italiano, la gestione dei data breach e degli incidenti informatici sconta ancora forti ritardi. Il vero punto critico per le organizzazioni non è solo risolvere l’emergenza, ma riuscire a documentare con precisione ogni azione intrapresa. In sede di controllo da parte delle autorità, infatti, l’azienda deve essere in grado di dimostrare (secondo il principio di accountability previsto dal GDPR) di aver seguito le procedure previste. 

La direttiva richiede un sistema documentale solido, capace di tracciare decisioni, evidenze tecniche, escalation e comunicazioni interne. È un requisito che si collega direttamente ai principi di accountability già noti nel GDPR.

Per molte aziende, quindi, la sfida non è solo tecnica, ma organizzativa. Qui in Smart Flow supportiamo la gestione degli incidenti con strumenti che garantiscono tracciabilità, governance, workflow strutturati e reportistica conforme, facilitando la dimostrabilità richiesta dalla NIS2 e riducendo il rischio di errori nelle fasi di notifica..