Giancarlo Di Lieto : 30 Ottobre 2025 07:17
Il Decreto NIS 2 (D. Lgs. 138/2024), in vigore dal 16 ottobre 2024, recepisce i principi della Direttiva Europea NIS2, ponendo le basi per un modello operativo di collaborazione tra i soggetti interessati e l’autorità competente più articolato rispetto al passato, per quanto attiene la gestione degli incidenti informatici. Tale gestione si fa, in buona sostanza, più rigorosa, strutturata e vincolante, con obblighi di notifica estesi e tempistiche precise per imprese e pubbliche amministrazioni.
Infatti, per l’adempimento degli obblighi di cui agli articoli 23, 24, e 25 del decreto, i soggetti NIS sono tenuti ad adottare le misure di sicurezza e a notificare al CSIRT Italia – ovvero l’unità istituita presso l’ACN per monitorare e rispondere agli incidenti di cyber security in Italia – gli incidenti più significativi, come stabilito dalla determinazione ACN 164179 del 14 aprile 2025 e relativi allegati.
In questo contesto, grande importanza è assunta dall’articolo 25, che prevede non solo obblighi più rigorosi in materia di notifica di incidenti all’autorità competente, ma anche un processo disegnalazione strutturato a più fasi.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Tutti i soggetti pubblici e privati che rientrano nel campo di applicazione del Decreto si sono dovuti obbligatoriamente registrare sulla piattaforma digitale dedicata dell’ACN, indicando un Punto di Contatto e trasmettendo le informazioni essenziali, inclusi indirizzi IP, domini e organi direttivi. Obbligo che si rinnoverà annualmente per quanto attiene all’aggiornamento di tali informazioni.
A partire da gennaio 2026 i soggetti importanti dovranno notificare al CSIRT Italia gli incidenti significativi elencati nell’allegato 3 della determinazione ACN mentre i soggetti essenziali quelli indicati nell’allegato 4.
A questo proposito, al Punto di Contatto si è recentemente aggiunto l’obbligo del Referente CSIRT (determinazione ACN 250916), che dovrà essere designato entro il 31 dicembre, con il compito specifico di interloquire con lo CSIRT Italia per la notifica degli incidenti, avendo le competenze necessarie per ricoprire questo ruolo.
Ma notificare gli incidenti significa anche strutturarsi con tecnologie e processi che permettano di rilevare tempestivamente gli incidenti e di gestirne correttamente tutte le fasi tipiche dell’incident handling, conformemente anche a quanto previsto dalla normativa stessa.
I soggetti, pertanto, entro la fine dell’anno in corso devono già adempiere ad una serie di obblighi specificatamente riferiti alla gestione degli incidenti, ancor prima di completare tutti gli altri adempimenti previsti dal Decreto, la cui scadenza è stata fissata ad ottobre 2026.
Tutte le organizzazioni che rientrano fra i soggetti identificati dal Decreto sono tenuti a:
In forza dell’articolo 25 del Decreto, i soggetti essenziali e i soggetti importanti sono tenuti a notificare al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei propri servizi. Le notifiche devono contenere tutte le informazioni necessarie affinché il CSIRT Italia possa valutare l’eventuale impatto sia a livello nazionale che transfrontaliero dell’incidente.
Tale comunicazione non comporta, per il soggetto che la effettua, un incremento delle responsabilità rispetto a quelle già connesse all’evento stesso, sebbene esso stesso sia una sorta di autodenuncia verso l’Autorità competente e quindi andrà svolta con tutte le cautele del caso, coinvolgendo sia le funzioni tecniche (interne o esterne) per le analisi approfondite, che gli organi direttivi e legali per valutare accuratamente gli impatti.
Inoltre, per essere considerato “significativo”, un incidente deve causare o potenzialmente determinare gravi perturbazioni operative o perdite finanziarie, oppure avere ripercussioni rilevanti, con danni materiali o immateriali considerevoli su persone fisiche o giuridiche. In questo modo, la definizione si estende oltre la mera dimensione tecnica, includendo anche le conseguenze economiche e sociali dell’evento.
Da notare che la definizione di “incidente significativo” fornita da ACN nei citati allegati si discosta da quella del Regolamento Esecutivo NIS2 2690/2024 emesso dalla CE. Tale regolamento, sebbene si applichi ai soli soggetti che erogano servizi digitali, resta pur sempre di valido aiuto per la comprensione di tale definizione (cfr. Artt 3-14) e, in generale, rappresenta un validissimo framework di sicurezza che compendia tutte le misure previste dalla NIS2 (cfr. allegato al Regolamento).
Il decreto impone a tutti i soggetti essenziali e importanti una sequenza di comunicazioni progressive, finalizzate a fornire al CSIRT un quadro costantemente aggiornato della situazione:
La notifica va svolta caratterizzando l’incidente mediante la Tassonomia Cyber di ACN che ha lo scopo di agevolare lo scambio di informazioni mediante un lessico comune per la condivisione di informazioni riguardo eventi cyber tra le entità impattate, nonché per la notifica al CSIRT Italia. Purtroppo, tale tassonomia è adottata solo in Italia per cui, per incidenti transfrontalieri, perde un po’ della sua efficacia.
Nel caso in cui l’incidente significativo comporta anche una violazione di dati personali (data breach) sarà necessaria un’ulteriore notifica, questa volta verso l’autorità Garante per la Protezione dei Dati Personali, ma con tempistiche e modalità differenti (entro le 72 ore).
Se poi, il soggetto è un istituto bancario che rientra nel perimetro del Regolamento DORA, è prevista una ulteriore notifica verso l’autorità nazionale di vigilanza finanziaria (Banda d’Italia).
Insomma, il processo di notifica si può complicare notevolmente, per cui il soggetto dovrà adeguatamente strutturarsi per poter far fronte a tutti questi adempimenti, avvalendosi di profili professionali (interni e/o esterni) in grado di potersi districare agevolmente in questo ginepraio normativo, rispettando tempistiche molto stringenti che escludono qualsiasi sorta di improvvisazione.
Infatti, la mancata notifica o l’inadempienza agli obblighi può comportare limitazioni operative, soprattutto per i soggetti essenziali, e sanzioni economiche rilevanti, significativamente più severe rispetto a quelle previste dalla NIS1, con massimi edittali sino a 10M€ (o 2% del fatturato annuo) per i soggetti essenziali e a 7M€ (o 1,4% del fatturato annuo) per i soggetti importanti.
Altra novità riguarda i minimi edittali, proporzionali al massimo (1/20 o 1/30), il che significa che ci potrà essere molto meno discrezionalità sulla sanzione minima irrogata. Per i soggetti pubblici le sanzioni previste sono più ridotte (da 25K€ a 125K€), ma possono essere anche personali, degli amministratori e dirigenti preposti, per esempio per gravi negligenze nella governance della cybersecurity o per non aver dato seguito alle diffide di ACN.
La NIS2 rafforza il ruolo di supervisione dell’Authority sugli incidenti informatici e, in questo contesto, il CSIRT Italia svolge un ruolo centrale, ricevendo le notifiche e fornendo supporto tecnico ai soggetti pertinenti.
Il CSIRT Italia è l’organo di ACN che si occupa di monitoraggio preventivo e risposta agli incidenti informatici e fa parte della comunità dei CERT mondiali (FIRST). Ha iniziato ad operare dal 2020 assumendo i compiti in precedenza in capo al CERT Nazionale e al CERT-PA.
Nell’ambito della NIS2 il CSIRT dovrà assumere diversi compiti, sia di tipo reattivo (monitoraggio e analisi, supporto operativo nella risposta, analisi forense, awareness, ecc.) che proattivo (emissioni bollettini, alert, early warning, scansioni periodiche, ecc.).
Entro 24 ore dalla pre-notifica, deve fornire un riscontro iniziale, con eventuali suggerimenti di mitigazione, e può offrire ulteriore assistenza su richiesta. In caso di eventi con carattere criminale, il CSIRT indirizza il soggetto verso le Autorità competenti, garantendo il raccordo tra risposta tecnica e investigativa.
I soggetti, solo a seguito del parere favorevole del CSIRT, devono informare i propri utenti senza ingiustificato ritardo, quando l’incidente può avere un impatto significativo sulla fornitura dei servizi, comunicando le misure di mitigazione intraprese in presenza di minacce significative.
Infine, il CSIRT può condividere pubblicamente gli incidenti significativi per prevenire ulteriori attacchi o tutelare l’interesse pubblico, eventualmente estendendo tale comunicazione agli altri Stati membri.
È evidente, quindi, che i compiti del CSIRT sono davvero gravosi, per cui dovrà ulteriormente rafforzarsi considerando il numero elevato di soggetti già ad oggi in perimetro (si è superati i 25.000, a fronte di meno di 500 della NIS1), per poter essere ancora più efficiente a partire dal prossimo gennaio, da quando cioè tutti i soggetti NIS2 saranno obbligati a notificare gli incidenti significativi.
La nuova procedura di segnalazione degli incidenti, innanzi descritta, introduce un modello strutturato e formale che cambia significativamente il modo in cui imprese e pubbliche amministrazioni dovranno gestire gli incidenti di sicurezza informatica.
Se per le realtà più mature ed organizzate dal punto di vista della sicurezza significa per lo più adattare e migliorare i processi esistenti, per tantissime altre (leggi PMI) comporterà avviare ex-novo dei progetti di adeguamento tecnologico e organizzativo che richiederanno diversi mesi, se non anni, prima che possano essere completati.
Ridursi all’ultimo momento non giova a nessuno e porta a risultati insoddisfacenti, come l’esperienza dell’adeguamento al GDPR ha dimostrato: troppo spesso si è rivelato un mero adempimento burocratico, anziché apportare un sostanziale miglioramento nella protezione dei dati personali.
La NIS2, invece, anche dal punto di vista della gestione incidenti, deve essere vista come un’occasione fondamentale per tutti i soggetti coinvolti:
Questo approccio più disciplinato è fondamentale perché consente di rilevare e contenere rapidamente gli incidenti, prevenire reazioni a catena, migliorare la governance interna e la compliance, e garantire cooperazione e visibilità a livello nazionale ed europeo, rafforzando concretamente la resilienza di sistemi e servizi critici.
L’entrata in vigore del Decreto NIS2 segna un punto di svolta nella gestione degli incidenti informatici, imponendo un approccio più rigoroso, strutturato e coordinato. Non si tratta di un semplice adeguamento normativo, ma di un cambiamento culturale che richiede alle organizzazioni di ripensare i propri processi di sicurezza, passando da una logica reattiva a una strategia proattiva e integrata.
Le imprese e le pubbliche amministrazioni devono considerare questi obblighi come un’opportunità per rafforzare la propria resilienza, investendo in tecnologie, competenze e governance. La tempestività nella rilevazione e nella notifica degli incidenti, unita alla collaborazione con il CSIRT Italia, diventa un elemento chiave per ridurre i rischi, prevenire impatti sistemici e garantire la continuità operativa.
In un contesto in cui le minacce cyber sono sempre più sofisticate e pervasive, la conformità alla NIS2 non è solo una questione di compliance, ma un fattore strategico per tutelare la fiducia di clienti, partner e cittadini. Agire oggi significa non solo evitare sanzioni, ma costruire un ecosistema digitale più sicuro e resiliente, a beneficio dell’intero sistema Paese.
Giancarlo Di LietoL’interruzione dei servizi cloud di Microsoft, avvenuta poche ore prima della pubblicazione dei risultati trimestrali, è solo l’ultimo episodio di una lunga serie di blackout che stanno mettendo ...
Il Dipartimento dell’Energia degli Stati Uniti (DOE) ha avviato una collaborazione strategica con Nvidia e Oracle per costruire sette supercomputer di nuova generazione basati sull’intelligenza ar...
Una interruzione del servizio DNS è stata rilevata il 29 ottobre 2025 da Microsoft, con ripercussioni sull’accesso ai servizi fondamentali come Microsoft Azure e Microsoft 365. Un’ anomalia è st...
Per la seconda volta negli ultimi mesi, Google è stata costretta a smentire le notizie di una massiccia violazione dei dati di Gmail. La notizia è stata scatenata dalle segnalazioni di un “hacking...
Il panorama della sicurezza informatica è stato recentemente scosso dalla scoperta di una vulnerabilità critica di tipo Remote Code Execution (RCE) nel servizio Windows Server Update Services (WSUS)...
