L’articolo 25 del decreto legislativo 138/2024 impone ai soggetti NIS la notifica degli incidenti significativi al CSIRT Italia. Il modello operativo deve integrare qualificazione dell’incidente, tempistiche di notifica e responsabilità assegnate, con un processo documentato eseguibile anche in condizioni di urgenza.
Fonti: Decreto legislativo 138/2024, Guida ACN gestione incidenti, Guida ACN lettura specifiche
Punti chiave
- L’articolo 25 si applica agli incidenti significativi definiti nel framework baseline NIS.
- La timeline di notifica è strutturata: pre-notifica entro 24 ore e notifica entro 72 ore dall’evidenza dell’incidente significativo.
- Il follow-up include relazioni intermedie (su richiesta), relazione finale e relazioni mensili di avanzamento quando la chiusura non è ancora possibile.
- Il ruolo di referente CSIRT dovrebbe essere formalizzato con sostituti nominati e procedure chiare.
Fonti: Guida ACN gestione incidenti, Decreto legislativo 138/2024
Sequenza di notifica da operativizzare
1. Qualificazione e evidenza dell’incidente significativo
Il soggetto dovrebbe verificare se l’incidente rientra nelle tipologie significative baseline e registrare il momento di evidenza da cui decorrono le tempistiche.
2. Pre-notifica entro 24 ore
Senza ingiustificato ritardo e comunque entro 24 ore dall’evidenza, il soggetto trasmette la pre-notifica attraverso il canale ufficiale.
3. Notifica entro 72 ore
Senza ingiustificato ritardo e comunque entro 72 ore dall’evidenza, il soggetto trasmette la notifica con aggiornamento delle informazioni iniziali e prima valutazione dell’incidente.
4. Relazioni intermedie e finali
Su richiesta del CSIRT sono inviate relazioni intermedie. La relazione finale è prevista entro un mese dalla notifica; se la gestione è ancora aperta, si applicano relazioni mensili di avanzamento e la finale entro un mese dalla chiusura.
Fonti: Guida ACN gestione incidenti, Decreto legislativo 138/2024
Ruoli e requisiti di evidenza
| Elemento | Requisito pratico | Evidenze tipiche |
|---|---|---|
| Accountability interfaccia CSIRT | Referente CSIRT e sostituti formalmente designati | Atti di nomina, matrice ruoli |
| Procedura di notifica | Flusso documentato per 24h/72h e follow-up | SOP notifica incidenti, procedura escalation |
| Tracciabilità tempi | Timestamp registrati da evidenza a invii | Log incidente, timeline ticket, prove trasmissione |
| Supervisione governance | Visibilità direzionale su incidenti notificabili e stato reporting | Brief direzionali, registri decisioni |
Fonti: Guida ACN gestione incidenti, Guida ACN lettura specifiche
Checklist di esecuzione per 90 giorni
- Formalizzare la governance del referente CSIRT, inclusi ruoli di backup e modello di reperibilità.
- Validare i criteri di classificazione degli incidenti significativi rispetto alle definizioni baseline.
- Eseguire un test di notifica 24h/72h con stakeholder legali, cyber e operation.
- Assicurare che gli strumenti registrino timestamp di evidenza e prove di trasmissione end-to-end.
- Allineare la procedura di risposta agli obblighi di reporting successivo.
FAQ
Serve la root cause completa prima degli invii a 24h/72h?
No. La sequenza è guidata dal tempo a partire dall’evidenza di incidente significativo. Le informazioni iniziali possono essere aggiornate durante l’investigazione. Fonte: Guida ACN gestione incidenti
Chi effettua le notifiche verso il CSIRT Italia?
Il referente CSIRT designato è la figura responsabile delle interlocuzioni con il CSIRT Italia e delle notifiche obbligatorie, con eventuali sostituti. Fonte: Guida ACN gestione incidenti
Se l’incidente non è chiuso entro un mese, cosa cambia?
Il soggetto invia relazioni mensili di avanzamento e successivamente la relazione finale entro un mese dalla chiusura della gestione. Fonte: Guida ACN gestione incidenti
Guide correlate in questa serie
- modello di tipologia incidenti
- incidenti con perdita di riservatezza
- incidenti con perdita di integrità
- violazioni del livello di servizio
- punto di contatto e responsabilità CSIRT