Notifica Incidente
al CSIRT Italia:
Obblighi e Scadenze
La notifica incidente al CSIRT Italia è l’ultimo atto di una crisi già in corso. Fortgale lavora prima — rilevando le minacce quando sono ancora silenziose — per fare in modo che non si arrivi mai a dover attivare la procedura di notifica al CSIRT.
Cos’è il CSIRT Italia e quando
è obbligatoria la notifica incidente
Il CSIRT Italia (Computer Security Incident Response Team) è il punto di contatto nazionale per la gestione degli incidenti di sicurezza informatica, operativo all’interno di ACN — l’Agenzia per la Cybersicurezza Nazionale. In base al D.lgs. 138/2024, è il destinatario obbligatorio della notifica incidente CSIRT Italia per tutti i soggetti NIS2: essenziali e importanti.
Chi è il CSIRT Italia
Istituito da ACN ai sensi della Direttiva NIS2, coordina la risposta agli incidenti di rilevanza nazionale, gestisce la comunicazione tra i soggetti colpiti e condivide informazioni con i CSIRT europei attraverso la rete EU-CyCLONe.
Quando si notifica l’incidente al CSIRT Italia
La notifica è obbligatoria per i soggetti essenziali e importanti NIS2 quando si verifica un incidente “significativo”. Inoltre, per incidenti che colpiscono altri paesi UE, il CSIRT coordina la comunicazione transfrontaliera con le autorità europee.
Come contattare il CSIRT
La notifica incidente va effettuata tramite il portale ufficiale csirt.gov.it, oppure via email a csirt@acn.gov.it. In caso di incidente attivo, è disponibile il numero di emergenza +39 06 5482 2100 H24.
Nota normativa: Il D.lgs. 138/2024 ha recepito in Italia la Direttiva NIS2 (UE 2022/2555), ampliando significativamente il perimetro dei soggetti obbligati rispetto alla precedente NIS1. Pertanto, molte organizzazioni che non erano soggette agli obblighi di notifica in precedenza lo sono diventate a partire dal 2024. Verificate la vostra qualificazione tramite il portale ACN.
Quando scatta l’obbligo di notifica incidente
al CSIRT Italia: la soglia NIS2
Non ogni evento di sicurezza informatica impone la notifica incidente al CSIRT Italia. Tuttavia, la soglia definita dalla NIS2 è più bassa di quanto molte organizzazioni ritengano. Ecco i criteri che rendono obbligatoria la segnalazione.
⚡ Criteri di impatto
- → Interruzione grave o parziale dell’erogazione del servizio
- → Perdita finanziaria significativa per il soggetto colpito
- → Danni materiali o immateriali ad altri soggetti (terzi, utenti, clienti)
- → Numero elevato di utenti o servizi interessati
- → Durata dell’incidente superiore alle soglie definite da ACN per settore
🎯 Tipologie di incidente rilevanti
- → Attacchi ransomware con cifratura o esfiltrazione di dati
- → Compromissione di credenziali privilegiate (admin, domain controller)
- → Attacchi DDoS che interrompono l’erogazione di servizi critici
- → Violazione della supply chain software che impatta i clienti
- → Accesso non autorizzato persistente a sistemi critici
Importante: in caso di dubbio sulla significatività dell’incidente, la NIS2 orienta verso la notifica precauzionale. Pertanto, il mancato invio del preavviso entro 24 ore è sanzionabile anche se il soggetto riteneva l’evento non significativo. In altre parole, è sempre meglio notificare e ricevere indicazioni da ACN, piuttosto che attendere una certezza che potrebbe arrivare troppo tardi.
Le tre fasi della notifica incidente
al CSIRT Italia
Il D.lgs. 138/2024 definisce un processo di notifica incidente al CSIRT Italia articolato in tre passaggi obbligatori, con scadenze precise dalla prima conoscenza dell’evento. Rispettare queste tempistiche è fondamentale per evitare le sanzioni.
Preavviso iniziale — entro 24 ore
Non appena l’organizzazione viene a conoscenza di un incidente significativo, deve inviare un preavviso al CSIRT Italia. In questa fase, non è richiesta un’analisi completa: è sufficiente comunicare che l’incidente è avvenuto, la sua natura e l’impatto preliminare.
Cosa include: identificazione del soggetto, data e ora di rilevamento, descrizione sintetica dell’evento, sistemi potenzialmente coinvolti, misure di contenimento già adottate.
Notifica intermedia — entro 72 ore
Entro 72 ore dalla conoscenza dell’incidente, va inviata la notifica vera e propria con una valutazione più approfondita. In questa fase, l’organizzazione deve aver avviato l’analisi forense e avere indicatori di compromissione da condividere.
Cosa include: valutazione iniziale dell’impatto (utenti coinvolti, sistemi, servizi), indicatori di compromissione (IOC), misure di contenimento adottate, eventuale coinvolgimento di terzi o fornitori, aggiornamento sullo stato dell’incidente.
Relazione finale — entro 30 giorni
Entro 30 giorni dalla notifica intermedia (o dalla risoluzione dell’incidente), va inviata al CSIRT Italia la relazione finale con l’analisi tecnica completa. Questa relazione è fondamentale anche ai fini della difesa in caso di procedimento sanzionatorio.
Cosa include: causa radice dell’incidente (root cause analysis), descrizione completa del vettore di attacco, impatto definitivo su sistemi, dati e servizi, misure correttive implementate e piano di miglioramento per prevenire recidive.
Come compilare e inviare
la notifica incidente al CSIRT Italia
La notifica deve seguire il formato stabilito da ACN. Di seguito, i passaggi operativi per adempiere correttamente all’obbligo, dalla prima conoscenza dell’incidente fino alla relazione finale.
Accedere al portale ACN/CSIRT
La notifica incidente al CSIRT Italia va inviata tramite il portale ufficiale del CSIRT. Per poter accedere, l’organizzazione deve essere già registrata come soggetto NIS2 nel registro ACN. In alternativa, per comunicazioni urgenti, è possibile scrivere direttamente all’indirizzo email del CSIRT.
csirt.gov.it |
Email: csirt@acn.gov.it |
Emergenza H24: +39 06 5482 2100
Raccogliere le informazioni essenziali
Prima di inviare il preavviso delle 24 ore, è fondamentale raccogliere rapidamente le informazioni di base. In questa fase, la completezza non è richiesta: l’obiettivo è comunicare l’evento con le informazioni disponibili in quel momento.
Avviare l’analisi forense in parallelo
Mentre si prepara il preavviso, è essenziale avviare immediatamente l’analisi forense per non perdere le evidenze digitali in memoria. Di conseguenza, è fondamentale non spegnere i sistemi compromessi e preservare i log prima di eventuali attività di remediation.
Valutare se è necessaria anche la notifica al Garante
Se l’incidente ha comportato una violazione di dati personali (accesso non autorizzato, esfiltrazione, cancellazione o alterazione di dati personali), va valutata anche la notifica al Garante Privacy entro 72 ore ai sensi del GDPR. Le due notifiche sono indipendenti e possono essere entrambe necessarie.
Inviare la notifica intermedia entro 72 ore
Con la valutazione iniziale completata, va inviata la notifica formale entro 72 ore. In questa fase, è possibile aggiornare le informazioni già trasmesse con il preavviso e aggiungere gli indicatori di compromissione (IOC) identificati dall’analisi forense.
Redigere e inviare la relazione finale
Entro 30 giorni, va completata la root cause analysis e redatta la relazione finale. Questa documentazione è essenziale non solo per adempiere all’obbligo normativo, ma anche perché costituisce la difesa principale in caso di procedimento sanzionatorio da parte di ACN.
NIS2, GDPR e DORA:
obblighi di notifica a confronto
Molte organizzazioni sono contemporaneamente soggette a più normative che impongono obblighi di notifica incidente. Pertanto, è fondamentale conoscere se la notifica incidente al CSIRT Italia (NIS2) si affianca o si sostituisce ad altri adempimenti verso il Garante Privacy (GDPR) o le autorità DORA. Di seguito, un confronto sintetico.
| Normativa | A chi notificare | Entro quando | Soggetti obbligati | Sanzione massima |
|---|---|---|---|---|
| NIS2 D.lgs. 138/2024 |
CSIRT Italia / ACN | Preavviso 24h · Notifica 72h · Relazione 30gg | Soggetti essenziali e importanti nei settori critici | €10M o 2% fatturato globale |
| GDPR Reg. UE 2016/679 |
Garante Privacy | 72 ore dalla conoscenza | Tutti i titolari del trattamento (se violazione dati personali) | €20M o 4% fatturato globale |
| DORA Reg. UE 2022/2554 |
Autorità competente di settore (Banca d’Italia, Consob, IVASS) | Preavviso 4h · Notifica intermedia 24h · Finale 30gg | Entità finanziarie (banche, assicurazioni, investimenti, cripto) | Fino al 2% del fatturato annuo |
| DPCM 81/2021 Perimetro Cibernetico |
ACN e CSIRT | 6 ore per incidenti ad alto impatto | Soggetti del Perimetro Nazionale di Sicurezza Cibernetica | Fino a €1,8M |
Attenzione: Le notifiche previste dalle diverse normative non si sostituiscono a vicenda. Un’organizzazione soggetta sia a NIS2 sia al GDPR, in caso di incidente ransomware con esfiltrazione di dati, potrebbe dover notificare contemporaneamente sia al CSIRT Italia sia al Garante Privacy, ognuno con le proprie scadenze e contenuti. Allo stesso modo, un istituto finanziario potrebbe dover gestire le notifiche NIS2, DORA e GDPR nello stesso incidente.
Sanzioni NIS2 per mancata o tardiva
notifica incidente al CSIRT
La NIS2 distingue tra soggetti essenziali e soggetti importanti, applicando sanzioni diverse per ognuna delle due categorie in caso di mancata o tardiva notifica incidente al CSIRT Italia. Tuttavia, in entrambi i casi, le conseguenze finanziarie e reputazionali sono rilevanti.
🔴 Soggetti Essenziali
- Mancato preavviso entro 24 ore
- Mancata notifica entro 72 ore
- Assenza di misure di sicurezza minime NIS2
- Sospensione temporanea dell’attività (misura accessoria)
- Interdizione per i vertici aziendali responsabili
🟡 Soggetti Importanti
- Mancato preavviso entro 24 ore
- Mancata notifica entro 72 ore
- Assenza di misure di sicurezza proporzionate
- Sospensione temporanea dell’attività (misura accessoria)
- Obbligo di audit da parte di ACN a spese del soggetto
Responsabilità degli organi di gestione: La NIS2 prevede, in particolare, la responsabilità personale degli organi direttivi (CEO, CDA) per mancato adempimento degli obblighi di sicurezza. Di conseguenza, in caso di violazione grave, ACN può vietare temporaneamente ai vertici aziendali l’esercizio di funzioni dirigenziali.
La notifica al CSIRT è l’ultimo passo.
Fortgale lavora per non arrivarci.
Gestire una notifica al CSIRT significa trovarsi già in piena crisi: dati compromessi, operazioni bloccate, clienti allarmati, sanzioni in vista. Fortgale interviene molto prima — intercettando le minacce nella fase silenziosa, quando sono ancora fermabili.
Rilevamento 24/7 prima dell’incidente
Il SOC Fortgale monitora la rete in tempo reale, rilevando i comportamenti anomali — movimento laterale, escalation dei privilegi, esfiltrazione — nelle settimane che precedono un incidente. In questo modo, l’attacco viene bloccato prima di diventare un incidente da notificare.
Threat Intelligence contestuale
Monitoriamo le infrastrutture dei principali gruppi ransomware e APT attivi contro organizzazioni italiane. Pertanto, quando un attore di minaccia prepara una campagna, lo sappiamo prima che colpisca — consentendoci di alzare le difese in anticipo.
Supporto completo alla notifica post-incidente
Se l’incidente si verifica nonostante le misure preventive, Fortgale gestisce l’intero processo: analisi forense, contenimento, redazione delle notifiche NIS2 e GDPR nei tempi di legge, e relazione finale per ACN. Inoltre, supportiamo la comunicazione con le autorità competenti.
Esperienza multi-normativa e multi-settoriale
Operiamo in settori essenziali e importanti ai sensi NIS2: energia, manifatturiero, finanza, difesa, infrastrutture critiche. Conosciamo gli obblighi specifici di ogni settore e garantiamo la conformità a NIS2, GDPR e DORA nello stesso processo integrato.
Perché la prevenzione vale più della gestione
Un incidente non notificato nei tempi costa in media 3,5 volte il costo dell’incidente stesso.
Tra sanzioni NIS2, GDPR, blocco operativo, danno reputazionale e costi legali, la gestione post-incidente è esponenzialmente più costosa della prevenzione. Tuttavia, molte organizzazioni lo scoprono solo quando è troppo tardi.
Il SOC Fortgale riduce drasticamente la probabilità di arrivare a un incidente notificabile. E nei casi in cui l’incidente si verifichi nonostante le misure adottate, la nostra esperienza garantisce che la risposta — inclusa la notifica — sia precisa, tempestiva e documentata.
I servizi Fortgale per prevenire
e gestire gli incidenti NIS2
Fortgale offre una copertura integrata che copre tutte le fasi: dalla prevenzione continua alla risposta immediata, fino al supporto normativo post-incidente. In questo modo, un unico partner gestisce l’intero ciclo di vita della sicurezza aziendale.
MDR — Managed Detection & Response
Monitoraggio continuo di endpoint, rete e cloud con risposta attiva agli incidenti. Rileva i comportamenti anomali in tempo reale e contiene le minacce prima che si trasformino in incidenti da notificare. Inoltre, riduce significativamente i falsi positivi grazie ad analisti dedicati.
Scopri MDR →SOC — Security Operations Center
Analisti specializzati operativi ogni ora del giorno. Il SOC Fortgale interpreta gli alert, verifica le anomalie e attiva i protocolli di risposta in caso di minaccia confermata. Pertanto, garantisce la continuità operativa anche nei momenti di crisi.
Scopri il SOC →Incident Response & NIS2 Support
In caso di incidente, Fortgale gestisce end-to-end la risposta: analisi forense, contenimento, eradicazione, ripristino sicuro e supporto alla notifica CSIRT entro le scadenze NIS2. Infine, forniamo la relazione finale per ACN e il supporto legale-normativo.
Richiedi supporto →Domande frequenti sulla
notifica incidente CSIRT Italia
Un SOC che lavora ogni giorno
perché non si arrivi mai al CSIRT.
La migliore gestione di un incidente è quella che non avviene. Fortgale monitora la tua infrastruttura 24/7, intercetta le minacce nelle fasi silenziose e garantisce la conformità NIS2 prima, durante e dopo un incidente.
