NIS2: Entro Quanto Tempo Notificare un Incidente al CSIRT Italia | Fortgale
Scadenze NIS2 — Incidente rilevato
Early Warning al CSIRT Italia Critico
⏱ Entro 24 ORE dalla scoperta
Notifica Incidente Completa Urgente
⏱ Entro 72 ORE dalla scoperta
Report Finale e Analisi Obbligatorio
⏱ Entro 30 GIORNI dalla scoperta
⚠️
Hai bisogno di supporto? Fortgale IR Team operativo 24/7 — affiancamento immediato
NIS2 · D.Lgs. 138/2024

NIS2: entro quanto
tempo notificare
un incidente al
CSIRT Italia

La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, impone scadenze stringenti per la notifica degli incidenti informatici significativi. Rispettarle non è solo un obbligo di legge — è la differenza tra una gestione controllata e una crisi fuori controllo.

Supporto Incidente Attivo Le 3 scadenze NIS2 ↓
24h
Early Warning
72h
Notifica completa
30gg
Report finale
⚡ Incidente in corso?

Tre cose che devi fare adesso — prima che le scadenze scadano

Se hai rilevato un incidente informatico nelle ultime ore, il tempo è la variabile critica. Fortgale supporta le aziende soggette a NIS2 nelle tre priorità immediate dell’Incident Response: confermare l’eradicazione degli attaccanti, gestire la notifica al CSIRT e prevenire nuovi attacchi.

Conferma che gli attaccanti siano stati rimossi Supporto gestione incidente e notifica NIS2 Proteggi la rete da nuovi attacchi
Fortgale

Come Fortgale supporta la gestione dell’incidente NIS2

Rispettare le scadenze NIS2 durante un incidente attivo richiede capacità tecniche e organizzative che non si improvvisano. Fortgale affianca le aziende nelle tre fasi critiche: risposta all’incidente, notifica normativa e prevenzione dei ritorni dell’attaccante.

01
🔍

Conferma eradicazione degli attaccanti

Prima di tornare operativi, è necessario certezza forense che gli attaccanti siano stati completamente rimossi dalla rete — endpoint, credenziali, persistence e backdoor incluse. Fortgale conduce l’analisi forense e la verifica di eradicazione con metodologia strutturata.

02
📋

Notifica NIS2 al CSIRT Italia

Raccogliamo gli IOC, la timeline dell’incidente e le informazioni richieste per la notifica delle 24 ore e delle 72 ore. Supportiamo la compilazione dei report sul portale CSIRT Italia e la redazione della relazione finale dei 30 giorni con root cause analysis inclusa.

03
🛡️

Prevenzione di nuovi attacchi

Gli attaccanti tornano. Dopo un incidente, l’infrastruttura compromessa è un bersaglio noto. Il monitoraggio MDR post-incidente e il Feed di Intelligence proprietario Fortgale garantiscono visibilità immediata su eventuali tentativi di reintrusione e nuovi IOC correlati all’attaccante.

Il quadro normativo

La NIS2 e l’obbligo di notifica degli incidenti

⚠️
Stai gestendo un incidente informatico in questo momento? Le scadenze NIS2 decorrono dal momento in cui l’organizzazione viene a conoscenza dell’incidente, non da quando viene confermato. Ogni ora conta. Contatta il team Fortgale per supporto immediato nella gestione dell’incidente e nella predisposizione della notifica al CSIRT Italia.

La Direttiva NIS2 (EU 2022/2555), recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138, ha introdotto obblighi di notifica degli incidenti informatici significativi per decine di migliaia di soggetti italiani — pubblici e privati — operanti in settori considerati critici per la sicurezza nazionale ed economica.

Il punto di ricezione delle notifiche in Italia è il CSIRT Italia (Computer Security Incident Response Team), operante in seno all’Agenzia per la Cybersicurezza Nazionale (ACN). Le notifiche devono essere trasmesse attraverso il portale dedicato e rispettare contenuti e tempistiche specifici per ciascuna fase.

Non rispettare le scadenze — o non notificare un incidente che doveva essere notificato — espone l’organizzazione a sanzioni fino a 10 milioni di euro o al 2% del fatturato globale, oltre a potenziali misure cautelari e responsabilità personali per i dirigenti.

Soggetti obbligati
Soggetti Essenziali (SE) Soggetti Importanti (SI) Energia Trasporti Banche e Finanza Sanità Infrastrutture Digitali PA Manifatturiero Rifiuti
Le tempistiche

Le 3 scadenze per la notifica al CSIRT Italia

NIS2 articola l’obbligo di notifica in tre fasi progressive. Ogni fase ha contenuti specifici e tempi perentori. Il dies a quo — il giorno zero — decorre dal momento in cui l’organizzazione viene a conoscenza dell’incidente significativo.

24
ore — Early Warning
Segnalazione preliminare urgente
La prima notifica è una segnalazione rapida che serve al CSIRT per avere contezza immediata dell’incidente. Non è richiesta un’analisi completa, ma le informazioni essenziali devono essere trasmesse entro 24 ore dalla scoperta.
Contenuto minimo richiesto:
  • Indicazione che si è verificato un incidente significativo
  • Se l’incidente è sospettato di essere doloso (attacco)
  • Se ha impatto transfrontaliero su altri Stati UE
  • Classificazione iniziale del tipo di incidente
⏱ Scadenza perentoria — Nessuna deroga
72
ore — Notifica Incidente
Notifica completa dell’incidente
Entro 72 ore deve essere trasmessa la notifica completa dell’incidente, comprensiva di analisi tecnica, impatto stimato e misure di contenimento adottate. È la notifica principale ai fini del rispetto degli obblighi NIS2.
Contenuto richiesto:
  • Classificazione e gravità dell’incidente
  • Cause iniziali identificate (se note)
  • Indicatori di compromissione (IOC) disponibili
  • Sistemi, reti e dati coinvolti
  • Numero di utenti o servizi impattati
  • Misure di contenimento e mitigazione adottate
  • Impatto su altri soggetti o infrastrutture
⏱ Aggiorna la notifica delle 24h se già inviata
30
giorni — Report Finale
Relazione finale e analisi
Entro un mese dall’incidente, l’organizzazione deve trasmettere la relazione finale completa, che include l’analisi delle cause profonde, le misure correttive implementate e le lezioni apprese. È il documento che chiude formalmente la notifica.
Contenuto richiesto:
  • Descrizione dettagliata dell’incidente e della sua evoluzione
  • Analisi delle cause radice (root cause analysis)
  • Impatto effettivo — economico, operativo, reputazionale
  • Misure correttive e di remediation implementate
  • Misure preventive adottate contro futuri attacchi
  • Eventuali responsabilità di terzi nella supply chain
⏱ Se l’incidente dura oltre 30 giorni: relazione intermedia
Perimetro di obbligo

Cos’è un incidente “significativo” secondo NIS2

Non tutti gli incidenti informatici devono essere notificati al CSIRT Italia. L’obbligo scatta solo per gli incidenti che superano determinate soglie di impatto — definite come “significativi” dalla normativa. Valutare correttamente questa soglia è critico: notificare il giusto al momento giusto.

🏭
Grave perturbazione operativa
L’incidente causa o può causare un’interruzione significativa della fornitura del servizio: sistemi core non disponibili, processi produttivi bloccati, accesso ai dati impedito. La soglia tiene conto della durata, dell’ampiezza e della criticità dei servizi impattati.
→ Server ERP bloccato per 6+ ore
→ Accesso ai sistemi critici compromesso
→ Servizi pubblici interrotti
💶
Perdite finanziarie rilevanti
L’incidente determina perdite finanziarie dirette significative per l’organizzazione: costi di ripristino, perdita di fatturato, pagamenti a terzi. I criteri quantitativi specifici saranno definiti da ACN per settore.
→ Ransomware con richiesta di riscatto
→ Frode tramite BEC (Business Email Compromise)
→ Furto di dati con valore commerciale
👥
Danni a persone fisiche o terzi
L’incidente causa o rischia di causare danni a persone fisiche (es. violazione di dati sanitari) o a soggetti terzi (clienti, fornitori, partner). Include la violazione di dati personali con obbligo parallelo di notifica al Garante Privacy (GDPR art. 33).
→ Data breach con dati personali esfiltrati
→ Compromissione dati sanitari dei pazienti
→ Attacco a sistema che gestisce infrastrutture terze
🌐
Impatto transfrontaliero
L’incidente ha effetti o potenziali effetti su soggetti o servizi in altri Stati Membri dell’UE. In questo caso la notifica al CSIRT Italia si accompagna a una comunicazione verso i CSIRT degli altri Paesi coinvolti attraverso la rete EU-CERT.
→ Attacco a infrastruttura con nodi in più Paesi UE
→ Propagazione malware a partner europei
→ Servizi SaaS con utenti transfrontalieri

Regola pratica: in caso di dubbio sulla significatività dell’incidente, notificare è sempre la scelta sicura. La mancata notifica di un incidente che avrebbe dovuto essere notificato è sanzionata; una notifica considerata non necessaria non comporta sanzioni. Nei casi incerti, contatta il CSIRT anche in via informale per una valutazione preliminare.

Contenuto delle notifiche

Cosa deve contenere ogni notifica

La qualità delle informazioni trasmesse è determinante sia per il rispetto degli obblighi NIS2, sia per ricevere supporto tempestivo dal CSIRT Italia. Ecco il dettaglio dei campi richiesti in ciascuna fase.

24h
Ore
Early Warning
!
Conferma che si è verificato un incidente informatico significativo (o fortemente sospettato tale)
!
Indicazione se l’incidente è sospettato essere di natura dolosa (attacco informatico) o accidentale
!
Se l’incidente ha o potrebbe avere impatto transfrontaliero su altri Stati Membri UE
!
Classificazione preliminare della tipologia di incidente (ransomware, data breach, DDoS, supply chain…)
72h
Ore
Notifica Completa
Descrizione dettagliata dell’incidente: timeline, vettore di attacco, sistemi coinvolti
Classificazione della gravità e impatto stimato (operativo, economico, reputazionale)
Cause iniziali identificate o fortemente sospettate
Indicatori di compromissione (IOC) disponibili: IP, domini, hash, URL malevoli
Numero di utenti, clienti o servizi impattati; durata dell’interruzione
Misure di contenimento già adottate e stato del ripristino
Eventuali implicazioni su soggetti terzi o sulla catena di fornitura
30gg
Giorni
Report Finale
Descrizione completa e definitiva dell’incidente nella sua interezza
Root cause analysis: le cause profonde che hanno reso possibile l’incidente
Impatto effettivo — definitivo e quantificato — su operatività, dati e terzi
Misure di remediation implementate per eliminare la compromissione
Misure preventive adottate per impedire il ripetersi dell’incidente
Analisi forense disponibile e documentazione tecnica allegata
Aggiornamento su eventuali coinvolgimenti di terzi nella supply chain
Conseguenze

Le sanzioni per mancata o tardiva notifica

Il D.Lgs. 138/2024 prevede sanzioni amministrative significative per i soggetti che non rispettano gli obblighi di notifica NIS2. Le sanzioni si applicano in modo differenziato tra soggetti essenziali e soggetti importanti.

Soggetti Essenziali (SE)
€ 10.000.000
oppure, se superiore:
2% del fatturato annuo globale
Applicabile a organizzazioni operanti nei settori ad alta criticità: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione, spazio.
Sanzioni accessorie: diffida pubblica, limitazione temporanea delle attività, sospensione delle certificazioni, misure cautelari sull’operatività del soggetto.
Soggetti Importanti (SI)
€ 7.000.000
oppure, se superiore:
1,4% del fatturato annuo globale
Applicabile a organizzazioni operanti nei settori a criticità significativa: servizi postali, gestione dei rifiuti, produzione e distribuzione di prodotti chimici, produzione di alimenti, industria manifatturiera, fornitori di servizi digitali, ricerca.
Responsabilità personale: i dirigenti responsabili della funzione di sicurezza possono essere soggetti a sanzioni personali e temporanea interdizione dai ruoli direttivi.

Nota importante: le sanzioni NIS2 si aggiungono — e non sostituiscono — le eventuali sanzioni GDPR per violazione dei dati personali (fino al 4% del fatturato globale), le responsabilità civili verso i soggetti danneggiati dall’incidente, e le conseguenze penali in caso di dolo o grave negligenza. Una corretta gestione della notifica è il primo atto di tutela legale dell’organizzazione.

Prima che accada

Come prepararsi alla NIS2 prima di un incidente

La gestione di un incidente NIS2 non si improvvisa. Le organizzazioni che rispondono efficacemente hanno già strutturato, in anticipo, i processi e le capacità che rendono possibile una risposta nei tempi normativi.

01

Piano di Incident Response NIS2

Un playbook specifico che definisce chi notifica al CSIRT, chi raccoglie gli IOC, chi prepara la documentazione e chi coordina con legale e DPO. Senza questo piano, in un incidente reale si perde tempo prezioso nelle prime ore critiche.

02

Monitoraggio e rilevazione 24/7

Non puoi notificare un incidente in 24 ore se lo scopri dopo una settimana. Il rilevamento tempestivo è la precondizione di ogni obbligo NIS2. MDR e SIEM con detection avanzata riducono il tempo medio di scoperta da mesi a ore.

03

Registrazione e log retention

La notifica al CSIRT richiede log, IOC e timeline. Senza log adeguati — firewall, endpoint, autenticazione, email — è impossibile ricostruire la catena d’attacco nei tempi previsti. La log policy è il prerequisito tecnico della compliance NIS2.

04

Classificazione preventiva degli asset

Sapere in anticipo quali sistemi sono critici accelera la valutazione della significatività dell’incidente. Avere un inventario aggiornato di asset, dati e servizi essenziali permette di rispondere rapidamente alla domanda “è un incidente NIS2 notificabile?”

05

Contatti CSIRT e canali dedicati

Registrare preventivamente l’organizzazione sul portale CSIRT Italia, testare i canali di notifica e formare il personale responsabile riduce il rischio di errori procedurali nel momento di massima pressione operativa — durante un incidente attivo.

06

Esercitazioni e tabletop NIS2

Simulare scenari di incidente in un ambiente controllato — ransomware, data breach, supply chain attack — permette di testare il piano di IR, individuare i gap procedurali e formare il team prima che la situazione reale renda ogni errore costoso.

Servizi Fortgale

I servizi che rendono possibile la conformità NIS2

Dalla prevenzione al post-incidente, Fortgale offre le capacità operative necessarie per rispettare gli obblighi NIS2 e ridurre il rischio di incidenti notificabili.

🔭
MDR — Managed Detection & Response
Monitoraggio 24/7 che riduce il tempo di rilevazione da settimane a ore — precondizione di ogni obbligo di notifica NIS2. Alert reali, non rumore.
Scopri MDR →
🧠
Cyber Threat Intelligence
IOC proprietari e threat actor tracking che alimentano la risposta agli incidenti con contesto operativo immediato — utili alla notifica CSIRT e al report finale.
Scopri CTI →
🪪
ITDR — Identity Threat Detection
Il 80% degli incidenti NIS2 notificabili coinvolge identità compromesse. ITDR rileva in tempo reale gli attacchi all’Active Directory e alle identità cloud.
Scopri ITDR →
FAQ

Domande frequenti sulla notifica NIS2 al CSIRT Italia

Le domande più comuni che riceviamo dalle aziende durante e prima di un incidente informatico soggetto a NIS2.

Un incidente è considerato significativo quando causa o può causare una grave perturbazione operativa, perdite finanziarie rilevanti, o danni significativi a persone fisiche o giuridiche terze. I parametri includono: numero di utenti colpiti, durata dell’interruzione, impatto geografico e criticità del servizio interrotto. In caso di dubbio, la norma suggerisce di notificare — la mancata notifica è sanzionata, la notifica non necessaria no.
La mancata o tardiva notifica espone il soggetto a sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo globale per i soggetti essenziali, e fino a 7 milioni di euro o l’1,4% per i soggetti importanti. L’ACN può disporre misure cautelari e limitazione temporanea delle attività. I dirigenti responsabili possono essere soggetti a sanzioni personali e temporanea interdizione dai ruoli direttivi.
La notifica è un obbligo di legge, non una protezione automatica. Notificare correttamente e nei tempi previsti dimostra la conformità agli obblighi NIS2 e può attenuare le sanzioni. Non notificare, al contrario, aggrava la posizione legale dell’azienda sia sul piano amministrativo che in eventuali contenziosi civili con soggetti danneggiati. Nei casi in cui l’incidente coinvolge dati personali, la notifica al CSIRT si affianca — senza sostituirsi — alla notifica al Garante Privacy prevista dal GDPR (art. 33, entro 72 ore).
La notifica delle 72 ore deve includere: classificazione e gravità dell’incidente, cause iniziali identificate (se note), indicatori di compromissione (IOC), sistemi e dati coinvolti, misure di contenimento adottate, numero di utenti o servizi impattati, e impatto transfrontaliero se applicabile. Avere un team tecnico che supporta la raccolta di queste informazioni in parallelo alla risposta operativa è fondamentale per rispettare la scadenza senza compromettere la gestione dell’incidente.
Le PMI con meno di 50 dipendenti e meno di 10 milioni di euro di fatturato sono generalmente escluse dalla NIS2, salvo operino in settori ad alta criticità o siano identificate come soggetti critici da ACN indipendentemente dalla dimensione. Le medie imprese (50–249 dipendenti, 10–50M€ fatturato) rientrano nella categoria dei soggetti importanti. Per verificare se la tua organizzazione è soggetta agli obblighi NIS2, è necessario un’analisi del settore di attività e delle dimensioni aziendali rispetto ai criteri del D.Lgs. 138/2024.

Gestisci un incidente o vuoi prepararti prima?

Che si tratti di un incidente attivo da notificare al CSIRT Italia o di una preparazione preventiva agli obblighi NIS2, il team Fortgale è a disposizione. Risposta immediata, supporto tecnico e legale coordinato.

Supporto Incidente Attivo Valutazione NIS2 Preventiva Scopri Zero Trust →