NIS2 · D.Lgs. 138/2024 · CSIRT Italia

Obbligo di notifica NIS2: quando scatta e come ridurlo.

La Direttiva NIS2, recepita con il D.Lgs. 138/2024, impone la notifica degli incidenti significativi entro scadenze perentorie. Ma un incidente rilevato e contenuto prima di produrre impatti spesso non raggiunge la soglia di significatività: il modo migliore di gestire l'obbligo è ridurre gli incidenti che lo fanno scattare.

24hEarly warning
72hNotifica completa
30ggReport finale
Fortgale · NIS2 Clock
D.Lgs. 138/2024
Early Warning · CSIRT Critico
⏱ Entro 24 ORE dalla scoperta
Notifica incidente completa Urgente
⏱ Entro 72 ORE dalla scoperta
Report finale & analisi Obbligatorio
⏱ Entro 30 GIORNI dalla scoperta
⚠️ Servono supporto? Fortgale IR Team operativo 24·7, affiancamento immediato
Conformità · NIS2
D.Lgs. 138/2024
Direttiva (UE) 2022/2555
csirt.gov.it
GDPR · art. 33
Standard IR
ISO/IEC 27001
MITRE ATT&CK
NIST IR
Come Fortgale supporta la gestione NIS2

Tre obiettivi contemporanei: contenere, notificare, prevenire.

Durante un incidente non basta notificare. Servono contenimento forense, raccolta IOC, redazione documentazione e prevenzione del reingresso.

01 ·

Conferma eradicazione attaccanti

Prima di tornare operativi: certezza forense che gli attaccanti siano stati completamente rimossi (endpoint, credenziali, persistence, backdoor).

02 ·

Notifica NIS2 al CSIRT

Raccolta IOC, timeline e informazioni richieste per le notifiche 24h e 72h, compilazione del portale CSIRT e relazione finale a 30gg con root cause analysis.

03 ·

Prevenzione nuovi attacchi

Monitoraggio MDR post-incidente e Feed di Intelligence proprietario per visibilità immediata su tentativi di reintrusione e nuovi IOC correlati all'attaccante.

Proof · scadenze NIS2

Quattro numeri da memorizzare.

24h
Early warning
perentorio · senza deroga
72h
Notifica completa
al CSIRT Italia
30gg
Report finale · root cause
+ relazione intermedia se perdura
10 M€
Sanzione mancata notifica
soggetti essenziali (2% fatturato)
Le tre scadenze NIS2

24 ore · 72 ore · 30 giorni. Ognuna ha contenuti specifici.

Ogni fase ha contenuti minimi obbligatori. Per la procedura operativa di invio (portale, contatti, compilazione) vedi la guida alla notifica al CSIRT Italia.

24
ORE
Preavviso · CRITICO

Segnalazione preliminare urgente al CSIRT Italia.

  • Conferma incidente significativo
  • Natura dolosa/accidentale
  • Impatto transfrontaliero
  • Classificazione preliminare
⏱ Scadenza perentoria · nessuna deroga
72
ORE
Notifica completa

Notifica formale con valutazione iniziale e IOC.

  • Descrizione + timeline + vettore
  • Classificazione di gravità
  • Cause iniziali
  • IOC (IP, domini, hash, URL)
  • Utenti/servizi impattati
  • Misure di contenimento
  • Implicazioni terzi/supply chain
⏱ Aggiorna la notifica delle 24h se già inviata
30
GIORNI
Relazione finale

Relazione finale con root cause analysis.

  • Descrizione completa
  • Root cause analysis
  • Impatto effettivo quantificato
  • Misure di remediation
  • Misure preventive
  • Analisi forense
  • Aggiornamento supply chain
⏱ Se l'incidente dura oltre 30 giorni: relazione intermedia
Cos'è un incidente significativo

Quattro criteri · uno basta.

In caso di dubbio sulla significatività, notificare è sempre la scelta sicura: la mancata notifica è sanzionata, una notifica non necessaria no.

Criterio

Grave perturbazione operativa

Server ERP bloccato 6+ ore, sistemi critici compromessi, servizi pubblici interrotti.

Criterio

Perdite finanziarie rilevanti

Ransomware con riscatto, frode BEC, furto di dati commerciali, danni economici diretti.

Criterio

Danni a persone o terzi

Data breach con dati personali, dati sanitari, attacchi a infrastrutture terze (parallelo GDPR art. 33).

Criterio

Impatto transfrontaliero

Effetti su soggetti UE; comunicazione coordinata via rete EU-CyCLONe e CSIRT europei.

Sotto la soglia

L'incidente meglio gestito è quello che non diventa significativo.

La soglia NIS2 misura gli impatti: perturbazione grave, perdite rilevanti, danni a terzi. Un attacco fermato prima di produrli spesso non fa scattare l'obbligo. Un attacco non è un evento da segnalare: è qualcuno da fermare prima.

01 ·

Rilevare prima

Il SOC di Milano rileva con TTD mediano <15 minuti dalla telemetria all'alert. Non si valuta la significatività di ciò che si scopre dopo una settimana: si subisce.

02 ·

Contenere prima

Azione dell'analista con TTC mediano <30 minuti dalla detection. Un'intrusione contenuta in minuti raramente produce la perturbazione grave che rende l'incidente notificabile.

03 ·

Documentare sempre

La valutazione di significatività resta in capo al soggetto: Fortgale fornisce timeline, IOC e evidenze di contenimento per una decisione difendibile davanti ad ACN, in un senso o nell'altro.

Prima che accada

Sei pilastri preventivi · preparare prima dell'incidente.

La notifica in 24h è impossibile senza preparazione preventiva. Sei pilastri da implementare prima.

01

Piano di Incident Response NIS2

Playbook che definisce chi notifica, chi raccoglie IOC, chi prepara la documentazione, chi coordina con legale/DPO. Testato e aggiornato.

02

Monitoraggio & rilevazione 24·7

MDR e SIEM con detection avanzata. Non si può notificare in 24h se si scopre dopo una settimana.

03

Registrazione e log retention

Log di firewall, endpoint, autenticazione, email, prerequisito tecnico della compliance NIS2.

04

Classificazione preventiva asset

Inventario aggiornato per rispondere immediatamente a «è un incidente notificabile?».

05

Contatti CSIRT & canali

Registrazione preventiva sul portale CSIRT, test dei canali, formazione del personale designato.

06

Esercitazioni & tabletop NIS2

Simulazioni ransomware, data breach, supply chain per testare il piano IR prima dell'incidente reale.

Sanzioni a confronto

Soggetti essenziali vs importanti.

Soggetti Essenziali

€ 10.000.000 · 2 % fatturato

Energia, trasporti, banche, mercati finanziari, sanità, acque, infrastrutture digitali, ICT, PA, spazio. Accessorie: diffida pubblica, limitazione attività, sospensione certificazioni, misure cautelari.

Soggetti Importanti

€ 7.000.000 · 1,4 % fatturato

Postali, rifiuti, chimica, alimentare, manifatturiero, fornitori digitali, ricerca. Responsabilità personale dei dirigenti: temporanea interdizione dai ruoli direttivi possibile.

Le sanzioni NIS2 si aggiungono, e non sostituiscono, le eventuali sanzioni GDPR (fino al 4% fatturato globale), le responsabilità civili e le conseguenze penali in caso di dolo o grave negligenza.
FAQ

Tutto quello che serve sapere prima di dover notificare.

Cos'è un incidente significativo ai sensi della NIS2?

Un incidente è significativo quando causa o può causare grave perturbazione operativa, perdite finanziarie rilevanti, o danni significativi a persone fisiche o giuridiche terze. I parametri includono: numero di utenti colpiti, durata dell'interruzione, impatto geografico e criticità del servizio. In caso di dubbio, notificare: la mancata notifica è sanzionata, una notifica non necessaria no.

Cosa succede se non si notifica entro le 24 ore?

Sanzioni fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali, fino a 7 milioni o l'1,4% per i soggetti importanti. ACN può disporre misure cautelari, limitazione temporanea delle attività e sanzioni personali ai dirigenti responsabili con interdizione dai ruoli direttivi.

La notifica al CSIRT protegge l'azienda da responsabilità legali?

La notifica è un obbligo di legge, non una protezione automatica. Notificare correttamente nei tempi previsti dimostra la conformità e può attenuare le sanzioni. Per i dati personali, la notifica al CSIRT si affianca, senza sostituirsi, a quella al Garante Privacy ex GDPR art. 33 (entro 72 ore).

Quali informazioni servono per la notifica di 72 ore?

Classificazione e gravità, cause iniziali, indicatori di compromissione (IOC), sistemi e dati coinvolti, misure di contenimento, numero di utenti/servizi impattati, impatto transfrontaliero. Avere un team tecnico che raccoglie le informazioni in parallelo alla risposta operativa è fondamentale.

Le PMI sono soggette agli obblighi di notifica NIS2?

Le PMI con meno di 50 dipendenti e meno di 10 milioni di fatturato sono generalmente escluse, salvo operino in settori ad alta criticità o siano identificate come soggetti critici da ACN. Le medie imprese (50-249 dipendenti, 10-50M€) rientrano tra i soggetti importanti.

Un incidente rilevato e contenuto rapidamente va comunque notificato?

Dipende dalla significatività. Se il contenimento tempestivo impedisce perturbazione grave, perdite rilevanti e danni a terzi, l'evento può non raggiungere la soglia e non far scattare l'obbligo. La valutazione resta in capo al soggetto e va documentata con evidenze tecniche: timeline, IOC, azioni di contenimento. Con TTD mediano <15 minuti e TTC mediano <30 minuti, gran parte degli eventi viene fermata prima di produrre gli impatti che rendono un incidente notificabile.

Caso reale · contenimento e notifica

Nell'Operation Storming Tide il team Fortgale ha rilevato e contenuto un'intrusione multi-stadio (attore Mora_001): esfiltrazione e ransomware prevenuti, con supporto alla notifica e alla documentazione dell'incidente.

Leggi l'analisi →
Gestite un incidente o vi state preparando?

Un SOC che lavora ogni giorno perché non si arrivi mai al CSIRT.

Sia per un incidente attivo da notificare al CSIRT Italia, sia per la preparazione preventiva agli obblighi NIS2, il team Fortgale è disponibile. Risposta immediata, supporto tecnico e legale coordinato.

Tempo di risposta: < 1 giorno lavorativo.