Conferma eradicazione attaccanti
Prima di tornare operativi: certezza forense che gli attaccanti siano stati completamente rimossi (endpoint, credenziali, persistence, backdoor).
La Direttiva NIS2, recepita con il D.Lgs. 138/2024, impone la notifica degli incidenti significativi entro scadenze perentorie. Ma un incidente rilevato e contenuto prima di produrre impatti spesso non raggiunge la soglia di significatività: il modo migliore di gestire l'obbligo è ridurre gli incidenti che lo fanno scattare.
Durante un incidente non basta notificare. Servono contenimento forense, raccolta IOC, redazione documentazione e prevenzione del reingresso.
Prima di tornare operativi: certezza forense che gli attaccanti siano stati completamente rimossi (endpoint, credenziali, persistence, backdoor).
Raccolta IOC, timeline e informazioni richieste per le notifiche 24h e 72h, compilazione del portale CSIRT e relazione finale a 30gg con root cause analysis.
Monitoraggio MDR post-incidente e Feed di Intelligence proprietario per visibilità immediata su tentativi di reintrusione e nuovi IOC correlati all'attaccante.
Ogni fase ha contenuti minimi obbligatori. Per la procedura operativa di invio (portale, contatti, compilazione) vedi la guida alla notifica al CSIRT Italia.
Segnalazione preliminare urgente al CSIRT Italia.
Notifica formale con valutazione iniziale e IOC.
Relazione finale con root cause analysis.
In caso di dubbio sulla significatività, notificare è sempre la scelta sicura: la mancata notifica è sanzionata, una notifica non necessaria no.
Server ERP bloccato 6+ ore, sistemi critici compromessi, servizi pubblici interrotti.
Ransomware con riscatto, frode BEC, furto di dati commerciali, danni economici diretti.
Data breach con dati personali, dati sanitari, attacchi a infrastrutture terze (parallelo GDPR art. 33).
Effetti su soggetti UE; comunicazione coordinata via rete EU-CyCLONe e CSIRT europei.
La soglia NIS2 misura gli impatti: perturbazione grave, perdite rilevanti, danni a terzi. Un attacco fermato prima di produrli spesso non fa scattare l'obbligo. Un attacco non è un evento da segnalare: è qualcuno da fermare prima.
Il SOC di Milano rileva con TTD mediano <15 minuti dalla telemetria all'alert. Non si valuta la significatività di ciò che si scopre dopo una settimana: si subisce.
Azione dell'analista con TTC mediano <30 minuti dalla detection. Un'intrusione contenuta in minuti raramente produce la perturbazione grave che rende l'incidente notificabile.
La valutazione di significatività resta in capo al soggetto: Fortgale fornisce timeline, IOC e evidenze di contenimento per una decisione difendibile davanti ad ACN, in un senso o nell'altro.
La notifica in 24h è impossibile senza preparazione preventiva. Sei pilastri da implementare prima.
Playbook che definisce chi notifica, chi raccoglie IOC, chi prepara la documentazione, chi coordina con legale/DPO. Testato e aggiornato.
MDR e SIEM con detection avanzata. Non si può notificare in 24h se si scopre dopo una settimana.
Log di firewall, endpoint, autenticazione, email, prerequisito tecnico della compliance NIS2.
Inventario aggiornato per rispondere immediatamente a «è un incidente notificabile?».
Registrazione preventiva sul portale CSIRT, test dei canali, formazione del personale designato.
Simulazioni ransomware, data breach, supply chain per testare il piano IR prima dell'incidente reale.
Energia, trasporti, banche, mercati finanziari, sanità, acque, infrastrutture digitali, ICT, PA, spazio. Accessorie: diffida pubblica, limitazione attività, sospensione certificazioni, misure cautelari.
Postali, rifiuti, chimica, alimentare, manifatturiero, fornitori digitali, ricerca. Responsabilità personale dei dirigenti: temporanea interdizione dai ruoli direttivi possibile.
Riduce il tempo di rilevazione da settimane a ore. Senza MDR, la finestra delle 24h è impossibile da rispettare.
Scopri MDR →IOC proprietari e threat actor tracking per accelerare la classificazione e la raccolta della documentazione di notifica.
Scopri CTI →Portale csirt.gov.it, contatti, contenuti minimi per fase e confronto NIS2 · GDPR · DORA: la guida operativa all'invio.
Vai alla procedura →Un incidente è significativo quando causa o può causare grave perturbazione operativa, perdite finanziarie rilevanti, o danni significativi a persone fisiche o giuridiche terze. I parametri includono: numero di utenti colpiti, durata dell'interruzione, impatto geografico e criticità del servizio. In caso di dubbio, notificare: la mancata notifica è sanzionata, una notifica non necessaria no.
Sanzioni fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali, fino a 7 milioni o l'1,4% per i soggetti importanti. ACN può disporre misure cautelari, limitazione temporanea delle attività e sanzioni personali ai dirigenti responsabili con interdizione dai ruoli direttivi.
La notifica è un obbligo di legge, non una protezione automatica. Notificare correttamente nei tempi previsti dimostra la conformità e può attenuare le sanzioni. Per i dati personali, la notifica al CSIRT si affianca, senza sostituirsi, a quella al Garante Privacy ex GDPR art. 33 (entro 72 ore).
Classificazione e gravità, cause iniziali, indicatori di compromissione (IOC), sistemi e dati coinvolti, misure di contenimento, numero di utenti/servizi impattati, impatto transfrontaliero. Avere un team tecnico che raccoglie le informazioni in parallelo alla risposta operativa è fondamentale.
Le PMI con meno di 50 dipendenti e meno di 10 milioni di fatturato sono generalmente escluse, salvo operino in settori ad alta criticità o siano identificate come soggetti critici da ACN. Le medie imprese (50-249 dipendenti, 10-50M€) rientrano tra i soggetti importanti.
Dipende dalla significatività. Se il contenimento tempestivo impedisce perturbazione grave, perdite rilevanti e danni a terzi, l'evento può non raggiungere la soglia e non far scattare l'obbligo. La valutazione resta in capo al soggetto e va documentata con evidenze tecniche: timeline, IOC, azioni di contenimento. Con TTD mediano <15 minuti e TTC mediano <30 minuti, gran parte degli eventi viene fermata prima di produrre gli impatti che rendono un incidente notificabile.
Nell'Operation Storming Tide il team Fortgale ha rilevato e contenuto un'intrusione multi-stadio (attore Mora_001): esfiltrazione e ransomware prevenuti, con supporto alla notifica e alla documentazione dell'incidente.
Leggi l'analisi →Sia per un incidente attivo da notificare al CSIRT Italia, sia per la preparazione preventiva agli obblighi NIS2, il team Fortgale è disponibile. Risposta immediata, supporto tecnico e legale coordinato.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.