NIS2 · D.Lgs. 138/2024 · CSIRT Italia

Entro quanto tempo notificare un incidente al CSIRT Italia?

La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, impone scadenze stringenti per la notifica degli incidenti informatici significativi. Rispettarle non è solo un obbligo di legge — è la differenza tra una gestione controllata e una crisi fuori controllo.

🔴 Incidente in corso · +39 02 8969 2266 Le 3 scadenze ↓
24hEarly warning
72hNotifica completa
30ggReport finale
Fortgale · NIS2 Clock
D.Lgs. 138/2024
Early Warning · CSIRT Critico
⏱ Entro 24 ORE dalla scoperta
Notifica incidente completa Urgente
⏱ Entro 72 ORE dalla scoperta
Report finale & analisi Obbligatorio
⏱ Entro 30 GIORNI dalla scoperta
⚠️ Servono supporto? Fortgale IR Team operativo 24·7 — affiancamento immediato
Conformità · NIS2
D.Lgs. 138/2024
Direttiva (UE) 2022/2555
csirt.gov.it
GDPR · art. 33
Standard IR
ISO/IEC 27001
MITRE ATT&CK
NIST IR
Come Fortgale supporta la gestione NIS2

Tre obiettivi contemporanei: contenere, notificare, prevenire.

Durante un incidente non basta notificare. Servono contenimento forense, raccolta IOC, redazione documentazione e prevenzione del reingresso.

01 ·

Conferma eradicazione attaccanti

Prima di tornare operativi: certezza forense che gli attaccanti siano stati completamente rimossi (endpoint, credenziali, persistence, backdoor).

02 ·

Notifica NIS2 al CSIRT

Raccolta IOC, timeline e informazioni richieste per le notifiche 24h e 72h, compilazione del portale CSIRT e relazione finale a 30gg con root cause analysis.

03 ·

Prevenzione nuovi attacchi

Monitoraggio MDR post-incidente e Feed di Intelligence proprietario per visibilità immediata su tentativi di reintrusione e nuovi IOC correlati all'attaccante.

Proof · scadenze NIS2

Quattro numeri da memorizzare.

24h
Early warning
perentorio · senza deroga
72h
Notifica completa
al CSIRT Italia
30gg
Report finale · root cause
+ relazione intermedia se perdura
10 M€
Sanzione mancata notifica
soggetti essenziali (2% fatturato)
Le tre scadenze NIS2

24 ore · 72 ore · 30 giorni. Ognuna ha contenuti specifici.

Ogni fase ha contenuti minimi obbligatori. Fortgale supporta la raccolta e la redazione end-to-end.

24
ORE
Preavviso · CRITICO

Segnalazione preliminare urgente al CSIRT Italia.

  • Conferma incidente significativo
  • Natura dolosa/accidentale
  • Impatto transfrontaliero
  • Classificazione preliminare
⏱ Scadenza perentoria · nessuna deroga
72
ORE
Notifica completa

Notifica formale con valutazione iniziale e IOC.

  • Descrizione + timeline + vettore
  • Classificazione di gravità
  • Cause iniziali
  • IOC (IP, domini, hash, URL)
  • Utenti/servizi impattati
  • Misure di contenimento
  • Implicazioni terzi/supply chain
⏱ Aggiorna la notifica delle 24h se già inviata
30
GIORNI
Relazione finale

Relazione finale con root cause analysis.

  • Descrizione completa
  • Root cause analysis
  • Impatto effettivo quantificato
  • Misure di remediation
  • Misure preventive
  • Analisi forense
  • Aggiornamento supply chain
⏱ Se l'incidente dura oltre 30 giorni: relazione intermedia
Cos'è un incidente significativo

Quattro criteri · uno basta.

In caso di dubbio sulla significatività, notificare è sempre la scelta sicura: la mancata notifica è sanzionata, una notifica non necessaria no.

Criterio

Grave perturbazione operativa

Server ERP bloccato 6+ ore, sistemi critici compromessi, servizi pubblici interrotti.

Criterio

Perdite finanziarie rilevanti

Ransomware con riscatto, frode BEC, furto di dati commerciali, danni economici diretti.

Criterio

Danni a persone o terzi

Data breach con dati personali, dati sanitari, attacchi a infrastrutture terze (parallelo GDPR art. 33).

Criterio

Impatto transfrontaliero

Effetti su soggetti UE; comunicazione coordinata via rete EU-CyCLONe e CSIRT europei.

Prima che accada

Sei pilastri preventivi · preparare prima dell'incidente.

La notifica in 24h è impossibile senza preparazione preventiva. Sei pilastri da implementare prima.

01

Piano di Incident Response NIS2

Playbook che definisce chi notifica, chi raccoglie IOC, chi prepara la documentazione, chi coordina con legale/DPO. Testato e aggiornato.

02

Monitoraggio & rilevazione 24·7

MDR e SIEM con detection avanzata. Non si può notificare in 24h se si scopre dopo una settimana.

03

Registrazione e log retention

Log di firewall, endpoint, autenticazione, email — prerequisito tecnico della compliance NIS2.

04

Classificazione preventiva asset

Inventario aggiornato per rispondere immediatamente a «è un incidente notificabile?».

05

Contatti CSIRT & canali

Registrazione preventiva sul portale CSIRT, test dei canali, formazione del personale designato.

06

Esercitazioni & tabletop NIS2

Simulazioni ransomware, data breach, supply chain per testare il piano IR prima dell'incidente reale.

Sanzioni a confronto

Soggetti essenziali vs importanti.

Soggetti Essenziali

€ 10.000.000 · 2 % fatturato

Energia, trasporti, banche, mercati finanziari, sanità, acque, infrastrutture digitali, ICT, PA, spazio. Accessorie: diffida pubblica, limitazione attività, sospensione certificazioni, misure cautelari.

Soggetti Importanti

€ 7.000.000 · 1,4 % fatturato

Postali, rifiuti, chimica, alimentare, manifatturiero, fornitori digitali, ricerca. Responsabilità personale dei dirigenti: temporanea interdizione dai ruoli direttivi possibile.

Le sanzioni NIS2 si aggiungono — e non sostituiscono — le eventuali sanzioni GDPR (fino al 4% fatturato globale), le responsabilità civili e le conseguenze penali in caso di dolo o grave negligenza.
Difesa integrata

Notificare è l'ultimo atto. Lavorare prima è il valore.

Riduzione MTTD

Managed Detection & Response

Riduce il tempo di rilevazione da settimane a ore. Senza MDR, la finestra delle 24h è impossibile da rispettare.

Scopri MDR →
IOC & attori

Cyber Threat Intelligence

IOC proprietari e threat actor tracking per accelerare la classificazione e la raccolta della documentazione di notifica.

Scopri CTI →
Identità

ITDR · Protezione Identità

L'80% degli incidenti NIS2 notificabili coinvolge identità compromesse. ITDR le protegge a 360°.

Scopri ITDR →
FAQ

Tutto quello che serve sapere prima di dover notificare.

Cos'è un incidente significativo ai sensi della NIS2?

Un incidente è significativo quando causa o può causare grave perturbazione operativa, perdite finanziarie rilevanti, o danni significativi a persone fisiche o giuridiche terze. I parametri includono: numero di utenti colpiti, durata dell'interruzione, impatto geografico e criticità del servizio. In caso di dubbio, notificare: la mancata notifica è sanzionata, una notifica non necessaria no.

Cosa succede se non si notifica entro le 24 ore?

Sanzioni fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali, fino a 7 milioni o l'1,4% per i soggetti importanti. ACN può disporre misure cautelari, limitazione temporanea delle attività e sanzioni personali ai dirigenti responsabili con interdizione dai ruoli direttivi.

La notifica al CSIRT protegge l'azienda da responsabilità legali?

La notifica è un obbligo di legge, non una protezione automatica. Notificare correttamente nei tempi previsti dimostra la conformità e può attenuare le sanzioni. Per i dati personali, la notifica al CSIRT si affianca — senza sostituirsi — a quella al Garante Privacy ex GDPR art. 33 (entro 72 ore).

Quali informazioni servono per la notifica di 72 ore?

Classificazione e gravità, cause iniziali, indicatori di compromissione (IOC), sistemi e dati coinvolti, misure di contenimento, numero di utenti/servizi impattati, impatto transfrontaliero. Avere un team tecnico che raccoglie le informazioni in parallelo alla risposta operativa è fondamentale.

Le PMI sono soggette agli obblighi di notifica NIS2?

Le PMI con meno di 50 dipendenti e meno di 10 milioni di fatturato sono generalmente escluse, salvo operino in settori ad alta criticità o siano identificate come soggetti critici da ACN. Le medie imprese (50-249 dipendenti, 10-50M€) rientrano tra i soggetti importanti.

Gestite un incidente o vi state preparando?

Un SOC che lavora ogni giorno perché non si arrivi mai al CSIRT.

Sia per un incidente attivo da notificare al CSIRT Italia, sia per la preparazione preventiva agli obblighi NIS2, il team Fortgale è disponibile. Risposta immediata, supporto tecnico e legale coordinato.

Tempo di risposta: < 1 giorno lavorativo.