NIS2 · D.Lgs. 138/2024 · CSIRT Italia · ACN

Come notificare un incidente al CSIRT Italia: la procedura.

Portale, canali di contatto, contenuti minimi delle tre fasi: la guida operativa all'invio della notifica. E il lavoro che viene prima: Fortgale rileva le minacce quando sono ancora silenziose, perché la procedura resti un'eccezione, non una routine.

24hPreavviso obbligatorio
72hNotifica completa
10 M€Sanzione massima
CSIRT Italia · contatti
Operativo H24
Emergenza H24 +39 06 5482 2100
Conformità
D.Lgs. 138/2024
Direttiva (UE) 2022/2555
Reg. UE 2016/679 (GDPR)
Reg. UE 2022/2554 (DORA)
Standard
ISO/IEC 27001
MITRE ATT&CK
NIS2 ready
Cos'è il CSIRT Italia

Il punto unico nazionale per la notifica e la risposta.

Istituito da ACN ai sensi della NIS2, coordina la risposta agli incidenti di rilevanza nazionale e la comunicazione tra soggetti colpiti e CSIRT europei. Per ruolo, storia e differenze con CERT e SOC: cos'è il CSIRT Italia.

01 ·

Chi è il CSIRT Italia

Istituito da ACN ai sensi della NIS2, coordina la risposta agli incidenti di rilevanza nazionale, gestisce la comunicazione tra soggetti colpiti e condivide informazioni con i CSIRT europei via rete EU-CyCLONe.

02 ·

Quando si notifica

Obbligatoria per soggetti essenziali e importanti NIS2 al verificarsi di un incidente significativo. Per incidenti che colpiscono altri Paesi UE il CSIRT coordina la comunicazione transfrontaliera.

03 ·

Come contattarlo

Portale csirt.gov.it, email csirt@acn.gov.it, numero di emergenza H24 +39 06 5482 2100. Registrazione preventiva richiesta sul registro ACN.

Proof · scadenze CSIRT

Quattro numeri da memorizzare.

24h
Preavviso iniziale
al CSIRT Italia
72h
Notifica intermedia
con IOC + valutazione
30gg
Relazione finale
con root cause
<30 min
TTC mediano Fortgale
contenere prima della soglia
Le tre fasi della notifica

24 ore · 72 ore · 30 giorni, schema operativo.

Procedura ufficiale CSIRT Italia. Ogni fase ha contenuti minimi obbligatori e tag operativi.

Schema notifica incidente CSIRT Italia NIS2: preavviso 24 ore, notifica intermedia 72 ore, relazione finale 30 giorni
Schema della procedura obbligatoria di notifica incidente al CSIRT Italia ai sensi del D.Lgs. 138/2024 (NIS2)
!
24 ORE Fase 1

Preavviso iniziale

  • Identificazione soggetto
  • Data/ora rilevamento
  • Descrizione sintetica
  • Sistemi coinvolti
  • Misure di contenimento
Obbligatorio NIS2Preavviso · senza analisi completaPortale csirt.gov.it
72 ORE Fase 2

Notifica intermedia

  • Valutazione iniziale impatto
  • IOC (IP, domini, hash, URL)
  • Misure di contenimento
  • Coinvolgimento terzi/fornitori
  • Stato avanzamento
Notifica formaleIOC + analisi preliminareAggiornamento sullo stato
30 GIORNI Fase 3

Relazione finale

  • Root cause analysis
  • Vettore d'attacco
  • Impatto definitivo
  • Misure correttive
  • Piano miglioramento
Root cause analysisImpatto definitivoPiano di remediation
Le notifiche obbligatorie a confronto

Quattro normative · scadenze e autorità diverse.

Quattro regimi di notifica, quattro autorità e quattro orologi diversi. Sapere quale scatta, e quando, è parte della procedura.

Normativa
Autorità
Scadenze
Soggetti obbligati
Sanzione massima
NIS2
D.Lgs. 138/2024
CSIRT Italia · ACN
24h preavviso · 72h notifica · 30gg relazione
Soggetti essenziali e importanti
€ 10 M o 2 % fatturato globale
GDPR
Reg. UE 2016/679
Garante Privacy
72h dalla conoscenza
Tutti i titolari del trattamento (se violazione dati)
€ 20 M o 4 % fatturato globale
DORA
Reg. UE 2022/2554
Banca d'Italia · Consob · IVASS
4h iniziale (≤24h da scoperta) · 72h intermedia · 1 mese finale
Entità finanziarie
Fino al 2 % fatturato annuo
DPCM 81/2021
Perimetro Cibernetico
ACN · CSIRT
6h per incidenti ad alto impatto
Soggetti del Perimetro Nazionale
Fino a € 1,8 M
Le notifiche non si sostituiscono. Un'organizzazione soggetta sia a NIS2 sia al GDPR, in caso di ransomware con esfiltrazione dati, può dover notificare contemporaneamente sia al CSIRT Italia sia al Garante Privacy. Le entità finanziarie soggette a DORA aggiungono la notifica all'autorità di vigilanza.
Soglia dell'obbligo

Quando un incidente è significativo?

In caso di dubbio sulla significatività, notificare è la scelta sicura. Per criteri di soglia, sanzioni e come ridurre gli incidenti notificabili: obbligo di notifica NIS2.

Criteri di impatto

  • Interruzione grave o parziale dell'erogazione
  • Perdita finanziaria significativa
  • Danni materiali o immateriali a terzi
  • Numero elevato di utenti/servizi colpiti
  • Durata oltre le soglie ACN per settore

Tipologie di incidente rilevanti

  • Ransomware con cifratura/esfiltrazione
  • Compromissione credenziali privilegiate (admin, DC)
  • DDoS su servizi critici
  • Violazione supply chain software
  • Accesso non autorizzato persistente
Procedura operativa

Come compilare e inviare la notifica.

Sei passi pratici. Fortgale supporta ogni step nell'ambito del servizio di Incident Response.

01

Accedere al portale ACN/CSIRT

Portale csirt.gov.it · Email csirt@acn.gov.it · Emergenza H24 +39 06 5482 2100. Registrazione preventiva nel registro ACN.

02

Raccogliere informazioni essenziali

Data/ora rilevamento, tipo incidente (ransomware, accesso non autorizzato, DDoS), sistemi coinvolti, misure di contenimento, impatto preliminare.

03

Avviare l'analisi forense in parallelo

⚠️ Non spegnere i dispositivi (si perdono tracce in RAM). Isolare ma mantenere accesi. Preservare log SIEM, EDR, firewall, AD.

04

Valutare anche la notifica al Garante

Se l'incidente comporta violazione dati personali, notifica al Garante Privacy entro 72h (GDPR art. 33). Le due notifiche sono indipendenti.

05

Inviare la notifica intermedia · 72h

Aggiornare le informazioni del preavviso con i risultati dell'analisi forense: IOC, vettore, impatto preliminare, contenimento.

06

Redigere e inviare la relazione finale

Entro 30 giorni con root cause analysis. La documentazione è la difesa principale in caso di procedimento sanzionatorio ACN.

Sanzioni per mancata o tardiva notifica: fino a € 10 M o 2 % del fatturato globale per i soggetti essenziali, fino a € 7 M o 1,4 % per gli importanti, con responsabilità personale dei vertici. Dettaglio completo, criteri di soglia e confronto essenziali/importanti nella pagina obbligo di notifica NIS2.
FAQ

Tutto quello che serve sapere prima di una notifica al CSIRT.

Chi è obbligato a notificare gli incidenti al CSIRT Italia?

Tutti i soggetti qualificati ai sensi del D.Lgs. 138/2024: soggetti essenziali e importanti nei settori energia, trasporti, sanità, finanza, infrastrutture digitali, manifatturiero, spazio, acque, gestione rifiuti e PA. La qualificazione dipende dal settore e dalla dimensione aziendale (medie e grandi imprese, con eccezioni). La verifica si effettua tramite il portale ACN. Approfondisci: cos'è il CSIRT Italia.

Cosa fare prima di inviare il preavviso delle 24 ore?

Raccogliere le informazioni essenziali (data e ora del rilevamento, tipo di incidente, sistemi coinvolti, misure di contenimento) e preservare le evidenze: non spegnere i dispositivi compromessi (vanno isolati ma mantenuti accesi per non perdere le tracce in RAM) e conservare i log di SIEM, EDR, firewall e Active Directory. L'analisi forense parte in parallelo alla notifica, non dopo. Per capire se l'evento supera la soglia dell'obbligo: obbligo di notifica NIS2.

Entro quanto tempo bisogna notificare al CSIRT Italia?

Tre fasi: preavviso entro 24 ore dalla conoscenza dell'incidente significativo, notifica intermedia entro 72 ore con valutazione iniziale e IOC, relazione finale entro 30 giorni. Il termine decorre dalla "prima conoscenza", non dalla certezza dell'incidente.

Come si effettua la notifica al CSIRT Italia?

Tramite il portale ufficiale csirt.gov.it oppure via email a csirt@acn.gov.it. Emergenza H24: +39 06 5482 2100. La notifica deve contenere: identificazione del soggetto, descrizione dell'incidente, sistemi coinvolti, impatto stimato e misure adottate. Fortgale supporta la redazione e l'invio nell'ambito del servizio di Incident Response.

La notifica al CSIRT Italia sostituisce quella al Garante Privacy?

No. Se l'incidente comporta violazione di dati personali, rimane obbligatoria la notifica al Garante Privacy entro 72 ore (GDPR art. 33). Le due notifiche sono indipendenti. Per le entità finanziarie soggette a DORA va considerata anche la notifica all'autorità di vigilanza di settore.

Caso reale · supporto all'incidente

Nell'Operation Storming Tide il team Fortgale ha contenuto un'intrusione multi-stadio (attore Mora_001) prima dell'esfiltrazione e del ransomware, con supporto alla documentazione e alla notifica dell'incidente.

Leggi l'analisi →
Non aspettate di dover notificare

Un SOC che lavora ogni giorno perché non si arrivi mai al CSIRT.

La migliore gestione di un incidente è quella che non avviene. Fortgale monitora l'infrastruttura 24·7, intercetta le minacce nelle fasi silenziose e garantisce la conformità NIS2 prima, durante e dopo un incidente.

Tempo di risposta: < 1 giorno lavorativo.