NIS2 · D.Lgs. 138/2024 · CSIRT Italia · ACN

Notifica incidente al CSIRT Italia: obblighi e scadenze.

La notifica incidente al CSIRT Italia è l'ultimo atto di una crisi già in corso. Fortgale lavora prima — rilevando le minacce quando sono ancora silenziose — per fare in modo che non si arrivi mai a dover attivare la procedura.

Parla con un esperto 🔴 Incidente in corso · +39 02 8969 2266
24hPreavviso obbligatorio
72hNotifica completa
10 M€Sanzione massima
CSIRT Italia · contatti
Operativo H24
Portale csirt.gov.it →
Email csirt@acn.gov.it
Emergenza H24 +39 06 5482 2100
Coordina la risposta agli incidenti di rilevanza nazionale e condivide informazioni con i CSIRT europei via rete EU-CyCLONe.
Conformità
D.Lgs. 138/2024
Direttiva (UE) 2022/2555
Reg. UE 2016/679 (GDPR)
Reg. UE 2022/2554 (DORA)
Standard
ISO/IEC 27001
MITRE ATT&CK
NIS2 ready
Cos'è il CSIRT Italia

Il punto unico nazionale per la notifica e la risposta.

Istituito da ACN ai sensi della NIS2, coordina la risposta agli incidenti di rilevanza nazionale e la comunicazione tra soggetti colpiti e CSIRT europei.

01 ·

Chi è il CSIRT Italia

Istituito da ACN ai sensi della NIS2, coordina la risposta agli incidenti di rilevanza nazionale, gestisce la comunicazione tra soggetti colpiti e condivide informazioni con i CSIRT europei via rete EU-CyCLONe.

02 ·

Quando si notifica

Obbligatoria per soggetti essenziali e importanti NIS2 al verificarsi di un incidente significativo. Per incidenti che colpiscono altri Paesi UE il CSIRT coordina la comunicazione transfrontaliera.

03 ·

Come contattarlo

Portale csirt.gov.it, email csirt@acn.gov.it, numero di emergenza H24 +39 06 5482 2100. Registrazione preventiva richiesta sul registro ACN.

Proof · scadenze CSIRT

Quattro numeri da memorizzare.

24h
Preavviso iniziale
al CSIRT Italia
72h
Notifica intermedia
con IOC + valutazione
30gg
Relazione finale
con root cause
10/7 M€
Sanzione massima
SE / SI
Le tre fasi della notifica

24 ore · 72 ore · 30 giorni — schema operativo.

Procedura ufficiale CSIRT Italia. Ogni fase ha contenuti minimi obbligatori e tag operativi.

Schema notifica incidente CSIRT Italia NIS2: preavviso 24 ore, notifica intermedia 72 ore, relazione finale 30 giorni
Schema della procedura obbligatoria di notifica incidente al CSIRT Italia ai sensi del D.Lgs. 138/2024 (NIS2)
!
24 ORE Fase 1

Preavviso iniziale

  • Identificazione soggetto
  • Data/ora rilevamento
  • Descrizione sintetica
  • Sistemi coinvolti
  • Misure di contenimento
Obbligatorio NIS2Preavviso · senza analisi completaPortale csirt.gov.it
72 ORE Fase 2

Notifica intermedia

  • Valutazione iniziale impatto
  • IOC (IP, domini, hash, URL)
  • Misure di contenimento
  • Coinvolgimento terzi/fornitori
  • Stato avanzamento
Notifica formaleIOC + analisi preliminareAggiornamento sullo stato
30 GIORNI Fase 3

Relazione finale

  • Root cause analysis
  • Vettore d'attacco
  • Impatto definitivo
  • Misure correttive
  • Piano miglioramento
Root cause analysisImpatto definitivoPiano di remediation
Le notifiche obbligatorie a confronto

Quattro normative · scadenze e autorità diverse.

Le notifiche previste dalle diverse normative non si sostituiscono a vicenda. Un'organizzazione soggetta sia a NIS2 sia a GDPR, in caso di ransomware con esfiltrazione, potrebbe dover notificare contemporaneamente sia al CSIRT Italia sia al Garante.

Normativa
Autorità
Scadenze
Soggetti obbligati
Sanzione massima
NIS2
D.Lgs. 138/2024
CSIRT Italia · ACN
24h preavviso · 72h notifica · 30gg relazione
Soggetti essenziali e importanti
€ 10 M o 2 % fatturato globale
GDPR
Reg. UE 2016/679
Garante Privacy
72h dalla conoscenza
Tutti i titolari del trattamento (se violazione dati)
€ 20 M o 4 % fatturato globale
DORA
Reg. UE 2022/2554
Banca d'Italia · Consob · IVASS
4h preavviso · 24h intermedia · 30gg finale
Entità finanziarie
Fino al 2 % fatturato annuo
DPCM 81/2021
Perimetro Cibernetico
ACN · CSIRT
6h per incidenti ad alto impatto
Soggetti del Perimetro Nazionale
Fino a € 1,8 M
Le notifiche non si sostituiscono. Un'organizzazione soggetta sia a NIS2 sia al GDPR, in caso di ransomware con esfiltrazione dati, può dover notificare contemporaneamente sia al CSIRT Italia sia al Garante Privacy. Le entità finanziarie soggette a DORA aggiungono la notifica all'autorità di vigilanza.
Soglia dell'obbligo

Quando un incidente è significativo?

In caso di dubbio sulla significatività, notificare è la scelta sicura. La mancata notifica è sanzionata; una notifica ritenuta non necessaria no.

Criteri di impatto

  • Interruzione grave o parziale dell'erogazione
  • Perdita finanziaria significativa
  • Danni materiali o immateriali a terzi
  • Numero elevato di utenti/servizi colpiti
  • Durata oltre le soglie ACN per settore

Tipologie di incidente rilevanti

  • Ransomware con cifratura/esfiltrazione
  • Compromissione credenziali privilegiate (admin, DC)
  • DDoS su servizi critici
  • Violazione supply chain software
  • Accesso non autorizzato persistente
Procedura operativa

Come compilare e inviare la notifica.

Sei passi pratici. Fortgale supporta ogni step nell'ambito del servizio di Incident Response.

01

Accedere al portale ACN/CSIRT

Portale csirt.gov.it · Email csirt@acn.gov.it · Emergenza H24 +39 06 5482 2100. Registrazione preventiva nel registro ACN.

02

Raccogliere informazioni essenziali

Data/ora rilevamento, tipo incidente (ransomware, accesso non autorizzato, DDoS), sistemi coinvolti, misure di contenimento, impatto preliminare.

03

Avviare l'analisi forense in parallelo

⚠️ Non spegnere i dispositivi (si perdono tracce in RAM). Isolare ma mantenere accesi. Preservare log SIEM, EDR, firewall, AD.

04

Valutare anche la notifica al Garante

Se l'incidente comporta violazione dati personali, notifica al Garante Privacy entro 72h (GDPR art. 33). Le due notifiche sono indipendenti.

05

Inviare la notifica intermedia · 72h

Aggiornare le informazioni del preavviso con i risultati dell'analisi forense: IOC, vettore, impatto preliminare, contenimento.

06

Redigere e inviare la relazione finale

Entro 30 giorni con root cause analysis. La documentazione è la difesa principale in caso di procedimento sanzionatorio ACN.

Sanzioni

Soggetti essenziali vs importanti.

🔴 Soggetti Essenziali

€ 10.000.000 · 2 % fatturato

Settori: energia, trasporti, banche, mercati finanziari, sanità, acque, infrastrutture digitali, ICT, PA, spazio.

Violazioni: mancato preavviso 24h · mancata notifica 72h · assenza misure minime. Accessorie: sospensione attività, interdizione vertici.

🟡 Soggetti Importanti

€ 7.000.000 · 1,4 % fatturato

Settori: postali, rifiuti, chimica, alimentare, manifatturiero, fornitori digitali, ricerca.

Violazioni come SE + obbligo audit ACN a spese del soggetto. Responsabilità personale dei dirigenti.

Responsabilità personale. La NIS2 prevede la responsabilità personale degli organi direttivi (CEO, CDA) per il mancato adempimento. ACN può vietare temporaneamente ai vertici aziendali l'esercizio di funzioni dirigenziali.
Difesa integrata

Lavorare prima · per non dover notificare dopo.

Presidio operativo

SOC gestito 24·7·365

SOC italiano che presidia l'infrastruttura. Riduce il tempo di rilevamento e attiva i protocolli di risposta.

Scopri il SOC →
Prevenzione

Managed Detection & Response

Monitoraggio H24 con analisti specializzati. Rilevazione precoce e contenimento in minuti, prima che l'incidente diventi notificabile.

Scopri MDR →
Approfondimento

Notifica incidente NIS2

Approfondimento sulle scadenze 24h / 72h / 30gg con clock panel dedicato e contenuti minimi per ogni fase.

Approfondisci →
FAQ

Tutto quello che serve sapere prima di una notifica al CSIRT.

Chi è obbligato a notificare gli incidenti al CSIRT Italia?

Tutti i soggetti qualificati ai sensi del D.Lgs. 138/2024: soggetti essenziali e importanti nei settori energia, trasporti, sanità, finanza, infrastrutture digitali, manifatturiero, spazio, acque, gestione rifiuti e PA. La qualificazione dipende dal settore e dalla dimensione aziendale (medie e grandi imprese, con eccezioni). La verifica si effettua tramite il portale ACN.

Cos'è un «incidente significativo» ai fini NIS2?

Un incidente è significativo quando causa o rischia di causare interruzione grave dei servizi, perdita finanziaria rilevante, danni a terzi, o quando colpisce un numero elevato di utenti. In caso di dubbio, la NIS2 orienta verso la notifica precauzionale: è preferibile notificare e ricevere indicazioni da ACN piuttosto che attendere la certezza e rischiare di superare le scadenze.

Entro quanto tempo bisogna notificare al CSIRT Italia?

Tre fasi: preavviso entro 24 ore dalla conoscenza dell'incidente significativo, notifica intermedia entro 72 ore con valutazione iniziale e IOC, relazione finale entro 30 giorni. Il termine decorre dalla "prima conoscenza", non dalla certezza dell'incidente.

Come si effettua la notifica al CSIRT Italia?

Tramite il portale ufficiale csirt.gov.it oppure via email a csirt@acn.gov.it. Emergenza H24: +39 06 5482 2100. La notifica deve contenere: identificazione del soggetto, descrizione dell'incidente, sistemi coinvolti, impatto stimato e misure adottate. Fortgale supporta la redazione e l'invio nell'ambito del servizio di Incident Response.

La notifica al CSIRT Italia sostituisce quella al Garante Privacy?

No. Se l'incidente comporta violazione di dati personali, rimane obbligatoria la notifica al Garante Privacy entro 72 ore (GDPR art. 33). Le due notifiche sono indipendenti. Per le entità finanziarie soggette a DORA va considerata anche la notifica all'autorità di vigilanza di settore.

Quali sanzioni prevede la NIS2 per la mancata o tardiva notifica?

Soggetti essenziali: fino a 10 milioni di euro o 2 % del fatturato annuo mondiale. Soggetti importanti: fino a 7 milioni o 1,4 %. Sono inoltre previste sospensione temporanea delle attività e interdizione personale dei vertici aziendali responsabili.

Non aspettate di dover notificare

Un SOC che lavora ogni giorno perché non si arrivi mai al CSIRT.

La migliore gestione di un incidente è quella che non avviene. Fortgale monitora l'infrastruttura 24·7, intercetta le minacce nelle fasi silenziose e garantisce la conformità NIS2 prima, durante e dopo un incidente.

Tempo di risposta: < 1 giorno lavorativo.