Notifica incidenti NIS2: segnalazione al CSIRT Italia e gestione incidenti

Notifica incidenti NIS2: come gestire correttamente le segnalazioni al CSIRT

Da gennaio 2026, per molte aziende italiane si concretizza un passaggio decisivo nel percorso di adeguamento alla Direttiva NIS2: diventa infatti obbligatoria la notifica incidenti NIS2 al CSIRT Italia, con tempi molto stretti e una procedura da seguire passo passo.

Negli ultimi mesi, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato indicazioni e chiarimenti utili per sciogliere alcuni dubbi ricorrenti.

In questo articolo facciamo ordine, rispondendo alle domande più frequenti da parte dei soggetti NIS2: quali incidenti significativi NIS2 vanno notificati, da quando decorrono le 24/72 ore, quali sono in concreto le procedure da attivare (pre-notifica, notifica, relazione intermedia e finale) e cosa include un piano di risposta agli incidenti NIS2.

Da quando scatta l’obbligo di notifica degli incidenti (e perché si parla di gennaio 2026)

L’obbligo di notifica degli incidenti significativi non scatta da una data uguale per tutti, ma in base a un termine calcolato sulla singola organizzazione: il riferimento è la comunicazione di inserimento nell’elenco nazionale dei soggetti NIS.

Su questo punto, ACN è chiara nelle proprie indicazioni operative: l’obbligo di notifica (per le “specifiche di base”) va adempiuto entro 9 mesi dalla comunicazione.

La stessa regola è richiamata anche nella Determinazione ACN n. 164179 del 14 aprile 2025, che stabilisce che “il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi di base descritti negli allegati 3 e 4 è fissato in nove mesi”.

Perché allora “gennaio 2026”?

Perché, per molte organizzazioni, la comunicazione di inclusione è arrivata nel corso del 2025: aggiungendo 9 mesi, la scadenza cade spesso a gennaio 2026.

Esempio pratico: comunicazione ricevuta il 15 aprile 2025 → obbligo di notifica degli incidenti significativi di base dal 15 gennaio 2026

Cosa fare subito:

  • recuperare la data della comunicazione (PEC / portale ACN);
  • calcolare + 9 mesi e usare quella data come data di attivazione delle procedure

 

Chi deve attivare la procedura di notifica?

La procedura di notifica deve essere attivata dal soggetto NIS2 interessato (soggetto essenziale o importante) quando ha evidenza di un incidente significativo con impatto sulla fornitura dei propri servizi, secondo le tempistiche previste (24/72 ore e relazioni successive).

Operativamente, l’avvio della procedura e il coordinamento delle attività ricadono sulle figure interne individuate dall’organizzazione per la gestione degli incidenti e l’interazione con il CSIRT Italia. Per capire chi nominare, quali responsabilità assegnare e come gestire correttamente il ruolo, trovi un approfondimento completo nel nostro articolo dedicato al Referente CSIRT.

E se c’è un fornitore di servizi SOC/MSSP/cloud?

Qui ACN è molto chiara, l’obbligo di notifica non “si appalta”. Anche quando un fornitore gestisce tecnicamente l’incidente, la responsabilità di notificare resta in capo al soggetto NIS interessato.

 

Quali incidenti devono essere notificati allo CSIRT Italia?

In base all’art. 25 del decreto NIS, i soggetti essenziali e i soggetti importanti devono inviare al CSIRT Italia la notifica degli incidenti che hanno un impatto significativo sulla fornitura dei loro servizi.

Per aiutare le organizzazioni a riconoscere rapidamente i casi notificabili, ACN ha introdotto gli “incidenti significativi di base” (Determinazione ACN n. 164179/2025): sono le tipologie di eventi che, se rilevati, fanno scattare l’obbligo di notifica incidenti NIS2 con le tempistiche previste.

Incidenti significativi di base per i soggetti importanti (Allegato 3)

Un soggetto importante deve notificare quando ha evidenza di almeno una di queste condizioni:

  • IS-1: perdita di riservatezza verso l’esterno di dati digitali (di proprietà o sotto il proprio controllo);
  • IS-2: perdita di integrità con impatto verso l’esterno su dati digitali;
  • IS-3: violazione dei livelli di servizio attesi dei propri servizi/attività (sulla base dei livelli di servizio definiti).

Incidenti significativi di base per i soggetti essenziali (Allegato 4)

Per i soggetti essenziali valgono le stesse tre tipologie (IS-1/IS-2/IS-3) e in più:

  • IS-4: evidenza di accesso non autorizzato o con abuso di privilegi a dati digitali (secondo i parametri previsti).


Nota importante: “di base” non significa “solo questi”

Gli allegati 3 e 4 servono a fissare un perimetro minimo e uniforme (“base”), ma resta fermo il principio dell’art. 25: se un incidente ha un impatto significativo sulla fornitura dei servizi, l’obbligo di notifica si applica comunque.

 

Entro quanto deve essere effettuata la notifica degli incidenti?

Per la notifica incidenti NIS2 verso il CSIRT Italia, l’art. 25 prevede queste scadenze:

  • Pre-notifica entro 24 ore da quando l’organizzazione è venuta a conoscenza dell’incidente significativo;
  • Notifica entro 72 ore dalla stessa “conoscenza”, aggiornando la pre-notifica ove possibile e includendo una valutazione iniziale e, se disponibili, gli indicatori di compromissione (IoC);
  • Relazione intermedia: solo su richiesta del CSIRT Italia;
  • Relazione finale entro 1 mese dalla notifica a 72 ore (con descrizione dettagliata, root cause probabile, misure adottate/in corso e impatto transfrontaliero se noto).

Se l’incidente è ancora in corso quando scade la relazione finale, è prevista una relazione mensile di avanzamento e la finale entro un mese dalla conclusione della gestione.

 

Da quando decorrono i tempi (24/72 ore)?

Le 24 e le 72 ore decorrono da quando il soggetto NIS2 è venuto a conoscenza dell’incidente significativo, non da quando l’evento è iniziato tecnicamente.

In pratica, ciò che conta è il momento in cui l’organizzazione ha evidenza e può qualificare l’evento come incidente significativo (anche con informazioni iniziali), avviando la procedura di notifica.

 

Quali sono le procedure da attivare in caso di incidente?

Quando un soggetto NIS2 ha evidenza di un incidente significativo, la procedura da attivare deve essere già definita nel piano di gestione e risposta agli incidenti (richiesto da ACN nelle misure di base) e deve portare, nei casi previsti, alla notifica incidenti NIS2 al CSIRT Italia.

In concreto, la gestione segue quattro passaggi, con tempistiche precise.

1) Pre-notifica entro 24 ore

Entro 24 ore da quando si è venuti a conoscenza dell’incidente significativo, va inviata una prima comunicazione al CSIRT Italia. Se possibile, include già una prima indicazione sull’eventuale origine malevola e su un potenziale impatto transfrontaliero.

2) Notifica entro 72 ore

Entro 72 ore dalla “conoscenza”, va inviata la notifica completa, aggiornando la pre-notifica ove possibile e includendo una valutazione iniziale di gravità e impatto. Se disponibili, vanno inseriti anche gli indicatori di compromissione (IoC).

3) Relazione intermedia (se richiesta dal CSIRT Italia)

Il CSIRT Italia può richiedere una relazione intermedia per aggiornare l’evoluzione dell’incidente e le misure adottate.

4) Relazione finale entro 1 mese

Entro un mese dalla notifica a 72 ore va inviata la relazione finale, con descrizione dettagliata dell’evento, root cause probabile (la causa originaria più verosimile), misure adottate/in corso e impatto transfrontaliero se noto.

Cosa cambia se l’incidente è ancora in corso?

Se, allo scadere del mese, l’incidente non è stato ancora risolto, è previsto l’invio di una relazione mensile di avanzamento e la relazione finale deve essere trasmessa entro un mese dalla conclusione della gestione dell’incidente.

Se a 72 ore mancano informazioni, si notifica comunque?

Sì. La notifica incidenti NIS2 va inviata comunque entro le 72 ore al CSIRT Italia, anche se in quel momento non sono ancora disponibili tutte le informazioni tecniche (ad esempio la root cause o un set completo di indicatori di compromissione).

L’art. 25 prevede infatti che la notifica a 72 ore aggiorni la pre-notifica “ove possibile” e includa una valutazione iniziale; inoltre, specifica che gli indicatori di compromissione (IoC) vanno forniti “ove disponibili”. Questo significa che, nelle prime ore, è legittimo trasmettere ciò che è già accertato e se alcuni elementi non sono ancora chiari (es. root cause), vanno indicati come in corso di accertamento.

In pratica meglio una notifica puntuale nei tempi e progressivamente aggiornata, che un invio tardivo “perfetto” ma fuori scadenza.

 

Obbligo di notifica incidenti NIS2 nella filiera cliente–fornitore

Nel caso in cui occorra un incidente significativo sui sistemi informativi e di rete di un soggetto nis (cliente) in favore del quale un soggetto nis (fornitore) eroga servizi, a quale soggetto è in capo l’obbligo di notifica dell’incidente?

In questo scenario l’obbligo di notifica incidenti al CSIRT Italia è in capo al soggetto NIS cliente, perché l’incidente si verifica sui suoi sistemi informativi e di rete e può incidere sulla continuità/erogazione dei suoi servizi.
Il fornitore può gestire operativamente l’incidente (ad esempio con servizi SOC/MSSP o servizi gestiti), ma l’obbligo di notifica non si trasferisce automaticamente: deve invece supportare il cliente nella raccolta di informazioni ed evidenze utili alla segnalazione.

Nel caso in cui occorra un incidente significativo sui sistemi informativi e di rete di un soggetto nis (fornitore) che eroga servizi in favore di un soggetto nis (cliente, a quale soggetto è in capo l’obbligo di notifica al CSIRT dell’incidente?

Qui l’obbligo di notifica incidenti NIS2 al CSIRT Italia è in capo al soggetto NIS fornitore, perché l’incidente riguarda i suoi sistemi e impatta l’erogazione del servizio verso il cliente.
Resta però un punto fondamentale: se, come conseguenza dell’incidente del fornitore, il cliente subisce un impatto tale da configurare un incidente significativo rispetto ai propri servizi/attività, anche il cliente può essere tenuto a notificare (ciascuno rispetto alla propria sfera di erogazione e impatto).


Nel caso in cui occorra un incidente significativo sui sistemi informativi e di rete di un soggetto nis (cliente) in favore del quale un soggetto nis (fornitore) eroga servizi in cloud, a quale soggetto è in capo l’obbligo di notifica?

In ambito cloud, ACN chiarisce che l’obbligo di notifica va valutato guardando dove si verifica l’incidente e quale servizio viene impattato, quindi può ricadere sul cliente, sul fornitore, o su entrambi (se entrambi sono soggetti NIS e l’impatto riguarda la propria erogazione).

C’è però una distinzione operativa molto netta: se il servizio cloud è di tipo IaaS oppure di hosting dell’infrastruttura del cliente, l’obbligo di notifica è in capo al cliente (perché l’incidente riguarda i sistemi del cliente, anche se ospitati in cloud).

 

Cosa rischia un soggetto NIS in caso di mancata o ritardata notifica?

La mancata o tardiva notifica incidenti NIS2 (obblighi dell’art. 25) rientra tra le violazioni sanzionabili previste dal decreto.

Per i soggetti privati, le sanzioni amministrative possono arrivare fino a:

  • 10.000.000 € o 2% del fatturato annuo mondiale per i soggetti essenziali;
  • 7.000.000 € o 1,4% del fatturato annuo mondiale per i soggetti importanti.

Oltre all’aspetto economico, ACN può attivare verifiche e richieste di evidenze e imporre misure correttive. In pratica, non conta solo “aver inviato qualcosa”, ma poter dimostrare che l’azienda ha gestito tutto con un processo corretto. Se non si riesce a documentarlo, si rischiano contestazioni anche in fase di controllo.

 

Come possiamo supportarti nel percorso NIS2

Accompagniamo le organizzazioni lungo tutto il percorso di adeguamento alla NIS2, lavorando a stretto contatto con professionisti qualificati (legali e tecnici) per garantire indicazioni coerenti con le prescrizioni ACN e una messa a terra realmente operativa.

Collaboriamo alla definizione e alla revisione del piano di incident response e, in parallelo, curiamo la formazione del personale con corsi di cybersecurity per dipendenti e dirigenza (e-learning o sessioni dedicate) per aumentare la consapevolezza e ridurre gli errori umani, che restano una delle principali cause di incidenti e compromissioni.

All’interno della governance integriamo il lavoro documentale con soluzioni per la sicurezza e l’operatività continuativa: crittografia, controllo accessi e MFA, SOC/NOC, backup e disaster recovery, data center, connettività e sistemi telefonici in cloud. In sintesi, uniamo consulenza organizzativa e soluzioni tecniche per offrire un supporto completo e verificabile all’adeguamento alla NIS2.

 

RICHIEDI UN PRIMO CONTATTO PER ADEGUAMENTO NIS2

 

Leggi altre News

Torna su