NIS2Incident

Notifica incidenti NIS2: 24, 72 ore e il report finale

Cosa scrivere nei tre tempi di notifica. Template di early warning e i tre errori che fanno dichiarare la notifica "tardiva".

2 min di lettura

TL;DR

NIS2 prevede 3 tempi di notifica incidente: early warning entro 24h, notifica completa entro 72h, report finale entro 1 mese. Template pronto + catena di responsabilità definita = la differenza fra notifica accettata e contestata.

I tre tempi

Early warning (24 ore)

Una notifica preliminare al CSIRT-Italia con quanto si sa subito:

  • natura dell'incidente (sospetto / confermato);
  • categoria (ransomware, DDoS, intrusione, malfunzionamento);
  • impatto stimato (sistemi coinvolti, durata stimata);
  • contatti del referente.

Bastano 5-10 righe. L'obiettivo è comunicare velocemente, non perfettamente.

Notifica completa (72 ore)

Aggiornamento strutturato:

  • descrizione tecnica più dettagliata;
  • vettore d'attacco identificato (se noto);
  • impatto effettivo aggiornato;
  • misure di contenimento adottate;
  • valutazione preliminare del rischio per terzi.

Report finale (1 mese)

  • root cause analysis;
  • timeline completa;
  • impatto totale (dati, servizi, utenti);
  • azioni correttive implementate;
  • lessons learned.

Template di early warning

` Soggetto: [NIS2 Early Warning] [Nome entità] - [Data]

Entità: [denominazione] Settore NIS2: [essenziale / importante] Referente: [nome, ruolo, contatti]

Tipo di incidente: [confermato / sospetto] Categoria: [es. ransomware] Inizio incidente: [data, ora]

Impatto stimato:

  • sistemi coinvolti: [elenco]
  • servizi degradati: [elenco]
  • utenti impattati: [stima]

Misure immediate adottate:

  • [containment]
  • [comunicazione interna]
  • [coinvolgimento fornitori]

Aggiornamento previsto entro 72 ore. `

3-5 minuti per compilare. Stampatelo, mettetelo nel runbook.

La catena di responsabilità

Definite prima dell'incidente:

  • chi può classificare un evento come "incidente NIS2" (di solito il CISO);
  • chi firma la notifica (referente nominato in registrazione ACN);
  • chi notifica gli stakeholder interni (legale, comunicazione);
  • chi notifica i clienti se entità soggetta nella supply chain.

Senza catena definita, le 24h scadono nel "ma chi decide?".

Errori che fanno ritenere "tardiva" la notifica

  • non riconoscere subito l'evento come "incidente NIS2": chiedete sempre "questo è un incidente?";
  • aspettare conferma tecnica prima di notificare: bastano i sospetti;
  • coordinare con tutti i fornitori prima della prima notifica: notificate, poi coordinate.

Coordinamento con notifica GDPR

Se ci sono dati personali, attivare anche la procedura GDPR (72h al Garante Privacy). Spesso sono lo stesso evento, due notifiche separate.

FAQ

Posso fare una sola notifica per GDPR e NIS2?

No, sono autorità diverse. Ma il testo può essere quasi identico.

Cosa succede se notifico un incidente che si rivela falso?

Niente, è apprezzato. Meglio un falso allarme di una notifica tardiva.

Le notifiche sono pubbliche?

No. Sono riservate, salvo casi di rilevanza pubblica.

Per la procedura completa, NIS2 e DR. Per audit, Audit NIS2 checklist.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo