La gestione degli incidenti nella NIS 2
Il Caffè Digitale

La NIS 2 — recepita in Italia con il D.Lgs. 138/2024 — ha spostato il baricentro della cybersecurity dal piano delle intenzioni a quello della responsabilità concreta. Tra i suoi pilastri, la gestione degli incidenti e l’obbligo di notifica rappresentano l’area di maggiore impatto operativo. Non si tratta di adempiere a un form burocratico: si tratta di allertare un meccanismo di risposta nazionale e sovranazionale e di saper dimostrare — in tempo reale, sotto pressione — che l’organizzazione è pronta a riconoscere un evento avverso, contenerlo ed attivare le procedure di escalation. Questo articolo propone una lettura pratica, correlando le disposizioni NIS 2 con i framework internazionali e con i temi della cyber resilience, del GDPR e della forensics readiness.
Cosa chiede davvero la NIS 2 sulla gestione degli incidenti
L’art. 25 del D.Lgs. 138/2024 stabilisce obblighi precisi e tempistiche stringenti: pre-notifica entro 24 ore, notifica completa entro 72 ore e relazione finale entro un mese al CSIRT Italia. Ma la norma va oltre la notifica: impone che le organizzazioni dispongano preventivamente di policies (che in italiano soliamo tradurre in “politiche” ma che preferisco definire “regolamenti generali e specifici”, per disambiguare il termine e la reale applicazione pratica), procedure e capacità operative adeguate. È il cuore del problema: molte aziende costruiscono il processo di incident management solo quando un incidente le costringe a farlo, sulla scorta del pensiero “non capiterà mai nulla” o “sappiamo cosa fare anche senza doverlo mettere nero su bianco. La soglia di “impatto significativo” (art. 25, comma 4) richiede una valutazione su utenti coinvolti, durata, propagazione geografica e danno economico — da condurre nelle prime ore, quando le informazioni sono ancora incomplete. ACN fornisce linee d’indirizzo, ma spetta all’organizzazione determinare la significatività di un impatto.
ISO 27035 e NIST SP 800-61: il processo prima della norma
La NIS 2 stabilisce cosa fare e quando; i framework internazionali dicono come. La ISO/IEC 27035 descrive un ciclo di vita in cinque fasi — pianificazione, rilevamento, valutazione, risposta e lesson learned — che, oltre a definire la migliore pratica per la gestione degli incidenti e per la tutela dell’organizzazione, costituisce la spina dorsale su cui innestare gli obblighi normativi. Il NIST SP 800-61 Rev. 2 offre un approccio complementare, più operativo, organizzato in preparazione, rilevamento e analisi, contenimento-eradicazione-ripristino e attività post-incidente; è particolarmente utile per strutturare playbook di risposta per tipologia di evento: ransomware, data breach, DDoS, compromissione di account privilegiati. La sintesi operativa: adottare uno di questi framework (o, meglio ancora, integrarli), documentarlo coerentemente con ISO/IEC 27001 (contromisure dell’Annex A da 5.24 a 5.28 e 6.8) e mapparlo sulle scadenze di notifica NIS 2 (e non solo), ottenendo un impianto capace di tutelare l’organizzazione da impatti economici, operativi, reputazionali e strategici e che, al contempo, dimostra la propria capacità di soddisfare autorità, enti regolatori e stakeholder.
Incidenti e data breach: la doppia notifica
La sovrapposizione tra incidente NIS 2 e violazione di dati personali ai sensi del GDPR è un aspetto che management e CISO non possono sottovalutare. Un attacco ransomware o un accesso non autorizzato coinvolgono spesso informazioni personali, attivando contestualmente la notifica all’ACN e al Garante Privacy (GDPR, art. 33) — quest’ultima con finestra di 72 ore, ma destinatari, contenuti e valutazioni diverse. Questo impone un processo integrato: Titolare del trattamento, DPO (ove presente) e CISO devono condividere la stessa catena di escalation e un linguaggio comune di classificazione della gravità. La valutazione NIS 2 guarda all’impatto sul servizio; quella GDPR al rischio per i diritti degli interessati: due lenti diverse sullo stesso evento. Il Piano di Risposta agli Incidenti deve prevedere un capitolo dedicato alla doppia notifica (tripla, se consideriamo anche gli stakeholders interessati dalla violazione), con template predisposti e una matrice di escalation che coinvolga CISO, DPO, Legal, Comunicazione e Top Management.
Dalla risposta all’incidente alla gestione delle crisi e alla cyber resilience
Non tutti gli eventi diventano incidenti e non tutti gli incidenti diventano crisi: tuttavia, ogni crisi ha avuto il suo incidente iniziale. La differenza non è solo di scala: è organizzativa. Un incidente viene gestito dai team tecnici; una crisi coinvolge il vertice aziendale, impatta la reputazione e richiede capacità decisionali ben oltre il SOC: è un gioco la sopravvivenza dell’organizzazione. Il concetto chiave è la cyber resilience: la capacità di anticipare, resistere, assorbire e adattarsi garantendo la continuità delle funzioni critiche. La gestione degli incidenti NIS 2 si connette con il Business Continuity Management (la cui massima espressione è rappresentata dalla ISO 22301 e dal framework del Disaster Recovery Institute) e con i piani di disaster recovery, che devono essere attivabili in tempi certi. La soglia di escalation al Crisis Management Team va definita in anticipo — in termini di impatto sui servizi critici, durata e coinvolgimento di terze parti — e non rimessa alla valutazione del momento, spesso soggettiva e condizionata da fattori fortemente emotivi. Le organizzazioni mature integrano già la risposta agli incidenti cyber nella gestione delle crisi, con scenari definiti ed esercitazioni tabletop, simulati o effettivi. Questo è lo spirito della NIS 2: un sistema di gestione continuo e testato, non un adempimento spot. Il rischio cyber non è soltanto cyber ma ha impatti trasversali, operativi, strategici: questa è la grande sfida – anzitutto culturale – delle organizzazioni.
La forensics readiness: l’investimento che fa la differenza
C’è un tema che rimane spesso in secondo piano ma risulta determinante nella pratica: la forensics readiness. Per forensics readiness si intende la capacità di raccogliere, preservare e rendere disponibile la prova digitale in modo tempestivo e giuridicamente utilizzabile — prima che un incidente si verifichi. Dal regolatore al Legal, talvolta alla magistratura, le domande arrivano sempre immediatamente: cosa è successo, da quando, chi ha avuto accesso, quali dati sono stati coinvolti. Rispondere con evidenze affidabili richiede la ricostruzione della timelinee, log completi, SIEM configurati per la retention adeguata e chain of custody documentata. I riferimenti tecnici — ISO/IEC 27037 (raccolta e preservazione delle prove digitali) e NIST SP 800-86 (integrazione delle tecniche forensi nella risposta agli incidenti) — forniscono le linee guida per costruire questa capacità. Per le organizzazioni soggette a NIS 2, non è più opzionale: è la condizione che rende possibile una notifica accurata, una risposta GDPR fondata e una difesa legale credibile.
Siete pronti? Le domande che ogni CISO dovrebbe saper rispondere
Prima di ritenersi conformi, Management e CISO dovrebbero verificare di poter rispondere positivamente a queste domande:
☐ Esiste un Piano di Risposta agli Incidenti approvato, con ruoli, responsabilità e procedure definite per i principali scenari di minaccia?
☐ Le tempistiche NIS 2 (pre-notifica 24h, notifica 72h, relazione finale 1 mese) sono tradotte in procedure operative con trigger chiari e template predisposti?
☐ Il processo di escalation da incidente a crisi è formalizzato, con soglie di attivazione del Crisis Management Team condivise con il Top Management?
☐ Esiste un protocollo integrato per la doppia notifica (NIS 2 verso ACN + GDPR verso il Garante) che coinvolge Titolare, DPO ove presente, CISO, Legal e Comunicazione?
☐ I piani di Business Continuity e Disaster Recovery sono collegati agli scenari di incidente cyber e testati periodicamente?
☐ L’infrastruttura di log management garantisce retention adeguata e integrità delle evidenze a fini forensi?
☐ Il personale coinvolto nella risposta — tecnico, operativo, manageriale e legale — ha partecipato ad almeno un esercizio tabletop nell’ultimo anno?
☐ Esiste un registro degli incidenti aggiornato, che documenti anche gli eventi sotto soglia, a supporto del miglioramento continuo?
Federico Lucia
Direttore Didattico e Board Member di ANRA, CEO di Fortaris S.r.l.
![]()

