Gestione incidenti NIS2: la mia guida pratica (e di sopravvivenza)

La gestione efficace degli incidenti di sicurezza informatica è un pilastro strategico della NIS2, che mira a rafforzare la resilienza operativa dei soggetti essenziali e importanti.

Traduzione semplice: se la vostra azienda è stata designata come soggetto NIS, la gestione degli incidenti non è più una scelta, ma un requisito legale con tempistiche molto stringenti.

Dal 1° gennaio 2026 è obbligatoria la notifica degli incidenti al CSIRT Italia, con 24 ore per la pre-notifica e 72 ore per la notifica completa.

A rendere il tutto ancora più concreto, ACN ha pubblicato due documenti strategici il 24 e il 31 dicembre 2025, aumentando ulteriormente la pressione sui soggetti designati.

Le cinque fasi del modello ACN

Il modello proposto da ACN è ispirato a framework internazionali come il NIST SP 800-61 e si articola in cinque fasi operative.

Fase 1 – Preparazione

(“Pregare non basta”)

È la fase che molti sottovalutano, salvo poi pentirsene quando l’incidente avviene davvero.

La preparazione comprende attività riconducibili alle sottofasi NIST di Governo (GV), Identificazione (ID) e Protezione (PR).

In pratica significa scrivere un Piano di gestione degli incidenti chiaro e operativo e designare un Referente CSIRT, persona fisica incaricata di interloquire con CSIRT Italia.

Il Referente CSIRT deve essere reperibile, competente e autorizzato a prendere decisioni.

Fase 2 – Rilevamento

(“Houston, abbiamo un problema”)

L’obiettivo è individuare tempestivamente gli incidenti per ridurne l’impatto.

Il rilevamento può essere proattivo (come il threat hunting) o reattivo, basato su alert e segnalazioni.

La tecnologia aiuta — SIEM, EDR, SOC — ma il punto chiave è uno solo: saper riconoscere quando sta succedendo qualcosa di anomalo.

Troppi falsi positivi portano a ignorare gli alert. Troppi pochi fanno perdere l’incidente vero.

Fase 3 – Risposta e segnalazione

(“Siamo nei guai”)

Questa fase si attiva quando un evento viene confermato come incidente e comprende segnalazione, investigazione, contenimento ed eradicazione.

La normativa impone una pre-notifica entro 24 ore e una notifica completa entro 72 ore dal momento in cui si acquisisce evidenza oggettiva dell’incidente, non dall’inizio dell’attacco.

In pratica:

• ora 0: emerge l’anomalia

• ora 24: pre-notifica inviata

• ora 72: notifica completa con valutazione iniziale, impatti e indicatori

Nel frattempo bisogna capire cosa è successo, contenere l’attacco e gestire comunicazioni interne ed esterne.

Le tipologie di incidente da notificare sono IS-1 (perdita di riservatezza), IS-2 (perdita di integrità), IS-3 (violazione dei livelli di servizio) e, per i soggetti essenziali, anche IS-4 (accesso non autorizzato).

Vanno notificati solo gli incidenti significativi, ma nel dubbio è sempre meglio notificare.

Fase 4 – Ripristino

(“Ricostruire dalle ceneri”)

Questa fase è dedicata al ritorno alla normale operatività, ripristinando sistemi e dati compromessi e verificando che le vulnerabilità sfruttate siano state risolte.

È il momento in cui si capisce quanto sono validi i backup e quanto erano corrette le scelte fatte in passato.

Fase 5 – Miglioramento

(“Ciò che non uccide fortifica”)

Qui si analizza l’incidente per individuare criticità, definire azioni correttive e migliorare processi e controlli.

È la fase più ignorata, ma anche quella che fa davvero la differenza nel tempo.

Dalla teoria alla pratica

La gestione degli incidenti non è un documento da scaffale, ma un’architettura operativa.

Servono tecnologie che funzionano davvero, persone addestrate e processi testati con esercitazioni e simulazioni.

Il ruolo chiave del Referente CSIRT

Il Referente CSIRT non è “quello che compila i moduli”.

È una figura che valuta la significatività dell’incidente, coordina IT, security, legal, comunicazione e direzione e si interfaccia con il regolatore.

Può anche essere esterno, ma deve conoscere in modo chiaro compiti e responsabilità.

Playbook, non improvvisazione

Quando tutto va a fuoco, non è il momento di improvvisare.

Servono playbook operativi per scenari tipici come ransomware, data breach e attacchi DDoS, con indicazioni chiare su chi fa cosa, come, quando e perché.

Esercitazioni

Le simulazioni aiutano a scoprire i problemi prima della crisi vera.

È consigliabile organizzare almeno due esercitazioni l’anno, una tecnica e una strategica per il management.

Integrazione con il GDPR

In caso di violazioni che coinvolgono dati personali, entrano in gioco doppi obblighi di notifica: NIS2 (24/72 ore) e GDPR (72 ore).

La soluzione più efficiente è una procedura unica che consenta di gestire entrambi gli adempimenti.

Gli errori più comuni

Rimandare la preparazione, pensare che “tanto a noi non succederà”, affidarsi solo alla tecnologia, assegnare il ruolo di Referente CSIRT a caso o credere che una procedura non testata sia sufficiente.

Le sanzioni

Ritardi o omissioni possono comportare sanzioni fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali e 7 milioni di euro o l’1,4% del fatturato globale per i soggetti importanti.

Ma il vero costo di un incidente mal gestito è spesso reputazionale, operativo e commerciale.

Il lato positivo

Un soggetto NIS2 organizzato e collaborativo può ricevere supporto tecnico e orientamento dal CSIRT Italia.

ACN non è solo un regolatore: con l’approccio giusto può diventare un alleato.

In conclusione: sopravvivere alla NIS2

La gestione degli incidenti secondo il modello ACN non è semplice, ma è assolutamente fattibile.

Serve preparazione prima della crisi, persone giuste nei ruoli chiave, test continui, automazione e miglioramento costante.

E soprattutto: niente panico.

P.S.
Se avete appena scoperto di essere in perimetro NIS2, respirate. Iniziate dal piano di gestione degli incidenti. In quest’ordine.

👉 Partecipa alla nostra sessione live “Chiedilo all’Auditor”
👉 Prossimo appuntamento: 27 gennaio
👉 Iscriviti qui: https://www.complaion.com/chiedilo-all-auditor