Gestione degli incidenti NIS2 in Italia: ACN, CSIRT e Determinazione 379907/2025

La gestione degli incidenti NIS2 in Italia è disciplinata dal d.lgs. 138/2024 e dalle determinazioni ACN, in particolare la n. 379907/2025, che definiscono obblighi di notifica, ruoli organizzativi e interazione con CSIRT Italia.

Con l’attuazione nazionale della Direttiva (UE) 2022/2555 (NIS2), la disciplina europea sulla sicurezza delle reti e dei sistemi informativi supera definitivamente la fase di recepimento formale per entrare in una dimensione pienamente operativa. In Italia, questo passaggio è reso particolarmente evidente dai provvedimenti attuativi dell’Agenzia per la Cybersicurezza Nazionale (ACN), tra cui la Determinazione ACN 379907/2025 e le correlate linee guida in materia di gestione e notifica degli incidenti.

Il cambio di paradigma è netto: la conformità NIS2 non si misura più soltanto attraverso policy e dichiarazioni di principio, ma tramite la capacità dell’organizzazione di gestire un incidente informatico in modo strutturato, tempestivo e documentabile, dimostrando ex post la correttezza delle decisioni assunte e delle comunicazioni effettuate verso le autorità competenti.

Dal quadro normativo alla responsabilità operativa

Il recepimento italiano della NIS2 è avvenuto con il Decreto legislativo 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024. Il decreto affida all’ACN un ruolo centrale non solo di supervisione, ma anche di definizione delle specifiche tecniche e procedurali necessarie a rendere applicabili gli obblighi previsti dalla direttiva.

Sul piano europeo, la Direttiva (UE) 2022/2555 introduce una concezione avanzata di gestione degli incidenti, fondata su due principi cardine: la tempestività della segnalazione e la tracciabilità dell’intero ciclo decisionale. L’obbligo di notifica non è concepito come un adempimento meramente formale, bensì come parte integrante della risposta all’incidente, in un equilibrio dinamico tra esigenze operative e obblighi regolatori.

In questo contesto, le determinazioni e le linee guida ACN assumono la funzione di “ponte” tra la norma astratta e la sua concreta applicazione all’interno delle organizzazioni soggette alla NIS2.

Incidenti significativi e valutazione della soglia di rilevanza

Uno degli aspetti più delicati della fase operativa riguarda l’individuazione degli incidenti significativi, ossia di quegli eventi che, per impatto o potenziale impatto, fanno scattare l’obbligo di notifica verso l’autorità nazionale competente e verso il CSIRT Italia.

La NIS2 non impone una notifica indiscriminata di ogni evento di sicurezza, ma richiede alle organizzazioni di sviluppare una capacità interna di valutazione della significatività, basata su criteri oggettivi e predefiniti. Questo comporta la necessità di disporre di processi decisionali rapidi, in grado di operare anche in condizioni di informazione incompleta, tipiche delle prime ore successive alla scoperta di un incidente.

La logica europea della segnalazione progressiva – early warning, notifica entro 72 ore e report finale – riconosce esplicitamente che la comprensione tecnica di un incidente matura nel tempo. Ciò che viene richiesto non è la perfezione dell’informazione iniziale, ma la coerenza del percorso informativo e la capacità di aggiornare tempestivamente l’autorità con dati via via più accurati.

Il processo di gestione in cinque fasi come architettura di controllo

Le linee guida ACN sulla gestione degli incidenti delineano un processo strutturato in cinque fasi, che rappresenta l’ossatura metodologica della risposta NIS2-compliant. Questo modello non va interpretato come una sequenza rigida, bensì come una cornice organizzativa che consente di rendere ripetibile, verificabile e auditabile la risposta agli incidenti.

Dalla presa in carico iniziale e dal triage, passando per l’analisi e la qualificazione dell’evento, fino alle attività di contenimento, ripristino e chiusura, ogni fase contribuisce a costruire un filo logico che collega l’evento tecnico alla responsabilità organizzativa. In questa prospettiva, la gestione dell’incidente non è più esclusivamente una funzione del SOC o del team di incident response, ma un processo trasversale che coinvolge governance, funzioni legali, compliance e top management.

Il valore aggiunto di un approccio per fasi risiede soprattutto nella possibilità di associare decisioni, azioni e comunicazioni a momenti temporali ben definiti, riducendo l’ambiguità che spesso emerge nelle ricostruzioni ex post.

Ruoli chiave: punto di contatto NIS e referente CSIRT

La fase operativa rende centrale la corretta definizione dei ruoli. Le indicazioni ACN distinguono chiaramente tra il punto di contatto NIS, figura di coordinamento e rappresentanza istituzionale, e il referente CSIRT, responsabile dell’interlocuzione operativa con CSIRT Italia durante la gestione dell’incidente.

Questa distinzione risponde a un’esigenza di separazione funzionale tra governance e operatività. Da un lato, il punto di contatto garantisce coerenza, continuità e presidio degli obblighi regolatori; dall’altro, il referente CSIRT assicura tempestività e qualità tecnica nelle comunicazioni, evitando che i flussi informativi vengano rallentati da passaggi decisionali non necessari.

In termini di resilienza organizzativa, la presenza di ruoli distinti e formalizzati riduce il rischio di colli di bottiglia informativi e rafforza la capacità dell’organizzazione di operare efficacemente anche sotto pressione.

Documentazione e tracciabilità come strumenti di accountability

Uno degli elementi più innovativi – e spesso sottovalutati – della NIS2 riguarda la centralità della documentazione. La gestione dell’incidente deve essere interamente tracciabile: dalle prime evidenze tecniche alle decisioni di escalation, dalle notifiche inviate alle autorità fino alle attività di remediation e miglioramento dei controlli.

La documentazione non è richiesta soltanto a fini ispettivi, ma costituisce il principale strumento attraverso cui l’organizzazione dimostra di aver agito in modo diligente, proporzionato e coerente con il quadro normativo. In questo senso, il “fascicolo dell’incidente” diventa l’equivalente operativo del principio di accountability già noto in altri ambiti regolatori, come la protezione dei dati personali.

Notifiche a CSIRT Italia e scansione temporale europea

La NIS2 impone una scansione temporale stringente per le notifiche, che rappresenta un vincolo minimo e non negoziabile. L’early warning entro 24 ore dalla consapevolezza dell’incidente significativo, la notifica entro 72 ore e il report finale entro un mese definiscono un ritmo che obbliga le organizzazioni a dotarsi di playbook predefiniti e testati.

È importante sottolineare che la normativa europea chiarisce come le attività di notifica non debbano compromettere le azioni di contenimento e mitigazione. Tuttavia, ciò non esonera dall’obbligo di comunicare: la capacità di produrre una prima valutazione difendibile entro 24 ore diventa, di fatto, un indicatore di maturità organizzativa.