norppa.io
Guide

Guida NIS2 · 7 min

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Quando si verifica un incidente significativo, il conto alla rovescia parte subito — e NIS2 fissa una serie di scadenze rigide misurate in ore, non in giorni. Questa guida spiega cosa conta come incidente significativo, il calendario esatto di notifica ai sensi dell'articolo 23 e la situazione che i team trascurano più spesso: quando l'incidente di un fornitore diventa il tuo obbligo di notifica.

Punti chiave

  • Un incidente significativo innesca una notifica scaglionata: preallarme entro 24 ore, notifica completa entro 72 ore, relazione finale entro un mese (art. 23).
  • "Significativo" indica una grave perturbazione operativa o una perdita finanziaria, o un danno considerevole ad altri — non ogni incidente raggiunge la soglia.
  • L'incidente di un fornitore o di una terza parte che perturba il tuo servizio può avviare il tuo conto alla rovescia di 24 ore — la visibilità su di loro fa parte della prontezza.
  • Le notifiche vanno al tuo CSIRT nazionale o all'autorità competente; potresti dover informare anche i destinatari dei tuoi servizi.

Cosa conta come incidente "significativo"

Non ogni incidente è notificabile. Ai sensi dell'articolo 23, un incidente è significativo se ha causato o può causare una grave perturbazione operativa dei servizi o una perdita finanziaria per il soggetto, oppure se ha pregiudicato o può pregiudicare altre persone fisiche o giuridiche causando un danno materiale o immateriale considerevole.

La Commissione ha fissato soglie più concrete per alcuni fornitori digitali in un regolamento di esecuzione, ma il principio vale per tutti i settori: valuta in base alla gravità e alla portata dell'impatto, non alla novità tecnica dell'attacco. In caso di dubbio, documenta la tua valutazione — la decisione di non notificare deve essere difendibile quanto quella di notificare.

Il calendario di notifica (articolo 23)

La notifica è scaglionata: prima un segnale rapido, i dettagli dopo. Le scadenze decorrono dal momento in cui vieni a conoscenza dell'incidente significativo.

Entro 24 ore — preallarme

Un primo allarme al tuo CSIRT o all'autorità competente, indicando se si sospetta che l'incidente sia causato da atti illeciti o dolosi, o se possa avere un impatto transfrontaliero.

Entro 72 ore — notifica dell'incidente

Un aggiornamento con una valutazione iniziale: gravità e impatto, e indicatori di compromissione ove disponibili.

Su richiesta — relazione intermedia

Se il CSIRT o l'autorità lo richiede, un aggiornamento sullo stato della gestione dell'incidente.

Entro 1 mese dalla notifica — relazione finale

Una descrizione dettagliata: causa principale e tipo di minaccia, le misure di mitigazione applicate e in corso, ed eventuale impatto transfrontaliero.

Se l'incidente è ancora in corso al traguardo del mese, presenti invece una relazione sullo stato di avanzamento, e la relazione finale entro un mese dalla gestione dell'incidente.

Quando l'incidente di un altro diventa il tuo

L'obbligo di notifica di NIS2 non si limita agli incidenti che hanno origine nei tuoi sistemi. Se un fornitore o prestatore subisce un incidente che causa una perturbazione significativa dei servizi che eroghi, l'obbligo di notificare può ricadere su di te — e il conto alla rovescia di 24 ore parte quando ne vieni a conoscenza, non quando il fornitore te lo comunica finalmente.

Questa è la parte difficile: i fornitori non sempre divulgano gli incidenti rapidamente, e una notifica arrivata una settimana in ritardo ha già consumato la tua scadenza. La prontezza dipende quindi da una visibilità indipendente — sapere quando un fornitore critico compare su un sito di leak ransomware, subisce l'esposizione di credenziali o diventa irraggiungibile, senza aspettare la sua e-mail.

Come essere pronti prima che parta il conto alla rovescia

Rispettare una scadenza di poche ore è una questione di preparazione, non di eroismo. Prima di un incidente, assicurati di saper rispondere:

Chi decide se un incidente è "significativo", e chi può raggiungere il CSIRT fuori dall'orario d'ufficio?
Abbiamo pronti il contatto del CSIRT/autorità e il canale di invio — non cercati nel mezzo della crisi?
Le clausole di notifica degli incidenti dei fornitori sono nei nostri contratti, con una finestra di notifica definita?
Abbiamo un monitoraggio indipendente dei fornitori critici, per non restare ciechi davanti a un incidente non divulgato?
Possiamo produrre la cronologia e le evidenze che una relazione finale richiede — cosa è successo, quando, e cosa abbiamo fatto?

Fonte: Direttiva (UE) 2022/2555 (NIS2), articolo 23 — oltre al regolamento di esecuzione della Commissione sulle soglie di incidente significativo per alcuni fornitori digitali; consulta il portale di notifica del tuo CSIRT nazionale per il canale esatto.

Come aiuta norppa.io

La parte più difficile del calendario è quella che non controlli: un incidente del fornitore di cui vieni a sapere troppo tardi. norppa.io monitora i tuoi fornitori in continuo — le liste delle vittime di ransomware e le fughe di credenziali sul dark web vengono controllate circa ogni sei ore, con allarme immediato — così un evento del fornitore ti raggiunge in tempo per avviare il tuo conto alla rovescia.

E poiché ogni rilievo è con marca temporale e mappato agli articoli NIS2, lo storico necessario a una notifica a 72 ore o a una relazione finale a un mese — cosa è stato visto, quando, e cosa è stato fatto — è già assemblato anziché ricostruito sotto pressione.

Non scoprire troppo tardi l'incidente di un fornitore

Guarda nel report di esempio come il monitoraggio continuo dei fornitori fa emergere ransomware e fughe in poche ore.

Vedi report di esempio

Guide correlate

NIS2 e il requisito della supply chain — cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

NIS2 Art. 21(2) — checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.

ISO 27001 e NIS2: cosa copre già il tuo SGSI — e le lacune che restano

Se hai la ISO 27001: cosa si riporta su NIS2 e cosa no — notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua — e come colmare la lacuna.