AREA RISERVATA

Innovazione legale

NEWS

NIS2: dal 1° gennaio 2026 scatta la notifica al CSIRT Italia degli incidenti cyber

Dal 1° gennaio 2026 entra nella fase pienamente operativa uno degli adempimenti più rilevanti previsti dalla normativa NIS2: i soggetti rientranti nel perimetro devono notificare al CSIRT Italia gli incidenti informatici “significativi” entro tempistiche molto stringenti. La disciplina mira a rafforzare la capacità di risposta coordinata agli incidenti e a migliorare la resilienza complessiva delle filiere critiche.

Nota: l’obbligo riguarda gli incidenti “significativi”. La segnalazione di minacce e “quasi incidenti” (near miss) è prevista su base volontaria e, nella pratica, costituisce una best practice utile a fini di prevenzione e tracciabilità.

A chi si applica l’obbligo

L’obbligo di notifica riguarda i “soggetti essenziali” e i “soggetti importanti” individuati dalla normativa NIS2 e qualificati come tali a livello nazionale. In termini pratici, ricadono nel perimetro le organizzazioni che operano in settori ritenuti critici/strategici e che sono state incluse negli elenchi dei soggetti NIS secondo le procedure e i criteri applicabili (anche in funzione di dimensioni, ruolo e dipendenze di filiera).

Che cosa va notificato: incidente vs quasi-incidente

Incidenti “significativi” (obbligo)

È obbligatoria la notifica al CSIRT Italia di ogni incidente che abbia un impatto significativo sulla fornitura dei servizi. Un incidente può essere considerato “significativo”, ad esempio, quando:

  • provoca (o può provocare) una grave perturbazione operativa dei servizi o perdite finanziarie rilevanti;
  • ha avuto (o può avere) ripercussioni su terzi con perdite materiali o immateriali considerevoli.

Quasi-incidenti e minacce (facoltà, non obbligo)

Per minacce informatiche, incidenti non significativi e quasi-incidenti, la disciplina consente una notifica su base volontaria. La segnalazione dei near miss è spesso consigliabile per:

  • favorire la condivisione di indicatori e pattern di attacco;
  • dimostrare maturità del processo di incident management;
  • ridurre il rischio che un evento “sfiorato” evolva in un incidente con impatti concreti.

Modalità applicative: tempistiche e contenuti della notifica (24h – 72h – 1 mese)

La notifica al CSIRT Italia è strutturata per fasi. In sintesi:

a) Pre-notifica entro 24 ore

Entro 24 ore da quando l’organizzazione viene a conoscenza dell’incidente significativo, va inviata una pre-notifica che, ove possibile, indichi:

  • se l’incidente può essere il risultato di atti illegittimi o malevoli;
  • se l’incidente può avere un impatto transfrontaliero.

b) Notifica entro 72 ore

Entro 72 ore dalla conoscenza dell’incidente significativo, va trasmessa la notifica con una valutazione iniziale (gravità e impatto) e, ove disponibili, gli indicatori di compromissione (IoC).

c) Relazione finale entro un mese

Entro un mese dalla notifica “a 72 ore” va inviata la relazione finale, contenente almeno:

  • descrizione dettagliata dell’incidente, della gravità e dell’impatto;
  • cause principali (root cause) o tipologia di minaccia che ha innescato l’evento;
  • misure di mitigazione adottate o pianificate;
  • eventuale impatto transfrontaliero.

Se l’incidente è ancora in corso quando si trasmette la relazione finale, possono essere richiesti aggiornamenti periodici e una relazione conclusiva entro un mese dalla chiusura della gestione dell’incidente.

In linea generale, la notifica non è finalizzata ad “attribuire colpe” ma a consentire una risposta coordinata: è quindi essenziale che le informazioni siano accurate, coerenti e inviate tempestivamente.

Conseguenze della mancata denuncia o della denuncia tardiva/incompleta

La mancata osservanza degli obblighi di notifica (e, più in generale, degli obblighi NIS su gestione del rischio e incident reporting) può comportare sanzioni amministrative pecuniarie rilevanti, oltre a misure correttive e di enforcement da parte dell’Autorità competente. Le soglie sanzionatorie variano in funzione della qualificazione del soggetto (essenziale o importante) e, in alcuni casi, del fatturato annuo mondiale.

Cosa fare subito: checklist operativa

Per arrivare pronti all’avvio operativo del 2026, consigliamo di avviare (o consolidare) quanto prima le seguenti attività:

  • definizione di un processo interno di triage per stabilire quando un alert diventa “incidente” e quando è “significativo”;
  • identificazione di ruoli e responsabilità (chi valuta, chi approva, chi invia la notifica) e gestione della reperibilità;
  • predisposizione di template e procedure (pre-notifica, notifica e relazione finale), con raccolta evidenze e criteri di classificazione;
  • allineamento contrattuale con fornitori IT/security (outsourcer, cloud, SOC/MSSP) per garantire flussi informativi tempestivi;
  • integrazione con altri obblighi di legge e regolamentari (es. data breach GDPR e obblighi settoriali), evitando duplicazioni e incoerenze comunicative.
Ultimi articoli
CONTATTACI PER UNA CONSULENZA