Notifica di un incidente NIS 2: la timeline, fase per fase.
Dalla scoperta dell'incidente significativo alla relazione finale: scadenze, contenuti e destinatari di ogni comunicazione previsti dall'art. 23 della NIS 2.
Quando un soggetto NIS 2 subisce un incidente «significativo» scatta una sequenza di notifiche al CSIRT con scadenze precise, da rispettare anche mentre l'incidente è ancora in corso. Le tre tappe principali sono il pre-allarme entro 24 ore, la notifica completa entro 72 ore e la relazione finale entro un mese.
-
Entro 24 ore
Pre-allarme
Dalla conoscenza dell'incidente. Una segnalazione iniziale che indica, se noto, se l'incidente è dovuto ad atti illeciti o dolosi o se può avere un impatto transfrontaliero.
-
Entro 72 ore
Notifica dell'incidente
Aggiorna il pre-allarme con una valutazione iniziale: gravità, impatto e, ove disponibili, gli indicatori di compromissione (IoC).
-
Su richiesta
Relazione intermedia
Aggiornamenti sullo stato dell'incidente, quando richiesti dal CSIRT o dall'autorità competente.
-
Entro 1 mese
Relazione finale
Dalla notifica delle 72 ore. Descrizione dettagliata, natura della minaccia e causa radice, misure di mitigazione applicate ed eventuale impatto transfrontaliero.
-
Se ancora in corso
Relazione di avanzamento
Se a un mese l'incidente non è chiuso, si invia una relazione di avanzamento; quella finale segue entro un mese dalla conclusione della gestione.
| Fase | Entro quando | Cosa comunicare |
|---|---|---|
| Pre-allarme | 24 ore dalla conoscenza | Segnalazione iniziale; se nota, origine dolosa/illecita o potenziale impatto transfrontaliero |
| Notifica dell'incidente | 72 ore dalla conoscenza | Valutazione iniziale: gravità, impatto, indicatori di compromissione |
| Relazione intermedia | Su richiesta del CSIRT | Aggiornamenti sullo stato della gestione |
| Relazione finale | 1 mese dalla notifica | Descrizione dettagliata, causa radice, misure di mitigazione, impatti transfrontalieri |
| Relazione di avanzamento | Se l'incidente è ancora in corso | Stato di avanzamento; relazione finale entro 1 mese dalla chiusura |
E se l'incidente coinvolge dati personali?
La notifica NIS 2 al CSIRT non sostituisce quella prevista dal GDPR. Se l'incidente è anche una violazione di dati personali, resta l'obbligo di notifica al Garante entro 72 ore (art. 33 GDPR): lo stesso evento può quindi attivare una doppia notifica, verso destinatari diversi.
Sintesi a fini di orientamento basata sull'art. 23 della Direttiva (UE) 2022/2555 e sul recepimento italiano (D.Lgs 138/2024). Le notifiche si trasmettono al CSIRT Italia tramite il portale dell'ACN; modalità e modulistica di dettaglio sono definite dalle determinazioni dell'ACN.
Domande frequenti sulla notifica NIS 2
Entro quante ore va notificato un incidente NIS 2?
Il pre-allarme va inviato entro 24 ore dalla conoscenza dell'incidente significativo, la notifica completa entro 72 ore e la relazione finale entro un mese dalla notifica.
Qual è la differenza tra pre-allarme, notifica e relazione finale?
Il pre-allarme (24 ore) è una prima segnalazione essenziale; la notifica (72 ore) aggiunge la valutazione iniziale di gravità e impatto; la relazione finale (un mese) documenta causa radice, misure adottate ed effetti, anche transfrontalieri.
A chi si invia la notifica di un incidente NIS 2?
Al CSIRT Italia, attraverso il portale dell'ACN. Vigilio identifica automaticamente il CSIRT di riferimento e prepara la scheda nel formato ACN per la trasposizione.
La notifica NIS 2 sostituisce quella al Garante per il data breach?
No. Se l'incidente comporta anche una violazione di dati personali, l'obbligo di notifica al Garante entro 72 ore previsto dal GDPR resta autonomo e distinto da quello verso il CSIRT.
Arriva preparato al momento della notifica.
Vigilio tiene la scheda incidente conforme allo schema NIS 2 e la ripropone nel formato ACN. Una demo di 30 minuti mostra come rispettare la timeline senza affanni.