A pochi giorni dalla scadenza dell’obbligo di predisporre una procedura di gestione degli incidenti e all’attivazione delle procedure di notifica degli incidenti significativi, previsto dal decreto legislativo 4 settembre 2024, n. 138, di recepimento della direttiva (UE) 2022 /2555 (c.d. NIS2) in capo ai soggetti qualificati come essenziali o importanti, l’Agenzia per la cybersicurezza nazionale (ACN) pubblica le Linee guida NIS dal titolo “Definizione del processo di gestione degli incidenti di sicurezza informatica”. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale.
Indice
- 1. Gli incidenti informatici e la loro gestione
- 2. Il quadro normativo di riferimento
- 3. Il processo di gestione degli incidenti come obbligo organizzativo strutturato
- 4. Incidenti significativi di base e criteri di qualificazione
- 5. Le determinazioni ACN come strumento di integrazione tra diritto e tecnica
- 6. Conclusioni
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Gli incidenti informatici e la loro gestione
La gestione degli incidenti – intesa come l’insieme delle attività volte a rilevare tempestivamente un incidente, a rispondervi in modo appropriato ed efficiente, a ripristinare la situazione allo stato antecedente al verificarsi dello stesso e a migliorare la capacità di rispondere a futuri incidenti tramite le lezioni apprese – rappresenta una capacità essenziale per garantire la continuità delle attività e dei servizi, la protezione delle informazioni e la resilienza delle organizzazioni. Gli incidenti di sicurezza possono infatti determinare impatti significativi sulle attività e i servizi di un’organizzazione in termini operativi, finanziari o reputazionali.
Il documento si propone di fornire linee guida per la definizione del processo di gestione degli incidenti di sicurezza informatica in conformità a quanto previsto dal decreto NIS e dalla discendente
normativa di attuazione.
In particolare, viene presentato un modello di processo per la gestione degli incidenti illustrandone le relative fasi e sotto-fasi con due appendici, una introduzione alle specifiche di base che illustra gli elementi peculiari delle specifiche di base (A) ed una seconda relativa alle misure di sicurezza per le varie fasi e sotto-fasi del processo di gestione degli incidenti che elenca le misure di sicurezza della disciplina NIS rilevanti per la gestione degli incidenti (B). Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Il quadro normativo di riferimento
Il recepimento della direttiva (UE) 2022/2555 (c.d. NIS2) attraverso il decreto legislativo 4 settembre 2024, n. 138 ha determinato una profonda riorganizzazione degli obblighi in materia di cybersicurezza, imponendo ai soggetti pubblici e privati rientranti nel perimetro NIS un approccio strutturato, continuo e documentato alla gestione del rischio informatico. In tale quadro, l’obbligo di adottare misure tecniche e organizzative adeguate non può più essere inteso come adempimento meramente formale, ma come elemento essenziale della governance dell’Ente.
L’Agenzia per la Cybersicurezza Nazionale, cui il legislatore ha attribuito il compito di specificare, mediante determinazioni e documenti di indirizzo, le modalità applicative degli obblighi previsti dal decreto NIS ha pubblicato le Linee guida NIS sulle specifiche di base, dal titolo “Definizione del processo di gestione degli incidenti di sicurezza informatica” che, insieme alla Guida alla lettura delle Specifiche di base costituiscono due testi complementari: il primo descrive il processo operativo di incident management, il secondo ne chiarisce la collocazione sistematica all’interno delle misure di sicurezza di base adottate con la determinazione ACN n. 164179 del 14 aprile 2025.
Potrebbero interessarti anche:
3. Il processo di gestione degli incidenti come obbligo organizzativo strutturato
Il processo di gestione degli incidenti di sicurezza informatica, così come delineato dall’ACN, non si esaurisce in una sequenza di attività tecniche, ma si configura come obbligo organizzativo permanente, strettamente connesso agli articoli 23, 24 e 25 del d.lgs. 138/2024. La sua articolazione in cinque fasi – preparazione, rilevamento, risposta, ripristino e miglioramento continuo – riflette un modello ciclico ispirato agli standard internazionali, ma assume rilevanza giuridica in quanto richiamato implicitamente dalle misure di sicurezza di base.
3.1 La fase di preparazione: governance, politiche e pianificazione
La fase di preparazione rappresenta il fondamento dell’intero processo di gestione degli incidenti.
Essa comprende l’adozione di politiche di sicurezza informatica, la definizione di ruoli e responsabilità, la predisposizione di procedure formalizzate e la pianificazione delle attività di risposta agli incidenti. La Guida alla lettura evidenzia come numerosi documenti – tra cui il piano di gestione degli incidenti, il piano di continuità operativa e il piano di trattamento del rischio – debbano essere formalmente approvati dagli organi di amministrazione e direttivi, in coerenza con l’art. 23 del decreto NIS.
In questa fase assume particolare rilievo la determinazione ACN n. 307 del 18 gennaio 2022, richiamata quale riferimento sistemico per la strutturazione dei presidi organizzativi di sicurezza. La preparazione non è, dunque, attività statica, ma processo dinamico che deve essere periodicamente aggiornato alla luce dell’evoluzione del contesto tecnologico e delle minacce.
3.2 La fase di rilevamento: monitoraggio e acquisizione dell’evidenza
Il rilevamento degli incidenti consiste nell’individuazione tempestiva di eventi anomali che possano compromettere la riservatezza, l’integrità o la disponibilità dei sistemi informativi e di rete. Secondo i documenti ACN, il rilevamento deve basarsi su attività di monitoraggio continuo, sull’analisi dei log e sull’utilizzo di strumenti idonei a intercettare comportamenti anomali.
Dal punto di vista giuridico, questa fase assume rilievo centrale in quanto segna il momento dell’“acquisizione dell’evidenza” dell’incidente, da cui decorrono gli obblighi di notifica previsti dall’art. 25 del d.lgs. 138/2024. Ciò che rileva in questa fase non è la causa dell’evento, ma la sua riconducibilità a una delle tipologie di incidente significativo di base, così come definite negli allegati alla determinazione 164179/2025.
3.3 La fase di risposta: contenimento e mitigazione
La risposta all’incidente comprende l’insieme delle azioni volte a contenere l’impatto dell’evento, limitarne la propagazione e ridurre i danni ai sistemi e ai servizi. Le linee guida ACN sottolineano la necessità di procedure predefinite, ruoli chiari e canali di comunicazione interni ed esterni già strutturati nella fase di preparazione.
In questa fase si innestano anche gli obblighi di comunicazione verso l’ACN e, ove necessario, verso gli utenti, secondo le tempistiche e le modalità previste dall’art. 25 del decreto NIS. La risposta all’incidente diventa così momento di sintesi tra dimensione tecnica e responsabilità giuridica, richiedendo decisioni rapide ma coerenti con le valutazioni di rischio precedentemente effettuate.
3.4 La fase di ripristino: continuità operativa e resilienza
Il ripristino riguarda il ritorno alla piena operatività dei sistemi e dei servizi compromessi, assicurando al contempo che le vulnerabilità sfruttate siano state adeguatamente rimosse. La Guida alla lettura collega questa fase alle misure di continuità operativa e disaster recovery, che devono essere proporzionate al rischio e testate periodicamente.
Dal punto di vista normativo, il ripristino si inserisce nel più ampio obbligo di garantire la resilienza dei sistemi informativi, previsto dall’art. 24 del d.lgs. 138/2024. Esso costituisce un indicatore rilevante della capacità dell’organizzazione di assicurare la continuità dei servizi essenziali o importanti anche in presenza di eventi avversi.
3.5 La fase di miglioramento continuo: apprendimento e adeguamento
La fase di miglioramento continuo chiude il ciclo dell’incident management e ne rappresenta l’elemento qualificante. Essa implica l’analisi post-incidente, la revisione delle misure di sicurezza, l’aggiornamento della valutazione del rischio e l’adeguamento delle procedure e dei controlli. Le specifiche di base presuppongano un approccio dinamico, in cui ogni incidente diventa occasione di apprendimento organizzativo
In questa prospettiva, il miglioramento continuo assume una valenza giuridica rilevante: la capacità di dimostrare l’aggiornamento delle misure e la revisione dei processi costituisce elemento essenziale per attestare la diligenza del soggetto NIS e la conformità agli obblighi normativi.
4. Incidenti significativi di base e criteri di qualificazione
I documenti ACN dedicano particolare attenzione alla definizione degli incidenti significativi di base, differenziando le fattispecie applicabili ai soggetti importanti e a quelli essenziali. La Guida alla lettura chiarisce che la qualificazione dell’incidente avviene sulla base degli effetti e dell’impatto, indipendentemente dalla causa scatenante, e che l’obbligo di notifica sorge al momento dell’acquisizione dell’evidenza.
Particolare rilievo assume, per i soggetti essenziali, la fattispecie relativa all’accesso non autorizzato o con abuso dei privilegi concessi, che richiama direttamente l’importanza delle politiche di gestione delle identità e degli amministratori di sistema, già oggetto di precedenti determinazioni ACN.
5. Le determinazioni ACN come strumento di integrazione tra diritto e tecnica
Dalla lettura coordinata dei due documenti emerge con chiarezza come le determinazioni ACN svolgano una funzione di integrazione tra norma giuridica e dimensione tecnica. Esse traducono obblighi generali in requisiti verificabili, offrendo ai soggetti NIS un quadro di riferimento certo e all’Autorità uno strumento di valutazione oggettiva della conformità.
Il processo di gestione degli incidenti, così strutturato, diventa quindi uno dei principali indicatori di maturità organizzativa e di accountability del soggetto obbligato.
6. Conclusioni
L’integrazione tra il documento sul processo di gestione degli incidenti e la Guida alla lettura delle Specifiche di base restituisce un modello organico e coerente di incident management, nel quale la cybersicurezza si configura come componente essenziale della governance. Le cinque fasi del processo non rappresentano meri passaggi operativi, ma articolazioni di un obbligo giuridico continuo, fondato sulla valutazione del rischio, sulla responsabilizzazione degli organi direttivi e sul miglioramento costante delle misure adottate, risultando particolarmente utili per la redazione del processo di gestione degli incidenti di sicurezza informatica, adempimento che la determinazione ACN 379907/2025 all’art. 3 fissa in nove mesi dalla ricezione, da parte del soggetto NIS, della comunicazione di inserimento nell’elenco dei soggetti NIS.
Formazione in materia per professionisti
Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento