Contatti
Ultimo backup14m fa·Endpoint online247 / 247·Alert critici (24h)0·Patch pending2 workstation·SLA mensile99.97%·RPO medio38m·
Ultimo backup14m fa·Endpoint online247 / 247·Alert critici (24h)0·Patch pending2 workstation·SLA mensile99.97%·RPO medio38m·
← Risorse
Guida operativa

Obbligo di notifica incidenti a CSIRT Italia: come prepararsi

Dal 1° gennaio 2026 gli incidenti significativi vanno notificati a CSIRT Italia entro tempi stretti: pre-allarme in 24 ore, notifica in 72, relazione finale in un mese. Cosa serve avere pronto prima che succeda.

Mattia — Marketing Seti· 22 maggio 2026· 11 min lettura· Categoria: Cyber Security

In 30 secondi. Dal 1° gennaio 2026 i soggetti nel perimetro NIS2 devono notificare gli incidenti significativi a CSIRT Italia seguendo una procedura a tre stadi: pre-allarme entro 24 ore, notifica completa entro 72 ore, relazione finale entro 1 mese. Il punto critico non è tecnico: è organizzativo. Senza un workflow scritto e provato, le 24 ore passano mentre si decide chi deve fare cosa — ed è lì che scattano i rilievi.

1. Cosa è cambiato dal 1° gennaio 2026

Fino al 2025 la registrazione sulla piattaforma ACN era l’adempimento principale. Dal 1° gennaio 2026 è pienamente operativo l’obbligo sostanziale: notificare gli incidenti significativi al Computer Security Incident Response Team nazionale (CSIRT Italia), attraverso il portale ACN, entro tempistiche stringenti.

Questo cambia la natura dell’adempimento. Non è più “iscriviti e aspetta”: è “quando ti attaccano, hai 24 ore per dare l’allarme nel modo giusto”. La differenza tra una PMI conforme e una non conforme, nel 2026, si gioca quasi tutta sulla capacità di reazione organizzata, non sugli strumenti.

2. Quali incidenti vanno notificati

Non tutti gli eventi vanno notificati: solo quelli significativi. Un incidente è significativo (in sintesi, secondo i criteri del D.Lgs. 138/2024 e delle determinazioni ACN) quando:

  • Ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto;
  • Si è propagato o può propagarsi causando danni rilevanti a terzi (clienti, altri soggetti della supply chain);
  • Ha comportato accesso non autorizzato a sistemi con potenziale impatto sulla riservatezza, integrità o disponibilità di dati critici.

Regola pratica per una PMI. Ransomware, esfiltrazione di dati, compromissione di account amministrativi, downtime prolungato di un sistema produttivo per causa cyber: notificare. Un singolo phishing bloccato dall’EDR senza impatto: no. Nel dubbio, la decisione va presa da un ruolo designato in anticipo, non improvvisata durante la crisi.

3. La timeline: 24h / 72h / 1 mese

Scadenza Adempimento Contenuto minimo
Entro 24h dalla conoscenza Pre-allarme (early warning) Segnalazione iniziale: si sospetta un incidente significativo, eventuale natura (es. ransomware), se può avere impatto transfrontaliero o doloso.
Entro 72h dalla conoscenza Notifica dell’incidente Aggiornamento del pre-allarme: valutazione iniziale di gravità e impatto, indicatori di compromissione noti.
Entro 1 mese dalla notifica Relazione finale Descrizione dettagliata, gravità e impatto, tipo di minaccia / causa radice, misure di mitigazione adottate ed eventuali impatti transfrontalieri.

Se l’incidente è ancora in corso al momento della relazione finale, si invia una relazione di stato e poi quella conclusiva entro un mese dalla gestione dell’incidente. Le ore decorrono da quando si viene a conoscenza dell’incidente, non da quando è iniziato: per questo il rilevamento (EDR, monitoraggio, alerting) è il primo anello della catena.

4. Chi fa cosa: i ruoli interni

L’errore più comune nelle PMI è non aver deciso prima chi decide. Servono almeno quattro ruoli nominati (possono coincidere in persone diverse in base alla dimensione):

  • Rilevatore — chi/cosa intercetta l’evento (NOC, EDR, helpdesk, utente). Deve sapere a chi escalare e in che minuti.
  • Incident Manager — coordina la risposta tecnica e decide se l’incidente è “significativo”. Ruolo chiave: deve essere raggiungibile h24 con un sostituto.
  • Referente notifica — materialmente compila e invia le notifiche sul portale ACN. Ha le credenziali pronte e il template.
  • Referente direzione/legale — valuta impatti contrattuali, comunicazione a clienti, eventuale coinvolgimento del Garante (se ci sono dati personali) e del CdA.

5. Il workflow operativo passo-passo

Questo è lo schema che impostiamo con i clienti. È volutamente semplice: un workflow che nessuno legge sotto stress non serve a niente.

  1. T+0 — Rilevazione. Alert EDR/NOC o segnalazione utente. Il Rilevatore apre un ticket “sospetto incidente” e avvisa l’Incident Manager entro 15 minuti.
  2. T+0→2h — Triage. L’Incident Manager classifica: falso positivo, incidente minore, sospetto incidente significativo. Se significativo, fa partire l’orologio delle 24h e avvisa Referente notifica e Direzione.
  3. T+entro 24h — Pre-allarme. Il Referente notifica invia l’early warning sul portale ACN con le informazioni disponibili. Meglio un pre-allarme con dati parziali nei tempi che uno perfetto in ritardo.
  4. T+entro 72h — Notifica. Aggiornamento con valutazione di gravità, impatto, IoC noti. In parallelo: contenimento tecnico e raccolta evidenze.
  5. T+entro 1 mese — Relazione finale. Causa radice, cronologia, misure adottate, lezioni apprese. Si archivia tutto nel registro incidenti (richiesto da ACN in audit).
  6. Post-incidente. Riunione di lessons learned, aggiornamento delle misure, eventuale comunicazione a clienti della supply chain.

6. Cosa avere pronto PRIMA che succeda

La conformità si costruisce a freddo. Questi sono gli asset che devono esistere prima del primo incidente:

  • Procedura di gestione incidenti scritta (4-8 pagine, non 80)
  • Rubrica di emergenza: chi chiamare, numeri privati, sostituti
  • Credenziali e accesso al portale ACN già verificati e a portata
  • Template di notifica precompilato nelle parti fisse (dati societari)
  • Registro incidenti (anche un foglio strutturato va bene per iniziare)
  • Un’esercitazione tabletop fatta almeno una volta all’anno

Il test che vale doppio. Un’esercitazione tabletop di 2 ore — “simuliamo un ransomware lunedì mattina, chi fa cosa nelle prime 24 ore?” — rivela in mezza giornata tutti i buchi del processo. È l’investimento NIS2 con il miglior rapporto costo/beneficio in assoluto.

7. Errori che fanno scattare le sanzioni

  1. Scoprire l’incidente in ritardo. Senza EDR e monitoraggio si viene a sapere di un ransomware giorni dopo: le 24h sono già perse. Il rilevamento è un obbligo de facto.
  2. Non sapere chi decide. Mezza giornata persa a capire “ma chi è che notifica?” è il finding classico dell’audit.
  3. Non notificare per paura del danno reputazionale. La mancata notifica è una violazione autonoma, sanzionabile a prescindere dalla gravità dell’incidente.
  4. Non documentare nulla. Niente registro, niente cronologia, niente evidenze: per ACN equivale a non aver gestito l’incidente.
  5. Confondere NIS2 e GDPR. Sono due binari diversi: un incidente con dati personali può richiedere sia la notifica CSIRT sia quella al Garante, con tempi propri.

8. Domande frequenti

Siamo una PMI di 40 persone. Dobbiamo notificare anche noi?

Se siete nel perimetro NIS2 (diretto o via supply chain con obblighi ribaltati dal cliente), sì. La dimensione non riduce le tempistiche: le 24/72 ore valgono per tutti. Per questo una PMI piccola ha ancora più bisogno di un workflow semplice e provato: non ha un SOC interno che assorbe l’urto.

Chi può inviare materialmente la notifica al posto nostro?

Potete designare il vostro fornitore IT/MSP come referente operativo della notifica, purché formalizzato nella procedura e con accessi predisposti. È uno dei servizi che gestiamo per i clienti: noi rileviamo, classifichiamo e prepariamo la notifica, voi mantenete la responsabilità e l’approvazione.

Cosa succede se notifichiamo un evento che poi non era significativo?

Nessuna penalizzazione per una notifica prudenziale fatta in buona fede. Il rischio sanzionatorio sta nel non notificare, non nel notificare in eccesso. Nel dubbio, nei tempi, si notifica.

Quanto tempo serve per essere pronti su questo punto?

La parte documentale (procedura, ruoli, template, rubrica) si chiude in 2-4 settimane. Il rilevamento adeguato (EDR + monitoraggio) richiede qualche settimana in più se non c’è. L’esercitazione tabletop si fa in mezza giornata. Realisticamente: 1-2 mesi per essere davvero pronti.

9. Da dove iniziare

La notifica incidenti è uno dei dieci ambiti della NIS2, ma è quello dove l’impreparazione si paga più in fretta: gli altri li scopre l’auditor, questo lo scopre l’attaccante. Tre cose da fare adesso:

  1. Scaricate la Checklist NIS2. La sezione “Gestione incidenti” vi dà subito la mappa di cosa manca.
  2. Nominate i quattro ruoli (anche solo su carta, oggi). Senza nomi non c’è processo.
  3. Prenotate un assessment: in 90 minuti verifichiamo se il vostro rilevamento è in grado di farvi rispettare le 24 ore.

Volete partire dalla parte che si paga più in fretta?

La Checklist NIS2 per PMI include la sezione “Gestione incidenti” con le voci di controllo per la notifica CSIRT. Scaricatela, oppure prenotate un assessment gratuito di 90 minuti.

Scarica la checklist (PDF) · Prenota assessment gratuito