Nuovi obblighi di notifiche degli incidenti informatici nel decreto di attuazione della direttiva europea Nis 2

L’articolo 25 del Decreto di attuazione della Direttiva Nis 2 pone una serie di obblighi in materia di notifica di incidente: in particolare, al comma 1 è previsto che i soggetti essenziali e i soggetti importanti sono tenuti a notificare senza indebito ritardo al CSIRT Italia (Gruppo nazionale di risposta agli incidenti di sicurezza operante all’interno dell’Agenzia per la cybersicurezza nazionale) ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi.

Per incidente, ai sensi dell’art. 6 della Direttiva Nis 2, si intende «un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi».

Un incidente è considerato significativo se ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato o ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Gli enti e le imprese (soggetti essenziali e importanti) devono provvedere entro 24 ore a trasmettere una prenotifica sull’incidente allo Csirt.

Il termine decorre al momento in cui si è venuti a conoscenza dell’incidente.

La prenotifica deve indicare, se possibile, se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero.

Il CSIRT Italia senza ingiustificato ritardo e ove possibile entro 24 ore dal ricevimento della pure-notifica fornisce, alla luce delle priorità basate sul criterio di rischio, una risposta al soggetto notificante, comprensiva di un riscontro iniziale sull’incidente significativo e, su richiesta del soggetto, orientamenti o consulenza sull’attuazione di possibili misure tecniche di mitigazione.

Entro 72 ore dall’evento occorre inviare una notifica dell’incidente che, ove possibile, aggiorni le informazioni precedentemente contenute nel preallarme e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione.

Su richiesta del CSIRT Italia, gli enti sono tenuti a trasmettere una relazione intermedia sui pertinenti aggiornamenti della situazione.

Entro un mese dalla trasmissione della notifica dell’incidente, gli enti sono tenuti a inviare una relazione finale a Csirt.

La relazione finale deve contenere una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità e il suo impatto; il tipo di minaccia o la causa originale (root cause) che ha probabilmente innescato l’incidente; le misure di attenuazione adottate e in corso; ove noto, l’impatto transfrontaliero dell’incidente.

Nel caso di incidente in corso al momento della trasmissione della relazione finale, viene prevista una relazione mensile sui progressi e una relazione finale entro un mese dalla conclusione della gestione dell'incidente.

Nel caso di incidenti significativi che abbiano un impatto sulla fornitura dei suoi servizi fiduciari viene previsto l’obbligo di notifica, senza indebito ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo.

Il decreto di attuazione prevede anche, in alcuni casi specifici, la notifica di cittadini e clienti: sentito il CSIRT Italia, se ritenuto opportuno e qualora possibile, i soggetti essenziali e i soggetti importanti comunicano, senza ingiustificato ritardo, ai destinatari dei loro servizi gli incidenti significativi

I soggetti essenziali e i soggetti importanti, se ritenuto opportuno e qualora possibile, sentito il CSIRT Italia, comunicano senza ingiustificato ritardo, ai destinatari dei loro servizi che sono potenzialmente interessati da una minaccia informatica significativa, misure o azioni correttive o di mitigazione che tali destinatari possono adottare in risposta a tale minaccia. Inoltre, sentito il CSIRT Italia, se ritenuto opportuno, i soggetti essenziali e i soggetti importanti comunicano ai medesimi destinatari anche la natura di tale minaccia informatica significativa.

Qualora si sospetti che l’incidente significativo abbia carattere criminale, il CSIRT Italia fornisce al soggetto notificante anche orientamenti sulla segnalazione dell’incidente significativo, all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione.

L’Agenzia per la cybersicurezza nazionale, nello svolgimento delle funzioni di Autorità nazionale competente NIS e di CSIRT Italia, anche sentendo, se del caso, le autorità competenti e gli CSIRT nazionali degli altri Stati membri interessati, può informare il pubblico riguardo all’incidente significativo per evitare ulteriori incidenti significativi o per gestire un incidente significativo in corso, o qualora ritenga che la divulgazione dell’incidente significativo sia altrimenti nell’interesse pubblico.

In caso di notifica di incidente di sicurezza che determini anche una violazione di dati personali, l’Agenzia fornisce, 

senza ritardo, al Garante per la protezione dei dati personali le informazioni utili ai fini di cui all’articolo 33 Regolamento UE 2016/679.

Il decreto di recepimento prevede anche la facoltà di notificare gli incidenti su base volontaria anche senza un impatto significativo e anche i quasi incidenti.

Per quasi incidente, ai sensi dell’art. 6 della Direttiva, si intende «un evento che avrebbe potuto compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi, ma che è stato efficacemente evitato o non si è verificato».

L’attuazione della Nis 2 comporta nuovi obblighi di notifica (e tempi molto rapidi per le notifiche degli incidenti a carico sia dei soggetti essenziali e sia dei soggetti importanti (termini che si applicheranno dal 1 gennaio 2026). I nuovi obblighi di notifica comportano anche altri rilevanti impatti organizzativi quali: il coinvolgimento anche della governance dell’azienda e l’aggiornamento costante di specifiche policy in materia.

Gli organi di gestione dei soggetti essenziali e dei soggetti importanti, ai sensi dell’art, 23 ultimo comma, devono essere, infatti, informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche degli incidenti.

La gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche di cui agli articoli 25 e 26, sono previste come specifica misura di sicurezza ai sensi dell’art. 24 del decreto nell’ottica di una visione olistica della cybersecurity e di un approccio multirischio.

(Fonte: Diritto e Giustizia)