Un concetto fondamentale introdotto dall’ACN è quello di “evidenza”, in base al quale l’obbligo di notifica non scatta sulla base di un semplice sospetto, ma quando l’organizzazione “dispone di elementi oggettivi dai quali si evince che si è verificato un incidente di sicurezza informatica” riconducibile a una delle categorie sopra elencate.

In buona sostanza, la tassonomia dell’ACN definisce il “cosa” cercare, ma non stabilisce soglie quantitative per il “quanto”, quindi, per applicare in modo coerente e difendibile i criteri di “gravità” e “considerevolezza” della Direttiva, ogni organizzazione deve sviluppare un proprio sistema di metriche e soglie interne.

Per valutare una “grave perturbazione operativa”, è necessario misurare la deviazione rispetto al funzionamento normale.

Le metriche pertinenti includono, a d esempio: a) il numero di utenti/clienti impattati, sia in valore assoluto che in percentuale sul totale; b). il numero di sistemi/servizi critici coinvolti, basato su una classificazione interna della criticità degli asset; c). la durata dell’interruzione, misurata in minuti o ore e confrontata con i Service Level Agreement (SLA) o Service Level Objective (SLO) contrattuali o interni; d). e la percentuale di degrado delle performance, per incidenti che non causano un’interruzione totale ma un rallentamento significativo.

Dato che la misura ACN DE.CM-01 richiede esplicitamente la definizione dei livelli di servizio attesi (SLA – Service Level Agreement), questi ultimi non costituiscono semplicemente un parametro indicativo, bensì il fondamento imprescindibile e il punto di riferimento primario per qualsiasi attività di valutazione, monitoraggio e rendicontazione.

La loro chiara e inequivocabile formulazione è pertanto cruciale per garantire la trasparenza, l’efficacia e l’obiettività nel processo di misurazione delle prestazioni e per determinare il successo o l’insuccesso nell’erogazione del servizio o nel raggiungimento degli obiettivi prefissati.

La stima delle “perdite finanziarie” rappresenta un processo complesso ma di fondamentale importanza in svariati contesti, che spaziano dalla valutazione dei danni in ambito legale e assicurativo, all’analisi di impatto economico in progetti aziendali, fino alla quantificazione dei costi derivanti da eventi imprevisti o interruzioni operative.
Per affrontare tale complessità, è utile distinguere due categorie principali di costi che contribuiscono alla composizione delle perdite finanziarie totali.
Questa distinzione permette un’analisi più strutturata e una quantificazione più precisa, evitando omissioni o sovrastime.

I costi diretti sono facilmente quantificabili e includono i costi per il personale interno ed esterno dedicato alla risoluzione dell’incidente (remediation), le spese legali, i costi di notifica agli interessati (in caso di data breach GDPR), e le potenziali sanzioni normative.