L’adozione della Direttiva (UE) 2022/2555, nota come NIS 2 (nel seguito “la Direttiva”), segna un punto di svolta epocale nella strategia di sicurezza informatica dell’Unione Europea.
Non si tratta di un mero aggiornamento della precedente Direttiva del 2016, ma di una revisione strategica che innalza radicalmente il livello di ambizione europea in materia di cybersicurezza, dettato dalla constatazione che l’approccio frammentato e le divergenze nell’attuazione della prima direttiva avevano portato a livelli di protezione disomogenei tra gli Stati membri, creando vulnerabilità sistemiche a fronte di minacce sempre più sofisticate, interconnesse e aggressive, specialmente alla luce del mutato quadro geo-politico conseguente alle tristi vicende belliche che ormai alcuni anni interessano da vicino il territorio dell’Unione.
La Direttiva non deve essere interpretata isolatamente, ma inserita in un ecosistema legislativo integrato, un vero e proprio “pacchetto cybersicurezza”, che opera in sinergia con altre normative fondamentali.
Tra queste, ad esempio, figurano oltre il GDPR in fase di revisione, il Digital Operational Resilience Act (DORA), che stabilisce requisiti specifici e ancora più stringenti per il settore finanziario, operando come lex specialis; il Cyber Resilience Act (CRA), che si concentra sulla sicurezza dei prodotti con elementi digitali lungo tutto il loro ciclo di vita; e la Direttiva sulla Resilienza delle Entità Critiche (CER), che affronta la resilienza fisica delle infrastrutture critiche.
Ciò detto, prima di esaminare nel dettaglio il tema oggetto di questo contributo, e cioè le modalità di risposta e notifica degli incidenti significativi, vale la pena osservare come il cambiamento più profondo introdotto dalla Direttiva possa tuttavia, essere considerato di natura filosofica poiché la si sposta l’enfasi dalla mera conformità formale alla costruzione di una resilienza operativa dimostrabile, attribuendo, nello specifico, all’art. 20 esplicitamente ai vertici aziendali (come i consigli di amministrazione) il compito di approvare e supervisionare l’attuazione delle misure di gestione dei rischi di cybersicurezza, nonché l’obbligo di seguire una formazione specifica in materia.
Questa disposizione, che manifesta l’intento del legislatore di forzare un cambiamento culturale che porti la sicurezza informatica al centro delle decisioni strategiche, riconoscendola non più come un costo, ma come un investimento fondamentale per la continuità operativa, la competitività e la fiducia del mercato, eleva, di fatto, la cybersicurezza da funzione tecnica, spesso relegata ai dipartimenti IT, a elemento cardine della corporate governance.
Ciò detto, prima di esaminare nel dettaglio il tema oggetto di questo contributo, e cioè le modalità di risposta e notifica degli incidenti significativi, vale la pena osservare come il cambiamento più profondo introdotto dalla Direttiva possa tuttavia, essere considerato di natura filosofica poiché la si sposta l’enfasi dalla mera conformità formale alla costruzione di una resilienza operativa dimostrabile, attribuendo, nello specifico, all’art. 20 esplicitamente ai vertici aziendali (come i consigli di amministrazione) il compito di approvare e supervisionare l’attuazione delle misure di gestione dei rischi di cybersicurezza, nonché l’obbligo di seguire una formazione specifica in materia.
Questa disposizione, che manifesta l’intento del legislatore di forzare un cambiamento culturale che porti la sicurezza informatica al centro delle decisioni strategiche, riconoscendola non più come un costo, ma come un investimento fondamentale per la continuità operativa, la competitività e la fiducia del mercato, eleva, di fatto, la cybersicurezza da funzione tecnica, spesso relegata ai dipartimenti IT, a elemento cardine della corporate governance.
In Italia, la direttiva è stata recepita con il D.Lgs. n. 138 del 4 settembre 2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024 che designa l’Agenzia per la Cybersicurezza Nazionale (ACN) come autorità nazionale competente, punto di contatto unico e Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT Italia), conferendole un ruolo centrale nell’attuazione, vigilanza e sanzione del nuovo quadro normativo.
In questo scenario, l’alba del 1° gennaio 2026 segna, per le Organizzazioni italiane, un punto di svolta epocale per la cybersicurezza in Italia.
Con l’entrata in vigore dell’obbligo di notifica degli incidenti di cui all’art. 25 del Decreto per i soggetti essenziali e importanti ai sensi della Direttiva NIS 2, si supera la fase “burocratica” degli obblighi di registrazione ed aggiornamento annuale e la gestione tecnica ed organizzativa della sicurezza informatica cessa di essere una mera best practice per trasformarsi in un imperativo legale, operativo e strategico.
Questa scadenza, fissata a nove mesi dalla notifica di classificazione da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN), ricevuta da circa 30.000 aziende nel nostro Paese, non è un traguardo isolato, ma il primo, fondamentale passo verso la piena conformità che culminerà nell’adozione completa delle misure di gestione dei rischi entro ottobre 2026.
La Definizione e Classificazione di un Incidente di Sicurezza
Una gestione efficace degli incidenti in conformità con le disposizioni della Direttiva NIS 2, poggia su una comprensione precisa e rigorosa della terminologia legale impiegata per individuare specificamente le circostanze puntuali che determinano l’applicazione delle norme, di conseguenza la capacità di un’organizzazione di classificare correttamente un evento di sicurezza non è un mero esercizio accademico, ma un’attività critica che determina l’attivazione di obblighi di notifica stringenti e potenzialmente sanzioni severe.
Definire la Terminologia: Incidente, Quasi-incidente e Minaccia
L’articolo 2 del Decreto di recepimento della Direttiva fornisce le definizioni fondamentali che costituiscono il lessico della gestione degli incidenti, in particolare un “Incidente” è definito come “un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi” e, come si può notare, la definizione ricalca il modello classico della sicurezza delle informazioni (noto come triade CIA – Confidentiality, Integrity, Availability), estendendolo per includere l’autenticità.
Un “Quasi-incidente (Near Miss)” è definito invece come un “evento che avrebbe potuto compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza […] ma che è stato evitato con successo o non si è verificato”.
Un esempio potrebbe essere un attacco di phishing bloccato dai filtri email o un tentativo di intrusione respinto da un firewall.
La Soglia Critica: Cosa Rende un Incidente “Significativo”?
Nonostante il Decreto incoraggi la notifica volontaria anche di eventi di sicurezza la cui condivisione con l’Autorità non è obbligatoria, riconoscendo il loro valore come indicatori precoci di minacce e vulnerabilità, utili per rafforzare la postura di sicurezza collettiva, il fulcro del sistema di notifica della NIS 2 è il concetto di “incidente significativo”, ed è il superamento di questa soglia a innescare l’obbligo di comunicazione alle autorità.
In tale ambito l’articolo 23, paragrafo 3, della direttiva stabilisce che un incidente è da considerarsi significativo se soddisfa almeno uno dei due seguenti criteri:
– Criterio 1: Grave perturbazione operativa o perdite finanziarie per il soggetto stesso. L’incidente “ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato”.
Questo criterio impone una valutazione interna dell’impatto. La valutazione della “gravità” della perturbazione non è definita da metriche assolute, ma deve essere contestualizzata in base a fattori come il numero di utenti o servizi interessati, la durata dell’interruzione e la criticità dei sistemi coinvolti per l’erogazione del servizio.
– Criterio 2: Danni considerevoli per altre persone fisiche o giuridiche. L’incidente “ha avuto ripercussioni o è in grado di ripercuotersi su altre persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli”.
A differenza del precedente questo criterio estende l’analisi dell’impatto oltre i confini dell’organizzazione, obbligandola a considerare le conseguenze a catena sui propri clienti, fornitori, partner e, più in generale, sulla società, includendo tra le “perdite immateriali considerevoli” ad esempio, un grave danno reputazionale o la perdita di segreti commerciali.
Vale la pena osservare che l’uso di termini qualitativi come “grave”, “considerevole” e “in grado di causare” è una scelta deliberata del legislatore che evita di imporre soglie numeriche rigide e universali (es. “un’interruzione di X ore” o “una perdita di Y euro”), riconoscendo che l’impatto di un incidente è estremamente dipendente dal contesto.
incommensurabilmente più “significativa” di un’ora di fermo di un servizio meno critico.
Questa flessibilità, tuttavia, trasferisce l’onere dell’interpretazione e della valutazione direttamente sull’entità colpita con la conseguenza che la decisione se notificare o meno un incidente non è quindi una semplice spunta, ma una valutazione di rischio complessa che sarà quasi certamente soggetta a un controllo ex-post da parte dell’ACN.
Una valutazione errata, in particolare l’omessa notifica di un incidente che l’autorità ritiene a posteriori significativo, costituisce di per sé una grave violazione della direttiva, passibile delle sanzioni più elevate.
Prossimo numero.
Nel prossimo numero, alla luce delle definizioni sin qui condivise si approfondiranno le metodologie disponibili di gestione degli incidenti individuando i criteri e le metriche applicabili per la determinazione della rilevanza degli incidenti ai fini delle notifiche previste dalla legge.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
