01 Gennaio 2026, obblighi di notifica e risposta agli incidenti. NIS 2 ai nastri di partenza (Parte III/III).
Come accennato negli scorsi numeri la gestione degli incidenti cyber ha smesso di essere una questione esclusivamente tecnica per trasformarsi in uno dei pilastri della resilienza organizzativa quale definita dalla norma ISO 22316:2017. Infatti, la Direttiva NIS 2 ha introdotto obblighi espliciti tali che l’efficacia di un sistema di risposta non può essere valutata isolatamente, ma inquadrata nella più ampia capacità di mantenere la continuità operativa e di recuperare funzionalità critiche a seguito di eventi distruttivi.
Le organizzazioni sono oggi chiamate a sviluppare approcci olistici alla resilienza, integrando la risposta agli incidenti con i framework di Business Continuity Management e Disaster Recovery, alla luce degli standard ISO/IEC 27001:2022 e ISO 22301:2019, delle metodologie NIST nonché del D.Lgs. 138/2024 (in seguito il Decreto).
Il concetto di “incidente” ha acquisito una rilevanza normativa con il Decreto, che lo definisce come un evento in grado di compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o trattati, oppure dei servizi offerti da reti e sistemi informatici.
Il Framework di riferimento è costituito dal NIST SP 800-61 Rev. 3, che identifica quattro fasi fondamentali: preparazione, rilevamento e analisi, contenimento con eradicazione e recupero, e attività post-incidente, parallelamente, lo standard ISO/IEC 27035-1:2016 fornisce una struttura articolata in cinque fasi che includono anche la valutazione e la decisione, concludendosi con l’analisi delle lezioni apprese.
Per una gestione efficace, è inoltre fondamentale distinguere gli incidenti dai semplici eventi di sicurezza: mentre un evento rappresenta qualsiasi occorrenza rilevabile in un sistema, un incidente costituisce un evento o una serie di eventi che richiedono una risposta strutturata in quanto hanno causato, o potrebbero causare, un impatto negativo significativo.
La procedura aziendale deve quindi incorporare una tassonomia che rifletta le specificità settoriali e i parametri per determinare la priorità di risposta, l’impatto, l’estensione e l’urgenza, determinata dalla velocità di propagazione della minaccia.
Proprio sul fronte temporale, la normativa impone ritmi serrati: il soggetto deve fornire un preavviso entro ventiquattro ore dal momento in cui viene a conoscenza dell’incidente, una notifica completa entro settantadue ore e una relazione finale entro un mese.
La gestione ed il coordinamento del ciclo di vita di un incidente cyber sono affidate al Incident Response Team (IRT) che funge da fulcro operativo e strategico per tutte le attività, dall’identificazione iniziale fino alla risoluzione completa e all’analisi post-incidente.
All’interno di questo team, il ruolo di maggiore responsabilità è ricoperto dal IRT Manager che non solo detiene la supervisione sulle operazioni in corso, ma è anche investito dell’autorità decisionale per le azioni più critiche nei limiti delle attribuzioni degli Organi di Amministrazione e Direttivi.
Se il Manager garantisce che ogni scelta operativa sia documentata e allineata con gli obblighi di legge e le politiche interne di governance e conformità, gli analisti si occupano della forensics e del contenimento, mentre il Legal and Compliance Officer deve gestire gli obblighi di notifica derivanti sia dalla NIS 2 sia dal GDPR, in caso di data breach.
Passando dall’operatività alla strategia, è necessario distinguere tra la procedura di incident response e il Piano di Risposta agli Incidenti, se la prima descrive i processi standardizzati, il piano definisce la strategia complessiva, stabilendo obiettivi, priorità e principi guida: deve integrare la risposta con gli altri processi di resilienza, fornendo un framework di governance e un sistema di metriche per valutare l’efficacia del programma; ad es: Mean Time to Detect e il Mean Time to Recover.
Per i soggetti NIS 2, lo scope del piano deve includere tutti i sistemi che supportano la fornitura dei servizi essenziali, ed in questo senso il decreto e le specifiche rilasciate da ACN impongono l’adozione di politiche di analisi dei rischi, che devono informare gli scenari previsti nel piano.
In questo contesto, incident response, business continuity e disaster recovery si collocano lungo un continuum temporale, infatti, mentre l’incident response mira al ripristino della sicurezza eliminando la minaccia, il business continuity management si focalizza sul mantenimento dell’erogazione dei servizi critici al di sopra di livelli minimi accettabili, ed il disaster recovery si concentra sul ripristino delle infrastrutture IT e dei dati dopo eventi catastrofici.
Un attacco ransomware su larga scala è l’esempio paradigmatico: mentre il team di incident response isola la minaccia e identifica il vettore di infezione, le operazioni di disaster recovery valutano l’integrità dei backup per condurre al ripristino, le funzioni di business continuity devono attivare workaround per mantenere i processi aziendali attivi in una valutazione olistica che rifugge la logica dei silo e consideri la criticità operativa, la gravità della minaccia e la disponibilità di alternative.
L’approccio più efficace prevede l’istituzione di una struttura a più livelli: un Crisis Management Team strategico e un Incident Command Post tattico per il coordinamento con i team specialistici; mentre le strategie di integrazione devono includere risk assessment unificati, l’arricchimento della Business Impact Analysis con considerazioni di security e l’esecuzione di esercitazioni integrate che simulino scenari di attivazione simultanea delle tre capacità.
In ambito italiano, l’integrazione è diventata un requisito in ragione del fatto che, come è noto, l’articolo 23 del Decreto attribuisce responsabilità diretta agli organi di gestione per la violazione delle misure di cybersicurezza, conferendo loro l’accountability sulla resilienza dell’ente.
L’evoluzione tecnologica sta trasformando la gestione degli incidenti attraverso l’automazione garantita dalle piattaforme SOAR (Security Orchestration, Automation and Response), l’integrazione di Cyber Threat Intelligence e pratiche di threat hunting proattivo che consentono di identificare compromissioni prima che generino alert automatizzati. Inoltre, la resilienza deve ormai estendersi alla supply chain, valutando non solo i rischi cyber dei fornitori ma anche le loro capacità di business continuity e disaster recovery.
In conclusione, l’analisi condotta evidenzia come l’incident response non possa essere concepita come una disciplina isolata, la sua integrazione con la business continuity e il
disaster recovery non è solo una best practice, ma una necessità; solo attraverso una cultura organizzativa che trascenda i silos funzionali e un impegno diretto dei vertici aziendali è possibile costruire un vantaggio competitivo duraturo.
Gli investimenti in piani di risposta efficaci e testati rappresentano investimenti strategici nella sostenibilità a lungo termine dell’impresa, tanto più critici quanto più l’organizzazione opera in settori essenziali per l’economia e la società.
Prossimo numero.
Nel prossimo numero affronteremo le sfide, senza precedenti nel panorama della cybersicurezza, introdotte dalla diffusione dei deepfake e delle identità sintetiche. Mentre i deepfake utilizzano algoritmi di machine learning per manipolare o creare contenuti audio e video iper-realistici volti a impersonare individui reali, l’identità sintetica combina dati veritieri e fittizi per generare profili digitali completamente nuovi e difficilmente tracciabili.
Se sei interessato ad approfondire la gestione degli incidenti nell'era della Nis2 allora scarica il Whitepaper dell'Avv. Giuseppe Serafini
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
