La gestione degli incidenti di sicurezza informatica nel decreto NIS
Uno dei pilastri del decreto legislativo 4 settembre 2024, n. 138 (cd. decreto NIS) è la gestione degli incidenti di sicurezza informatica.
Il 31 dicembre 2025 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha elaborato le “Linee guida NIS – Specifiche di base – per la definizione del processo di gestione degli incidenti di sicurezza informatica”, con l’obiettivo di supportare i soggetti NIS nel percorso di adeguamento agli obblighi previsti dalla normativa.
Garantire la continuità delle attività e dei servizi, la protezione delle informazioni e la resilienza delle organizzazioni è oggi essenziale. Gli incidenti di sicurezza informatica possono infatti generare impatti rilevanti sotto il profilo operativo, finanziario e reputazionale.
Il documento, fermo restando l’obbligo di conformarsi alle specifiche di base previste dalla determinazione ACN n. 379907/2025, propone:
– un modello di riferimento per il processo di gestione degli incidenti;
– la relazione tra le fasi del processo e le misure di sicurezza di base.
La gestione degli incidenti non deve essere intesa come un’attività meramente reattiva, bensì come una capacità organizzativa strutturale, che deve essere governata, documentata e verificabile. In questo modo viene definito un processo di gestione completo e coerente con il quadro normativo NIS.
Particolarmente rilevante è il richiamo al concetto di “evidenza dell’incidente”: è infatti da questo momento che decorrono le tempistiche di notifica verso il CSIRT Italia, elemento cruciale per garantire una risposta tempestiva e conforme agli obblighi normativi. L’acquisizione dell’evidenza è successiva al verificarsi dell’incidente e definisce il momento dal quale decorre il termine per la trasmissione della pre-notifica (24 ore) e della notifica (72 ore).
Le Linee guida includono inoltre due appendici che contengono:
-
un’introduzione alle specifiche di base, utile a una migliore comprensione del documento;
-
un elenco delle misure di sicurezza previste dalla disciplina NIS rilevanti ai fini della gestione degli incidenti.
Fonte: acn.gov.it
Potrebbe interessarti anche: