Direttiva NIS2: al via la seconda fase del processo di attuazione

Il 10 Aprile 2025 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha avviato la seconda fase del processo di attuazione della normativa NIS2, notificando alle organizzazioni che si erano iscritte al registro NIS nella prima fase la classificazione loro assegnata.

A partire dalle oltre 30.000 registrazioni effettuate al registro, l’ACN ha indentificato in Italia oltre 20.000 organizzazioni come soggetti NIS, di cui oltre 5.000 sono classificati come soggetti essenziali.

In questo blogpost cercherò di fare chiarezza sulle notifiche, dei loro contenuti e tempistiche verso i soggetti coinvolti.

Le informazioni e i dati contenuti nell’articolo sono relativi al panorama italiano.

I prossimi passi per i soggetti NIS

Le realtà che hanno ricevuto notifica dall’ACN sono state informate della loro classificazione come soggetti importanti (la nuova categoria prevista da NIS2) o essenziali (che recepiscono obblighi aggiuntivi, saranno sottoposti a supervisione e rischiano sanzioni maggiori).

La seconda fase richiede a tutti i soggetti NIS, indipendentemente dalla classificazione, di adeguarsi alle specifiche di base della normativa individuate dall’ACN. Questo prevede:

• Lo sviluppo delle procedure interne per l’invio delle notifiche di incidente al CSIRT entro gennaio 2026.
• L’implementazione delle misure di sicurezza di base previste dal Framework Nazionale per la Cybersecurity e la Data Protection, che si articola in:
  • 37 misure, declinate in 87 requisiti, per i soggetti importanti;
  • ulteriori 6 misure e 29 requisiti per i soggetti essenziali per un totale, di 43 misure e 116 requisiti.

Un’ulteriore scadenza, di tipo più amministrativo, ricorre a breve: entro il 31 maggio 2025 bisognerà effettuare l’aggiornamento annuale dei dati dell’organizzazione.

Cosa cambia nella notifica degli incidenti

La prima scadenza implementativa è quella riguardante le notifiche di incidente, che decorre a 9 mesi dalla ricezione della comunicazione dell’ACN.

Con il passaggio a questa nuova fase, l’ACN ha definito gli scenari in cui i soggetti NIS hanno l’obbligo di notificare un incidente al CSIRT.

• Perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale.
• Perdita di integrità, con impatto verso l’esterno, di dati di sua proprietà o sui quali esercita il controllo, anche parziale.
• Violazione dei livelli di servizio attesi dei suoi servizi e/o delle sue attività.

Uno scenario aggiuntivo è previsto per i soggetti essenziali:

• Accesso, non autorizzato o con abuso dei privilegi concessi, a dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale.

Questi obblighi di notifica vanno a integrare qualunque altro obbligo di notifica a cui un’organizzazione sia sottoposta (DORA, NIS-1, OSE, FSD, TELCO, perimetro nazionale di sicurezza ecc.) e, in caso di sovrapposizione, la singola notifica adempie ad entrambi gli obblighi.

I contenuti della notifica

In Italia, le notifiche di incidente richieste dalla normativa NIS2 verranno raccolte nel Portale segnalazioni CSIRT Italia, che funge già da punto di raccolta centralizzato per tutte le segnalazioni d’incidente, obbligatorie e volontarie.

La piattaforma raggruppa sotto la stessa procedura di notifica le segnalazioni derivanti dalla normativa NIS con gli obblighi previsti da normative precedenti e leggi nazionali (soggetti OSE/FSD/TELCO).

Sebbene non ancora aggiornata a NIS2, rimane al momento valida la Guida alla notifica degli incidenti del CSIRT, che specifica le informazioni richieste, quali:

• numero di utenti impattati;
• durata dell’incidente, delimitata dal periodo tra la prima interruzione;
• completa o parziale del servizio e il momento del ripristino, oppure, nel caso in cui l’incidente e la sua gestione sia ancora in corso, al momento stimato per il ripristino;
• diffusione geografica; dell’incidente prendendo in considerazione la localizzazione degli utenti, delle persone fisiche e delle persone giuridiche interessate dall’incidente;
• impatto stimato sull’utenza del servizio interessato in termini percentuali rispetto alla base di utenti nazionale per il medesimo servizio;
• date e ora di rilevamento dell’incidente;
• asset impattati;
• ulteriori dettagli dell’incidente (es. IOC – Indicatore di compromissione);
• evidenze rilevate (es. sample di malware, ransom note).

La normativa NIS2 prevede, in seguito, la compilazione di un rapporto dettagliato sull’incidente che comprenda una descrizione dettagliata delle cause e dello svolgimento dei fatti, oltre che delle mitigazioni intraprese per rimediare.

I tempi della notifica

NIS2 richiede una notifica rapida degli incidenti, che procede spesso in parallelo alle attività di incident handling. Una volta appreso di un incidente la notifica va data senza ingiustificato ritardo.

Qualora le dinamiche non siano immediatamente note, va comunque effettuata una notifica preliminare dell’avvenuto incidente, da integrare al più presto nelle ore successive coi risultati delle analisi.

Per questo occorre avere pronto un piano di incident response, definire la propria strategia e fare formazione interna in modo che tutti conoscano le procedure da seguire in caso di incidente.

Prepararsi a NIS2

Allo scopo di conformarsi alla normativa ed essere pronti a svolgere rapidamente le attività di notifica e incident response, bisogna dunque predisporsi a effettuare queste analisi tramite una serie di attività preparatorie:

• Catalogazione di tutti gli asset sensibili, con successiva verifica periodica del loro stato.
• Threat modelling delle possibili minacce, in modo da definire impatto e priorità dei vari possibili scenari.
• Assessment dell’infrastruttura IT.
• Sviluppo policy e nomina referenti.
• Piano di comunicazione, elenco contatti.
• Predisposizione dei tool di gestione della crisi e della strategia di ripristino.