A partire dal mese di gennaio 2026 diviene operativo, per i soggetti rientranti nella disciplina NIS, l’obbligo di notifica degli incidenti informatici aventi un impatto significativo sulla continuità dei servizi e delle attività svolte. Tale obbligo, previsto dal decreto legislativo 4 settembre 2024, n. 138, trova oggi una declinazione puntuale e operativa nelle Linee Guida NIS – Specifiche di base del processo di gestione degli incidenti di sicurezza informatica, pubblicate il 31 dicembre 2025 dall’Agenzia per la Cybersicurezza Nazionale.
Il documento si inserisce nel più ampio quadro delle misure di attuazione della direttiva NIS e rappresenta un passaggio rilevante nel processo di progressiva definizione delle modalità di gestione e notifica degli incidenti informatici.
Le Linee guida chiariscono che gli incidenti informatici non devono essere considerati quali eventi soltanto tecnici, bensì come accadimenti dotati di una rilevanza giuridica e organizzativa, idonei a incidere sulla responsabilità degli organi di amministrazione, sulla governance del rischio e sulla resilienza complessiva dell’organizzazione.
L’obiettivo del presente contributo è quello di fornire una guida esplicativa delle Linee guida ACN, illustrando in modo sistematico cosa debbano concretamente fare i soggetti NIS per allinearsi all’obbligo di notifica degli incidenti informatici a partire dal 2026. L’analisi si concentrerà, in particolare, sul rapporto tra misure di sicurezza e procedure di gestione degli incidenti informatici, mettendo in luce come l’adempimento dell’obbligo di notifica non possa essere disgiunto da una preventiva e consapevole organizzazione dei processi interni.
Incidenti informatici come rischio giuridico-organizzativo
Nell’assetto delineato dall’Agenzia, gli incidenti informatici assumono una qualificazione che travalica la dimensione meramente tecnica per collocarsi stabilmente nell’ambito dei rischi giuridico-organizzativi dell’impresa e delle pubbliche amministrazioni coinvolte.
Essi sono espressamente considerati eventi potenzialmente idonei a compromettere la continuità delle attività e dei servizi, la protezione delle informazioni e, più in generale, la resilienza complessiva dell’organizzazione. Al riguardo, secondo ACN, la gestione degli incidenti informatici è una capacità essenziale, la cui assenza o inadeguatezza può determinare impatti significativi sotto il profilo operativo, economico e reputazionale.
In questa prospettiva, gli incidenti informatici vengono ricondotti all’interno del sistema delle misure di gestione del rischio per la sicurezza informatica, che il decreto NIS pone direttamente in capo agli organi di amministrazione e direttivi.
Sul punto le Linee Guida precisano che la gestione degli incidenti è un processo strutturato che deve essere preventivamente definito, documentato e costantemente aggiornato, in modo coerente con l’evoluzione delle minacce e del contesto operativo. La rilevanza degli incidenti informatici emerge, dunque, anche sotto il profilo delle responsabilità, poiché l’inosservanza degli obblighi organizzativi e procedurali può tradursi in violazioni imputabili ai vertici dell’organizzazione.
Le Linee guida chiariscono inoltre che gli incidenti informatici devono essere valutati in relazione ai loro effetti concreti, indipendentemente dalla causa che li ha originati, potendo derivare tanto da condotte dolose quanto da eventi accidentali o da errori umani.
Il processo di gestione degli incidenti informatici nelle Linee Guida ACN
Il fulcro delle Linee guida in esame è rappresentato dalla definizione di un processo strutturato di gestione degli incidenti informatici, concepito come strumento indispensabile per assicurare coerenza, sistematicità ed efficacia alle attività di risposta agli eventi di sicurezza.
Al riguardo le specifiche di ACN prevedono che la gestione degli incidenti informatici sia articolata in un modello unitario, composto da fasi logicamente distinte ma strettamente interconnesse, che consente all’organizzazione di affrontare l’intero ciclo di vita dell’incidente, dalla prevenzione al miglioramento continuo.
La formalizzazione del processo di gestione degli incidenti informatici è il presupposto per l’adempimento degli obblighi di notifica. La capacità di rilevare tempestivamente un incidente, di acquisirne evidenza e di attivare le procedure di risposta dipende, infatti, dalla previa definizione di ruoli, responsabilità, strumenti e flussi informativi.
Al riguardo le specifiche di ACN chiariscono che il processo deve essere descritto e documentato all’interno di un apposito piano per la gestione degli incidenti, approvato dagli organi di amministrazione e direttivi e costantemente riesaminato.
La fase di preparazione: governo, identificazione e protezione
Nelle Linee Guida ACN la fase di preparazione è il momento core della gestione degli incidenti informatici, poiché costituisce il presupposto organizzativo e operativo per una risposta efficace agli eventi di sicurezza.
Sul punto le specifiche di ACN prevedono che tale fase ricomprenda, in modo integrato, attività di governo, identificazione e protezione, tutte finalizzate a ridurre la probabilità di accadimento degli incidenti informatici e a mitigarne l’impatto qualora si verifichino. La preparazione non è dunque confinata a un ambito tecnico, ma si estende alla definizione di un assetto decisionale e procedurale coerente con la complessità dell’organizzazione.
Il governo degli incidenti informatici passa, in primo luogo, dall’adozione e dalla formalizzazione di politiche di sicurezza informatica, approvate dagli organi di amministrazione e direttivi, nelle quali devono essere disciplinati il monitoraggio degli eventi, la risposta agli incidenti e le modalità di ripristino.
Tali politiche rappresentano l’impegno formale dell’organizzazione e orientano le decisioni operative, assicurando che la gestione degli incidenti informatici sia coerente con la strategia complessiva di sicurezza e con il profilo di rischio del soggetto NIS.
La fase di identificazione è invece funzionale a garantire una conoscenza puntuale del contesto operativo, attraverso l’inventario dei sistemi informativi e di rete, dei servizi e dei flussi di dati, nonché mediante l’individuazione delle minacce e delle vulnerabilità. Sul punto le specifiche di ACN evidenziano che una mappatura incompleta degli asset compromette la capacità di rilevare e gestire correttamente gli incidenti informatici.
Infine, la fase di protezione si traduce nell’adozione di misure tecniche e organizzative, quali procedure formalizzate, backup, controlli sugli accessi e attività di formazione, che concorrono a rendere la gestione degli incidenti informatici un processo strutturato e verificabile, strettamente connesso agli obblighi di notifica previsti dalla disciplina NIS.
La fase di rilevamento: evidenza degli incidenti informatici e monitoraggio continuo
La fase di rilevamento è fondamentale per assolvere all’obbligo di notifica degli incidenti informatici. Essa permette di individuare tempestivamente il verificarsi di eventi rilevanti per la sicurezza e di valutarne la riconducibilità a un incidente soggetto a notifica.
Al riguardo le specifiche di ACN prevedono che il rilevamento si fondi su attività di monitoraggio continuo dei sistemi informativi e di rete, finalizzate all’individuazione di eventi potenzialmente avversi, sia di natura intenzionale sia accidentale. Sul punto le Linee Guida precisano che non ogni evento di sicurezza integra automaticamente un incidente informatico, rendendosi necessaria una fase di analisi e qualificazione, comunemente definita triage.
Un elemento centrale di questa fase è il concetto di “evidenza” dell’incidente informatico, che assume una rilevanza determinante ai fini dell’adempimento dell’obbligo di notifica. Le Linee Guida chiariscono che per evidenza dell’incidente si intende la disponibilità, in capo al soggetto NIS, di elementi oggettivi dai quali si evince il verificarsi di una delle tipologie di incidenti informatici rilevanti.
È da tale momento, e non da quello dell’effettivo verificarsi dell’evento, che decorrono i termini per la trasmissione della pre-notifica e della notifica al CSIRT Italia. Al riguardo le specifiche di ACN sottolineano che l’acquisizione dell’evidenza può avvenire attraverso molteplici canali, interni o esterni all’organizzazione, inclusi i sistemi di monitoraggio automatizzato.
Le Linee Guida pongono inoltre l’accento sull’importanza degli strumenti tecnici di rilevamento, quali sistemi di monitoraggio dei log, soluzioni per l’analisi del traffico e tecnologie di protezione degli endpoint, che devono essere adeguatamente configurati per ridurre il numero di falsi positivi.
In questa prospettiva, il rilevamento degli incidenti informatici è parte integrante di un processo dinamico che richiede un costante affinamento delle logiche di controllo.
Incidenti informatici e risposta. Procedura di notifica, flussi informativi e ruolo del Referente CSIRT
La fase di risposta rappresenta il momento più delicato e giuridicamente rilevante del processo di gestione degli incidenti informatici, poiché è in questa sede che l’evento di sicurezza assume rilievo ai fini dell’adempimento dell’obbligo di notifica previsto dalla disciplina NIS.
Sul punto le Linee Guida chiariscono che la risposta si attiva nel momento in cui il soggetto NIS acquisisce evidenza dell’incidente informatico, intesa come la disponibilità di elementi oggettivi dai quali risulti il verificarsi di una delle tipologie di incidente significativo previste dalle specifiche di base (v. supra). Tale momento è determinante, in quanto segna l’inizio del decorso dei termini per la comunicazione all’autorità competente.
Al riguardo le specifiche di ACN prevedono una procedura di notifica scandita in più fasi temporali e documentali.
In primo luogo, il soggetto NIS è tenuto a trasmettere al CSIRT Italia, senza ingiustificato ritardo e comunque entro ventiquattro ore dall’acquisizione dell’evidenza dell’incidente informatico, una pre-notifica. Tale comunicazione preliminare deve contenere le informazioni disponibili in quel momento e, ove possibile, indicare se l’incidente informatico possa essere ricondotto ad atti illegittimi o malevoli ovvero se sia suscettibile di produrre un impatto transfrontaliero.
Entro le successive settantadue ore dall’evidenza dell’incidente informatico, il soggetto NIS deve trasmettere una notifica completa, nella quale devono essere aggiornate e integrate le informazioni già comunicate, includendo una valutazione iniziale della gravità e dell’impatto dell’incidente, nonché, ove disponibili, gli indicatori di compromissione.
Sul punto le Linee Guida precisano che, ai fini dell’adempimento dell’obbligo di notifica, non è richiesto che sia già stata individuata la causa originaria dell’incidente informatico, rilevando esclusivamente che i suoi effetti siano riconducibili a una delle tipologie di incidente significativo previste.
La procedura di risposta non si esaurisce con la notifica iniziale. Le specifiche di ACN prevedono infatti che, su richiesta del CSIRT Italia, il soggetto NIS debba trasmettere relazioni intermedie sugli aggiornamenti della situazione e, in ogni caso, una relazione finale entro un mese dalla notifica, contenente una descrizione dettagliata dell’incidente informatico, l’indicazione della probabile causa scatenante, le misure di mitigazione adottate o in corso e l’eventuale impatto transfrontaliero. Qualora l’incidente informatico sia ancora in corso, è altresì previsto l’invio di relazioni mensili di avanzamento fino alla conclusione della gestione.
Un ruolo centrale, nella gestione di tali adempimenti, spetta alla figura del Referente CSIRT (al quale abbiamo dedicato un autonomo approfondimento), quale soggetto deputato alle interlocuzioni con l’autorità e alla trasmissione delle notifiche per conto dell’organizzazione.
ACN ha chiarito che tale designazione costituisce una delega operativa e non una delega di responsabilità, che rimane in capo agli organi di amministrazione e direttivi. Ne discende la necessità di definire procedure interne chiare per l’assunzione delle decisioni rilevanti, soprattutto nei casi in cui l’incidente informatico richieda valutazioni strategiche o comunicazioni verso l’esterno.
| Fase | Presupposto | Termine | Contenuto essenziale |
| Evidenza dell’incidente | Disponibilità di elementi oggettivi che attestano una tipologia di incidente significativo | n/d | Accertamento degli effetti dell’incidente informatico |
| Pre-notifica | Evidenza dell’incidente informatico | Entro 24 ore | Prime informazioni disponibili; possibile natura malevola; eventuale impatto transfrontaliero |
| Notifica | Evidenza dell’incidente informatico | Entro 72 ore | Valutazione iniziale di gravità e impatto; aggiornamento dati; indicatori di compromissione |
| Relazioni intermedie | Richiesta dell’autorità competente (CSIRT Italia) | Su richiesta | Aggiornamenti sullo stato dell’incidente informatico |
| Relazione finale | Conclusione della fase di risposta o gestione in corso | Entro 1 mese | Descrizione dettagliata; cause probabili; misure adottate; impatto (anche transfrontaliero) |
| Relazioni mensili | Incidente informatico ancora in corso | Mensile | Stato di avanzamento della gestione |
Incidenti informatici e modalità di notifica: la comunicazione tramite la piattaforma ACN
Un ulteriore profilo di rilievo riguarda le modalità operative attraverso cui i soggetti NIS devono assolvere all’obbligo di notifica degli incidenti informatici.
Le specifiche di ACN prevedono che tutte le comunicazioni relative agli incidenti informatici significativi, incluse la pre-notifica, la notifica e le successive relazioni intermedie, mensili e finali, siano effettuate esclusivamente mediante l’utilizzo della piattaforma digitale messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale. La trasmissione delle notifiche al CSIRT Italia, ivi incluse quelle ai fini dell’obbligo di notifica, è effettuata tramite il portale ACN pubblicato all’indirizzo https://segnalazioni.acn.gov.it/
La piattaforma consente di inserire progressivamente le informazioni disponibili, in coerenza con la natura dinamica della gestione dell’incidente informatico, permettendo di adempiere agli obblighi anche quando, nelle fasi iniziali, non siano ancora noti tutti gli elementi tecnici rilevanti.
Incidenti informatici, piano di gestione e fase di ripristino delle operazioni
Le Linee Guida ACN attribuiscono un ruolo centrale al piano per la gestione degli incidenti, quale documento cardine attraverso cui il soggetto NIS traduce in assetto organizzativo stabile gli obblighi previsti dalla normativa.
Le specifiche dell’Agenzia prevedono che il processo di gestione degli incidenti informatici sia formalizzato in un piano organico, approvato dagli organi di amministrazione e direttivi, nel quale devono essere chiaramente individuate le fasi operative, i ruoli e le responsabilità, le modalità di comunicazione interna ed esterna, nonché la reportistica a supporto delle attività di risposta e di notifica.
Si precisa che il piano di gestione degli incidenti informatici deve essere costantemente aggiornato e riesaminato, sia periodicamente sia in occasione del verificarsi di incidenti significativi, al fine di integrare le lezioni apprese e di adeguarsi all’evoluzione delle minacce e del contesto tecnologico.
Tale impostazione rafforza il legame tra gestione degli incidenti informatici e responsabilità degli organi apicali, i quali sono chiamati a garantire che il piano non rimanga un documento statico, ma uno strumento effettivamente calato nei processi aziendali. All’interno di tale cornice si colloca la fase di ripristino, che interviene una volta avviata la risposta all’incidente informatico e mira al recupero del normale funzionamento dei sistemi informativi e di rete compromessi.
Al riguardo le specifiche di ACN prevedono che le attività di ripristino siano disciplinate da procedure formalizzate, coerenti con i piani di continuità operativa e di ripristino in caso di disastro.
Appendice A delle Linee Guida ACN: le specifiche di base e la nozione di incidente significativo
Tutto ciò premesso, un approfondimento autonomo merita l’Appendice A delle Linee Guida emanate dall’Agenzia per la Cybersicurezza Nazionale, nella quale sono illustrate le cosiddette specifiche di base, destinate a orientare in modo concreto l’adempimento degli obblighi previsti dal decreto NIS in materia di incidenti informatici.
Tali allegati tecnici costituiscono il riferimento operativo essenziale sia per l’adozione delle misure di sicurezza sia per l’individuazione degli incidenti informatici soggetti a notifica obbligatoria.
L’Appendice A si concentra, in particolare, sulla definizione delle tipologie di incidenti informatici significativi di base, distinguendo tra soggetti importanti e soggetti essenziali. Sul punto le Linee Guida precisano che gli incidenti informatici rilevanti ai fini dell’obbligo di notifica sono qualificati attraverso un modello logico fondato su tre elementi: la condizione, rappresentata dall’evidenza dell’incidente; la compromissione, intesa come perdita di riservatezza, integrità o disponibilità, ovvero come accesso non autorizzato o con abuso dei privilegi; e l’oggetto della compromissione, costituito dai dati digitali o dai servizi e dalle attività del soggetto NIS.
Le Linee Guida sottolineano che ciò che rileva, ai fini dell’obbligo di notifica degli incidenti informatici, non è la causa originaria dell’evento, bensì la sussistenza di effetti riconducibili a una delle tipologie previste.
Ne consegue che anche eventi accidentali, malfunzionamenti o errori umani possono integrare un incidente informatico significativo, qualora producano una perdita di riservatezza, integrità o disponibilità verso l’esterno, ovvero una violazione dei livelli di servizio attesi. .
Alla luce delle specifiche di base, le tipologie di incidenti informatici significativi soggetti a notifica possono essere così sintetizzate:
IS-1, quando il soggetto NIS ha evidenza della perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita, anche parzialmente, il controllo;
IS-2, quando il soggetto NIS ha evidenza della perdita di integrità, con impatto verso l’esterno, di dati digitali di sua proprietà o sui quali esercita, anche parzialmente, il controllo;
IS-3, quando il soggetto NIS ha evidenza della violazione dei livelli di servizio attesi dei propri servizi o delle proprie attività, sulla base dei livelli di servizio previamente definiti;
IS-4, riservato ai soggetti essenziali, quando vi è evidenza di un accesso non autorizzato o con abuso dei privilegi concessi a dati digitali di proprietà del soggetto o sui quali esso esercita, anche parzialmente, il controllo.
Appendice B delle Linee Guida ACN: misure di sicurezza e gestione operativa
L’Appendice B delle Linee Guida chiarisce il rapporto tra misure di sicurezza e gestione degli incidenti informatici, offrendo una lettura sistematica delle prescrizioni che i soggetti NIS sono tenuti ad attuare lungo l’intero processo di gestione.
Al riguardo le specifiche di ACN prevedono che le misure di sicurezza siano funzionalmente integrate nelle diverse fasi del processo di gestione degli incidenti informatici, dalla preparazione al miglioramento continuo.
Invero, le misure di sicurezza di base sono organizzate in modo coerente con le fasi del processo di gestione degli incidenti informatici: ciascun presidio concorre a garantire la capacità dell’organizzazione di prevenire, rilevare, gestire e superare gli eventi di sicurezza.
In particolare, le misure relative al governo e all’identificazione impongono l’adozione di politiche formalizzate, la chiara attribuzione di ruoli e responsabilità, nonché il mantenimento di inventari aggiornati degli asset e dei servizi, elementi indispensabili per una corretta qualificazione e gestione degli incidenti informatici.
Le misure afferenti alla protezione e al rilevamento svolgono una funzione essenziale nel consentire l’acquisizione tempestiva dell’evidenza dell’incidente informatico, presupposto indefettibile dell’obbligo di notifica.
Nelle fasi di risposta, ripristino e miglioramento le misure assumono, infine, una valenza dinamica, imponendo la predisposizione di piani documentati, la comunicazione strutturata verso gli stakeholder e il riesame periodico dell’efficacia dei presidi adottati.
In tale ottica, l’Appendice B consente di comprendere come la gestione degli incidenti informatici sia il risultato di un sistema integrato di misure organizzative, tecniche e procedurali, la cui coerenza complessiva rappresenta il vero parametro di conformità alla disciplina NIS.
Alla luce delle indicazioni contenute nell’Appendice B, la rilevanza delle misure di sicurezza per la gestione degli incidenti informatici può essere ricondotta, in chiave operativa, ai seguenti profili essenziali:
- l’adozione e l’aggiornamento di politiche di sicurezza informatica approvate dagli organi di amministrazione e direttivi, quali presupposto organizzativo della gestione degli incidenti informatici;
- la definizione di ruoli, responsabilità e flussi decisionali chiari, inclusa l’individuazione del Referente CSIRT e dei soggetti coinvolti nelle attività di risposta;
- il mantenimento di inventari aggiornati dei sistemi informativi, dei servizi e dei flussi di rete, funzionali alla corretta individuazione degli asset coinvolti negli incidenti informatici;
- l’implementazione di misure di protezione e di rilevamento, quali backup, sistemi di logging, controlli sugli accessi e monitoraggio continuo, indispensabili per acquisire evidenza dell’incidente informatico;
- la formalizzazione di piani e procedure per la risposta, la notifica, il ripristino e la comunicazione, idonei a garantire tempestività e tracciabilità;
- il riesame periodico delle misure adottate e l’integrazione delle lezioni apprese, al fine di rafforzare la capacità di prevenzione e gestione dei futuri incidenti informatici.
Notifica e gestione degli incidenti informatici. Supporto legale qualificato da avvocati esperti in cybersicurezza
L’impianto delineato dalle Linee Guida ACN rende evidente come la gestione degli incidenti informatici costituisca un ambito nel quale gli adempimenti tecnici si intrecciano in modo indissolubile con profili giuridici e organizzativi di particolare complessità.
Più precisamente, le specifiche di ACN prevedono che l’obbligo di notifica degli incidenti informatici sia inserito all’interno di un sistema strutturato di misure di sicurezza, procedure documentate e responsabilità in capo agli organi di amministrazione e direttivi. La corretta attuazione di tale sistema richiede, pertanto, un’attenta attività di interpretazione normativa e di traduzione delle prescrizioni in processi interni coerenti e verificabili.
L’assistenza e il supporto legale assumono così un ruolo essenziale nel garantire che la gestione degli incidenti informatici sia conforme alle disposizioni del decreto NIS e alle Linee Guida ACN. La redazione del piano di gestione degli incidenti, la definizione delle procedure di notifica, il coordinamento delle comunicazioni con il CSIRT Italia e la corretta integrazione con gli obblighi in materia di protezione dei dati personali richiedono competenze giuridiche specialistiche, che solo un avvocato con esperienza in materia di cybersicurezza è in grado di fornire.
Per la predisposizione del Piano per la cybersicurezza abbiamo sperimentato ScuDoc, una soluzione innovativa grazie alla partnership con Just4Cyber e Transizione Digitale.
Contattaci qui per un confronto!
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.