Incidente Significativo NIS2 IS-3: Violazione dei Livelli di Servizio Attesi

Article Thumbnail
cybersecurity | compliance | NIS2 | ACN | CSIRT | notification | baseline | significant incident | IS-3 | service level | availability | disruption

Incidente Significativo NIS2 IS-3: Violazione dei Livelli di Servizio Attesi

13 Febbraio 2026

Nel modello baseline ACN, IS-3 copre i casi in cui il soggetto ha evidenza della violazione dei livelli di servizio attesi. Diversamente da IS-1 e IS-2, in IS-3 l’oggetto principale compromesso è costituito da servizi/attività del soggetto, non dai dati digitali.

Fonti: Guida ACN lettura specifiche, Determinazione ACN obblighi di base

Punti chiave

  • IS-3 riguarda scenari di impatto sul servizio basati su livelli di servizio attesi.
  • La qualificazione parte dall’evidenza del verificarsi dell’incidente.
  • La compromissione è legata alla violazione dei livelli di servizio definiti dal modello del soggetto.
  • L’oggetto impattato è rappresentato da servizi/attività del soggetto NIS.

Fonti: Guida ACN lettura specifiche

Modello di qualificazione IS-3

1. Condizione

Il soggetto dispone di evidenza del verificarsi dell’incidente rilevante.

2. Pattern di compromissione

La compromissione corrisponde alla violazione dei livelli di servizio attesi definiti dal soggetto.

3. Oggetto compromissione

L’oggetto compromesso è costituito da servizi e/o attività erogati dal soggetto NIS.

Fonti: Guida ACN lettura specifiche, Determinazione ACN obblighi di base

Passi operativi per gestione IS-3

Passo Domanda di controllo Output atteso
Check evidenzaAbbiamo evidenza oggettiva del breach dei livelli di servizio?Log evidenza con timestamp
Mappatura impatto servizioQuali servizi/attività sono sotto i livelli attesi?Statement impatto servizio
Decisione escalationIl caso rientra nei criteri di incidente significativo?Decisione escalation e ownership
Prontezza notificaFatti di impatto e timeline sono strutturati per reporting?Brief incidente strutturato

Fonti: Guida ACN lettura specifiche

Checklist operativa per 90 giorni

  1. Definire e mantenere i riferimenti dei livelli di servizio attesi usati per qualificazione IS-3.
  2. Allineare monitoraggio e triage alla raccolta evidenze di violazione livelli servizio.
  3. Standardizzare template di analisi impatto su servizi/attività.
  4. Eseguire simulazioni di crisi su scenari di degrado servizio.
  5. Mantenere tracciabilità tra qualificazione IS-3 ed esiti di escalation.

FAQ

Ogni disservizio è automaticamente IS-3?

No. La qualificazione dipende dai criteri ufficiali della tipologia IS-3 e dall’evidenza documentata dell’incidente. Fonte: Guida ACN lettura specifiche

Qual è la differenza chiave rispetto a IS-1/IS-2?

IS-3 è centrato su impatto a servizi/attività e violazione dei livelli attesi; IS-1/IS-2 riguardano principalmente pattern di compromissione dei dati. Fonte: Guida ACN lettura specifiche

Da quando decorrono le tempistiche correlate?

I riferimenti temporali decorrono dal momento in cui il soggetto acquisisce evidenza dell’incidente significativo, secondo la guida ufficiale. Fonte: Guida ACN lettura specifiche

Guide correlate in questa serie

Fonti ufficiali

Condividi questo articolo: