Nel framework baseline ACN, il piano per la gestione degli incidenti è indicato tra i documenti che richiedono approvazione degli organi di amministrazione e direttivi (Appendice C, RS.MA-01 punto 2).
Il regime di notifica incidenti è già attivo da gennaio 2026. Operativamente, l'organizzazione deve gestire un modello documentato che colleghi fasi di gestione incidente, obblighi di notifica al CSIRT e escalation di governance interna.
Punti chiave
- Il piano incidenti è insieme documento di governance e standard operativo.
- RS.MA-01 richiede fasi, procedure di notifica, ruoli e modello di reportistica documentati.
- Il flusso di notifica al CSIRT va integrato con investigazione e decision governance.
- La disciplina temporale parte dall'evidenza incidente: qualità di detection e triage impatta la conformità legale.
Inquadramento regolatorio del processo incident e della notifica CSIRT
La linea guida ACN descrive la gestione incidenti come processo end-to-end con preparazione, rilevamento, risposta, ripristino e miglioramento. Chiarisce inoltre che, per gli incidenti significativi, gli obblighi di notifica verso CSIRT Italia sono parte della stessa catena operativa e di governance.
Il modello baseline indica che i tempi decorrono dall'evidenza dell'incidente. In questo contesto, la pre-notifica è prevista entro 24 ore e la notifica entro 72 ore dall'evidenza, con successivi aggiornamenti secondo framework.
Cosa deve includere un piano RS.MA-01 approvabile
| Sezione | Perché serve all'esecuzione RS.MA-01 |
|---|---|
| Fasi e procedure del ciclo incident | Garantisce gestione ripetibile da rilevamento a chiusura |
| Workflow di notifica verso CSIRT Italia | Collega obblighi legali a trigger operativi |
| Matrice ruoli e responsabilità | Chiarisce ownership su triage, escalation e reporting |
| Modello contatti (incluso referente CSIRT) | Riduce rischio ritardi nelle comunicazioni obbligatorie |
| Modello evidenze e documentazione incidente | Supporta auditabilità e apprendimento post-evento |
| Integrazione con piani di ripristino e crisi | Allinea risposta tecnica e governance sotto pressione |
Struttura pratica dal modello template Aegister
1. Obiettivo, perimetro e riferimenti
Definire tipologie incidenti in scope, perimetro servizi e riferimenti normativi/baseline.
2. Modello di processo per fasi
Documentare preparazione, identificazione, risposta, ripristino e miglioramento con handoff chiari.
3. Logica decisionale e tempi di notifica
Definire soglia di evidenza, criteri di significatività e punti escalation per comunicazione CSIRT.
4. Ruoli, contatti e governance referente CSIRT
Assegnare incident manager, lead tecnici, interfacce legali/comunicazione e referente CSIRT designato.
5. Standard di reportistica e documentazione
Standardizzare registro incidenti, tracciamento timeline, aggiornamenti intermedi e chiusura.
6. Ripristino e ciclo di miglioramento post-incidente
Collegare chiusura incidente ad azioni correttive, aggiornamento rischio e hardening controlli.
Gap frequenti da evitare
- Risposta incidente descritta, ma workflow notifica non operativizzato.
- Assenza di trigger esplicito per la “evidenza incidente”.
- Ruoli incompleti su comunicazione CSIRT e coordinamento legale.
- Modello evidenze debole, non adatto a ricostruzione timeline.
- Lesson learned non tradotte in miglioramenti di controllo/processo.
Checklist hardening in 20 giorni
| Settimana | Azioni prioritarie |
|---|---|
| Settimana 1 | Validare tassonomia incidenti, criteri significatività e matrice ruoli |
| Settimana 2 | Finalizzare workflow notifica CSIRT e template reportistica |
| Settimana 3 | Eseguire simulazione evidence-to-notification e chiudere gap prioritari |
FAQ
Il piano di gestione incidenti richiede approvazione formale degli organi?
Sì. L'Appendice C include il piano per la gestione degli incidenti tra i documenti da approvare dagli organi di amministrazione e direttivi (RS.MA-01 punto 2).
Quando parte il conteggio dei tempi di notifica per incidenti significativi?
Il conteggio parte dall'evidenza dell'incidente, cioè dal momento in cui esistono elementi oggettivi che attestano il verificarsi dell'incidente qualificante.
Qual è l'output minimo pratico atteso da questo piano?
Un modello operativo che collega fasi gestione incidente, obblighi notifica CSIRT, ruoli responsabili ed evidenze auditabili.
Conclusione e prossimi passi
In NIS2, gestione incidenti e notifica CSIRT devono funzionare come processo unico. Le organizzazioni che formalizzano soglie di evidenza, governance temporale e accountability dei ruoli sono meglio posizionate per obblighi live e per le attese baseline di ottobre 2026.
Letture correlate
- Guida master ai documenti obbligatori NIS2: cosa va approvato dagli organi e cosa preparare subito
- Obblighi NIS2 di notifica incidenti già in vigore: modello operativo dopo la scadenza a 9 mesi
- Punto di Contatto NIS2 e Referente CSIRT: Accountability e Compiti Operativi
- Servizio Aegister NIS2 Compliance