--- title: NIS2 Gestione Incidenti e Piano CSIRT description: Come costruire un piano NIS2 di gestione incidenti e notifica CSIRT (RS.MA-01). Guida pratica con tempistiche, procedure di escalation e template. canonical: https://www.aegister.com/it/cms/insights/nis2-piano-gestione-incidenti-notifica-csirt-guida-template/ url: /it/cms/insights/nis2-piano-gestione-incidenti-notifica-csirt-guida-template/ lang: it --- ![](/static/images/header-contact.webp) # Piano NIS2 di gestione incidenti e notifica CSIRT: guida pratica per un documento RS.MA-01 approvabile --- ![Piano NIS2 di gestione incidenti e notifica CSIRT: guida pratica per un documento RS.MA-01 approvabile](/static/images/cms/nis2-requisiti-di-base.webp) ## Piano NIS2 di gestione incidenti e notifica CSIRT: guida pratica per un documento RS.MA-01 approvabile 09 Febbraio 2026 [NIS2](/it/cms/keyword/nis2/) [Appendix C](/it/cms/keyword/appendix-c/) [approvazione del CdA](/it/cms/keyword/approvazione-del-cda/) [ACN](/it/cms/keyword/acn/) +6 Nel framework baseline ACN, il piano per la gestione degli incidenti è indicato tra i documenti che richiedono approvazione degli organi di amministrazione e direttivi (Appendice C, RS.MA-01 punto 2). Il regime di notifica incidenti è già attivo da gennaio 2026. Operativamente, l'organizzazione deve gestire un modello documentato che colleghi fasi di gestione incidente, obblighi di notifica al CSIRT e escalation di governance interna. ## Punti chiave - Il piano incidenti è insieme documento di governance e standard operativo. - RS.MA-01 richiede fasi, procedure di notifica, ruoli e modello di reportistica documentati. - Il flusso di notifica al CSIRT va integrato con investigazione e decision governance. - La disciplina temporale parte dall'evidenza incidente: qualità di detection e triage impatta la conformità legale. ## Inquadramento regolatorio del processo incident e della notifica CSIRT La linea guida ACN descrive la gestione incidenti come processo end-to-end con preparazione, rilevamento, risposta, ripristino e miglioramento. Chiarisce inoltre che, per gli incidenti significativi, gli obblighi di notifica verso CSIRT Italia sono parte della stessa catena operativa e di governance. Il modello baseline indica che i tempi decorrono dall'evidenza dell'incidente. In questo contesto, la pre-notifica è prevista entro 24 ore e la notifica entro 72 ore dall'evidenza, con successivi aggiornamenti secondo framework. ## Cosa deve includere un piano RS.MA-01 approvabile | Sezione | Perché serve all'esecuzione RS.MA-01 | | --- | --- | | Fasi e procedure del ciclo incident | Garantisce gestione ripetibile da rilevamento a chiusura | | Workflow di notifica verso CSIRT Italia | Collega obblighi legali a trigger operativi | | Matrice ruoli e responsabilità | Chiarisce ownership su triage, escalation e reporting | | Modello contatti (incluso referente CSIRT) | Riduce rischio ritardi nelle comunicazioni obbligatorie | | Modello evidenze e documentazione incidente | Supporta auditabilità e apprendimento post-evento | | Integrazione con piani di ripristino e crisi | Allinea risposta tecnica e governance sotto pressione | ## Struttura pratica dal modello template Aegister ### 1. Obiettivo, perimetro e riferimenti Definire tipologie incidenti in scope, perimetro servizi e riferimenti normativi/baseline. ### 2. Modello di processo per fasi Documentare preparazione, identificazione, risposta, ripristino e miglioramento con handoff chiari. ### 3. Logica decisionale e tempi di notifica Definire soglia di evidenza, criteri di significatività e punti escalation per comunicazione CSIRT. ### 4. Ruoli, contatti e governance referente CSIRT Assegnare incident manager, lead tecnici, interfacce legali/comunicazione e referente CSIRT designato. ### 5. Standard di reportistica e documentazione Standardizzare registro incidenti, tracciamento timeline, aggiornamenti intermedi e chiusura. ### 6. Ripristino e ciclo di miglioramento post-incidente Collegare chiusura incidente ad azioni correttive, aggiornamento rischio e hardening controlli. ## Gap frequenti da evitare - Risposta incidente descritta, ma workflow notifica non operativizzato. - Assenza di trigger esplicito per la “evidenza incidente”. - Ruoli incompleti su comunicazione CSIRT e coordinamento legale. - Modello evidenze debole, non adatto a ricostruzione timeline. - Lesson learned non tradotte in miglioramenti di controllo/processo. ## Checklist hardening in 20 giorni | Settimana | Azioni prioritarie | | --- | --- | | Settimana 1 | Validare tassonomia incidenti, criteri significatività e matrice ruoli | | Settimana 2 | Finalizzare workflow notifica CSIRT e template reportistica | | Settimana 3 | Eseguire simulazione evidence-to-notification e chiudere gap prioritari | ## FAQ ### Il piano di gestione incidenti richiede approvazione formale degli organi? Sì. L'Appendice C include il piano per la gestione degli incidenti tra i documenti da approvare dagli organi di amministrazione e direttivi (RS.MA-01 punto 2). ### Quando parte il conteggio dei tempi di notifica per incidenti significativi? Il conteggio parte dall'evidenza dell'incidente, cioè dal momento in cui esistono elementi oggettivi che attestano il verificarsi dell'incidente qualificante. ### Qual è l'output minimo pratico atteso da questo piano? Un modello operativo che collega fasi gestione incidente, obblighi notifica CSIRT, ruoli responsabili ed evidenze auditabili. ## Conclusione e prossimi passi In NIS2, gestione incidenti e notifica CSIRT devono funzionare come processo unico. Le organizzazioni che formalizzano soglie di evidenza, governance temporale e accountability dei ruoli sono meglio posizionate per obblighi live e per le attese baseline di ottobre 2026. ## Letture correlate - [Guida master ai documenti obbligatori NIS2: cosa va approvato dagli organi e cosa preparare subito](/it/cms/insights/nis2-documenti-obbligatori-master-e-firme-organi/) - [Obblighi NIS2 di notifica incidenti già in vigore: modello operativo dopo la scadenza a 9 mesi](/it/cms/insights/nis2-piano-notifica-incidenti-9-mesi/) - [Punto di Contatto NIS2 e Referente CSIRT: Accountability e Compiti Operativi](/it/cms/insights/nis2-punto-contatto-referente-csirt-accountability/) - [Servizio Aegister NIS2 Compliance](/it/solutions/compliance/nis2/) ## Fonti ufficiali - [ACN – Linee guida NIS: definizione del processo di gestione degli incidenti di sicurezza informatica](https://www.acn.gov.it/portale/documents/d/guest/linee-guida-nis-definizione-del-processo-di-gestione-degli-incidenti-di-sicurezza-informatica) - [ACN – Guida alla lettura delle specifiche di base](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base) - [ACN – Determinazione obblighi di base 379907/2025](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed) - [ACN – Modalità e specifiche di base](https://www.acn.gov.it/portale/nis/modalita-specifiche-base) - [Gazzetta Ufficiale – Decreto Legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG) Condividi questo articolo: ## Notizie Correlate [![Piano NIS2 di gestione delle crisi: guida pratica per un documento ID.IM-04 approvabile](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-piano-gestione-crisi-guida-template/) [Piano NIS2 di gestione delle crisi: guida pratica per un documento ID.IM-04 approvabile](/it/cms/insights/nis2-piano-gestione-crisi-guida-template/) [Il piano di gestione delle crisi è obbligatorio ai sensi dell'Appendice C NIS2 (ID.IM-04). Questa guida copre cosa deve contenere un piano approvabile, una struttura template con ruoli CMT e playbook di comunicazione, gap comuni e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-gestione-crisi-guida-template/) [NIS2](/it/cms/keyword/nis2/) [Appendix C](/it/cms/keyword/appendix-c/) +7 [![Piano NIS2 di ripristino in caso di disastro: guida pratica per un documento ID.IM-04 approvabile](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-piano-ripristino-disastro-guida-template/) [Piano NIS2 di ripristino in caso di disastro: guida pratica per un documento ID.IM-04 approvabile](/it/cms/insights/nis2-piano-ripristino-disastro-guida-template/) [Il piano di ripristino in caso di disastro è obbligatorio ai sensi dell'Appendice C NIS2 (ID.IM-04). Questa guida copre cosa deve contenere un piano DR approvabile, una struttura template con tier di recovery e playbook, gap comuni e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-ripristino-disastro-guida-template/) [NIS2](/it/cms/keyword/nis2/) [Appendix C](/it/cms/keyword/appendix-c/) +7 [![Piano NIS2 di continuità operativa: guida pratica per costruire un documento ID.IM-04 approvabile](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-piano-continuita-operativa-guida-template/) [Piano NIS2 di continuità operativa: guida pratica per costruire un documento ID.IM-04 approvabile](/it/cms/insights/nis2-piano-continuita-operativa-guida-template/) [Il piano di continuità operativa è obbligatorio ai sensi dell’Appendice C NIS2 (ID.IM-04). Questa guida copre cosa deve includere un piano approvabile, una struttura template pratica con trigger di attivazione e playbook, gap comuni e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-continuita-operativa-guida-template/) [NIS2](/it/cms/keyword/nis2/) [Appendix C](/it/cms/keyword/appendix-c/) +7 ### Conformità NIS 2 con Aegister Soluzioni complete per la conformità alla Direttiva NIS 2: consulenza esperta, implementazione e supporto continuo. [Scopri NIS 2](/it/solutions/compliance/nis2/)