Nel framework baseline NIS, il dominio Response (RS) richiede l’esecuzione della risposta agli incidenti tramite sotto-fasi strutturate, incluse segnalazione e investigazione. Operativamente, i team devono classificare eventi, escalare in modo coerente, preservare evidenze e mantenere un flusso decisionale verso eventuali obblighi di notifica.
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Punti chiave
- La risposta va eseguita per fasi documentate, non con azioni estemporanee.
- Segnalazione e investigazione sono iterative e possono ripetersi con l’emergere di nuove evidenze.
- Ruoli e contatti per escalation e interfacce esterne devono essere preassegnati.
- La qualità dell’investigazione dipende da integrità evidenze, correlazione eventi e ricostruzione timeline.
Fonti: Guida ACN gestione incidenti
Sequenza operativa segnalazione-investigazione
1. Segnalazione evento ed escalation
I team dovrebbero segnalare rapidamente gli eventi rilevanti su canali predefiniti, con soglie chiare di escalation e ownership decisionale.
2. Coordinamento iniziale della risposta (RS.MA)
Il piano di risposta agli incidenti dovrebbe attivare procedure, responsabilità e flussi di comunicazione tra management, team tecnici e stakeholder esterni.
3. Flusso di investigazione
L’investigazione dovrebbe acquisire evidenze forensi, correlare log e artefatti e costruire una timeline evolutiva delle azioni dell’attaccante e degli impatti sul servizio.
4. Loop decisionale iterativo
Con l’evoluzione dei risultati investigativi, i team possono tornare a segnalazione/escalation, affinare la qualificazione dell’incidente e aggiornare le priorità.
5. Preparazione a notifica e handoff al contenimento
Gli output di segnalazione e investigazione dovrebbero essere strutturati per supportare obblighi di notifica e successive azioni di contenimento/eradicazione.
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Set minimo di evidenze per RS segnalazione/investigazione
| Area RS | Obiettivo pratico | Evidenze tipiche |
|---|---|---|
| Governance segnalazione | Escalation rapida e ripetibile degli eventi | SOP segnalazione, matrice escalation, lista contatti |
| Attivazione risposta | Esecuzione coordinata del piano incidenti | Playbook incidenti, registri di attivazione |
| Integrità investigazione | Analisi tecnica/forense affidabile | Registro evidenze, chain-of-custody, note di analisi |
| Ricostruzione timeline | Sequenza coerente dell’evoluzione incidente | Timeline eventi, correlazione artefatti log |
| Tracciabilità decisioni | Decisioni di risposta documentate e aggiornate | Registro decisioni, report stato incidente |
Fonti: Guida ACN gestione incidenti
Checklist operativa per 90 giorni
- Validare soglie di segnalazione e ownership escalation tra cyber, operation e legale.
- Testare l’attivazione del piano di risposta in uno scenario con informazioni parziali e evidenze in evoluzione.
- Standardizzare template investigativi per acquisizione evidenze, correlazione e costruzione timeline.
- Definire criteri per ritornare da segnalazione a investigazione approfondita prima di nuove azioni.
- Garantire che i registri incidente supportino sia riesame governance sia reporting esterno, quando richiesto.
FAQ
Segnalazione e investigazione sono fasi lineari?
No. La guida indica che le sotto-fasi della risposta possono essere iterative quando nuove evidenze cambiano la comprensione dell’incidente. Fonte: Guida ACN gestione incidenti
Qual è il requisito minimo sulle evidenze investigative?
Al minimo, il soggetto dovrebbe preservare e documentare evidenze rilevanti, logiche di correlazione e aggiornamenti timeline a supporto delle decisioni. Fonte: Guida ACN gestione incidenti
Come si collega questa fase agli obblighi di notifica?
Segnalazione e investigazione forniscono la base fattuale per determinare se scattano gli obblighi di notifica e quali informazioni trasmettere. Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base