Sono le 3 di notte, il telefono squilla. Il tuo responsabile IT ti dice che i server sono bloccati, sui monitor compare una richiesta di riscatto in bitcoin. Panico. Cosa fai? Tra le mille cose a cui pensare, una e obbligatoria per legge: notificare l'incidente al CSIRT Italia entro 24 ore.
Il CSIRT Italia (Computer Security Incident Response Team) e l'unita operativa nazionale per la gestione degli incidenti informatici. Con la NIS2, il suo ruolo si e ampliato enormemente: ogni soggetto essenziale o importante deve notificare gli incidenti significativi seguendo tempistiche precise e rigorose.
Cos'e il CSIRT Italia
Il CSIRT Italia opera all'interno dell'ACN ed e il punto di contatto nazionale per la gestione degli incidenti cyber. Non e un organismo punitivo — al contrario, il suo scopo e aiutare le organizzazioni a contenere e risolvere gli incidenti. Fornisce supporto tecnico, condivide indicatori di compromissione e coordina la risposta quando un incidente coinvolge piu organizzazioni.
Detto questo, la notifica e un obbligo di legge. Non notificare un incidente significativo espone a sanzioni aggiuntive, che si sommano a quelle per eventuali carenze nelle misure di sicurezza.
Quando scatta l'obbligo di notifica
Non tutti gli incidenti vanno notificati. La NIS2 parla di incidenti significativi, cioe quelli che soddisfano almeno uno di questi criteri:
- Ha causato o puo causare gravi perturbazioni operative dei servizi
- Ha provocato o puo provocare perdite finanziarie rilevanti per il soggetto
- Ha colpito o puo colpire altre persone fisiche o giuridiche causando danni considerevoli
Nella pratica, un ransomware che blocca la produzione e quasi sempre significativo. Un tentativo di phishing andato a vuoto, no. Un data breach che espone dati personali e significativo (e va notificato anche al Garante Privacy). Un malfunzionamento software, dipende dall'impatto.
Le tempistiche di notifica: la regola 24/72
La NIS2 prevede un sistema a piu fasi, progettato per bilanciare velocita e completezza:
| Fase | Tempistica | Contenuto |
|---|---|---|
| Pre-notifica | Entro 24 ore | Sospetto di incidente significativo, prime informazioni disponibili |
| Notifica completa | Entro 72 ore | Valutazione dettagliata: impatto, gravita, indicatori di compromissione |
| Relazione intermedia | Su richiesta CSIRT | Aggiornamenti sull'evoluzione dell'incidente |
| Relazione finale | Entro 1 mese | Analisi completa: causa, impatto effettivo, misure adottate, lezioni apprese |
Come notificare: procedura passo passo
La notifica avviene attraverso la piattaforma telematica dell'ACN. Ecco i passaggi operativi:
- Accedere alla piattaforma ACN con le credenziali del punto di contatto designato
- Selezionare il tipo di notifica (pre-notifica, notifica completa, aggiornamento, relazione finale)
- Compilare il modulo con le informazioni richieste: tipo di incidente, sistemi coinvolti, impatto stimato
- Allegare gli indicatori di compromissione (IoC) se disponibili: IP, hash, domini malevoli
- Confermare e inviare — il CSIRT confermera la ricezione e potra richiedere informazioni aggiuntive
Un aspetto spesso sottovalutato: la qualita della notifica conta. Una pre-notifica vaga come "abbiamo un problema" e molto meno utile di una che indica il tipo di attacco, i sistemi coinvolti e l'impatto stimato. Il CSIRT puo fornire assistenza piu efficace se ha informazioni dettagliate.
Cosa succede dopo la notifica
Dopo aver ricevuto la notifica, il CSIRT Italia la valuta e puo adottare diverse azioni. Puo inviare raccomandazioni specifiche per il contenimento. Se l'incidente coinvolge piu organizzazioni, coordina la risposta. Se rileva minacce di rilevanza nazionale, emette alert e advisory.
Il CSIRT condivide anche informazioni in modo anonimizzato con la rete europea dei CSIRT, contribuendo a una difesa collettiva. Se l'incidente ha impatto transfrontaliero, il CSIRT italiano si coordina con i CSIRT degli altri Stati membri coinvolti.
Prepararsi alla notifica: cosa fare prima
La notifica efficace si prepara prima che l'incidente accada. Ecco cosa predisporre:
- Designare il punto di contatto e assicurarsi che abbia accesso alla piattaforma ACN anche fuori orario
- Preparare template di notifica precompilati con i dati dell'organizzazione e dei sistemi critici
- Definire i criteri di significativita — quando un incidente va notificato e quando no
- Fare esercitazioni — simulare un incidente e la relativa notifica almeno una volta l'anno
- Tenere aggiornato l'inventario degli asset e dei servizi critici — servira per compilare la notifica rapidamente
Errori da evitare nella notifica
Nella mia esperienza, gli errori piu frequenti sono tre. Primo: ritardare la notifica per "capire meglio". Le 24 ore sono tassative, e meglio una pre-notifica parziale che una notifica tardiva. Secondo: minimizzare l'impatto nella notifica. Il CSIRT apprezzer la trasparenza, e nascondere l'entita del problema puo ritorcersi contro. Terzo: non fare la relazione finale. Molte organizzazioni notificano l'incidente ma poi dimenticano la relazione entro 30 giorni, esponendosi a sanzioni.