Notifica degli incidenti NIS2: le scadenze di 24 ore, 72 ore e 1 mese spiegate
Con NIS2, la notifica degli incidenti non è né opzionale né flessibile. Quando si verifica un incidente significativo, hai 24 ore per la notifica iniziale. Ventiquattro ore dal momento in cui ne vieni a conoscenza.
Le tre fasi di notifica
Cronologia delle Notifiche di Incidenti NIS2
24hAllerta Precoce
Notificare all'autorità competente (CSIRT/ANC) entro 24 ore dalla conoscenza di un incidente significativo.
Fase 172hNotifica dell'Incidente
Presentare una notifica dettagliata entro 72 ore con una valutazione iniziale della gravità, dell'impatto e degli indicatori di compromissione.
Fase 21moRapporto Finale
Consegnare un rapporto finale completo entro un mese che copra la causa principale, le misure adottate e l'impatto transfrontaliero.
Fase 324hAllerta Precoce
Notificare all'autorità competente (CSIRT/ANC) entro 24 ore dalla conoscenza di un incidente significativo.
72hNotifica dell'Incidente
Presentare una notifica dettagliata entro 72 ore con una valutazione iniziale della gravità, dell'impatto e degli indicatori di compromissione.
1moRapporto Finale
Consegnare un rapporto finale completo entro un mese che copra la causa principale, le misure adottate e l'impatto transfrontaliero.
Fase 1: Allerta precoce — entro 24 ore
Se causato da atti dolosi, se possibile impatto transfrontaliero.
Fase 2: Notifica — entro 72 ore
Valutazione iniziale di gravità e impatto, indicatori di compromissione.
Fase 3: Relazione finale — entro 1 mese
Descrizione dettagliata, analisi delle cause, misure correttive.
Cos'è un "incidente significativo"?
La NIS2 si Applica alla Tua Organizzazione?
1La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì▼No▼2La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
✗La NIS2 non si applica direttamente alla tua organizzazione.
Sì▼No▼✓La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
3La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì▼!La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
1La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì ↓No →2La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
Sì ↓No →3La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì ↓No →✗La NIS2 non si applica direttamente alla tua organizzazione.
✓La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
!La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
Si applicaPossibile applicazioneNon si applica
In caso di dubbio: notifica. Meglio una segnalazione non necessaria che mancare il termine di 24 ore.
A chi notificare?
| Paese | Autorità competente | CSIRT |
|---|---|---|
| Italia | ACN | CSIRT Italia |
| Belgio | CCB | CERT.be |
| Germania | BSI | CERT-Bund |
| Paesi Bassi | RDI (previsto) | NCSC-NL |
| Francia | ANSSI | CERT-FR |
| Spagna | CCN-CERT / INCIBE | CCN-CERT / INCIBE-CERT |
| Polonia | NASK (previsto) | CERT Polska |
Costruisci il tuo processo di notifica
| Tempo | Azione |
|---|---|
| T+0 | Incidente rilevato — il conteggio parte |
| T+1h | Prima valutazione: potenzialmente significativo? |
| T+4h | Informare la direzione |
| T+24h | SCADENZA: Inviare allerta precoce |
| T+72h | SCADENZA: Inviare notifica incidente |
| T+1 mese | SCADENZA: Inviare relazione finale |
E il GDPR?
Obblighi separati. La notifica NIS2 non sostituisce quella GDPR e viceversa. Coordina entrambe.
Inizia con un quickscan gratuito
Il nostro quickscan NIS2 gratuito include una valutazione della tua preparazione alla notifica degli incidenti.