Con l’entrata a regime della normativa NIS2, il 2026 segna un passaggio decisivo per le organizzazioni qualificate come soggetti essenziali e soggetti importanti. In particolare, la notifica degli incidenti informatici ai sensi della NIS2 diventa un obbligo centrale della compliance, destinato a incidere concretamente sulla governance e sui sistemi di gestione del rischio cyber.
Dopo la fase iniziale di censimento e registrazione, il sistema di cybersicurezza delineato dal decreto legislativo 4 settembre 2024, n. 138 entra nella sua fase più operativa e critica: quella della gestione degli incidenti informatici e della loro notifica obbligatoria al CSIRT Italia.
L’incidente informatico come evento giuridicamente rilevante
La NIS2 introduce un cambio di paradigma: l’incidente informatico non è più soltanto un problema tecnico o operativo, ma un evento giuridicamente rilevante, che attiva obblighi immediati verso l’esterno.
Ai sensi dell’articolo 25 del decreto NIS, i soggetti essenziali e importanti sono tenuti a notificare al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei propri servizi. Il concetto di “incidente significativo” non è lasciato alla discrezionalità dell’organizzazione, ma è stato progressivamente dettagliato dalla normativa di attuazione e dalle determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Per il legislatore, l’evento rilevante non coincide solo con l’interruzione totale del servizio. È sufficiente, ad esempio, una perdita di riservatezza o integrità dei dati con impatto verso l’esterno, una violazione dei livelli di servizio attesi, o – nel caso dei soggetti essenziali – anche un accesso non autorizzato o un abuso di privilegi, purché rilevante sotto il profilo del rischio.
Notificare non è “segnalare”: è dimostrare di saper gestire l’incidente
Uno degli errori più frequenti è considerare la notifica come un semplice invio di informazioni. In realtà, la notifica prevista dalla NIS2 presuppone che l’organizzazione abbia già attivato un processo strutturato di gestione dell’incidente.
Nel momento in cui un evento viene notificato, l’Autorità può valutare non solo che cosa è accaduto, ma come l’organizzazione ha reagito: se l’incidente è stato rilevato tempestivamente, se è stato correttamente classificato, se sono state adottate misure di contenimento, se il ripristino è avvenuto in modo controllato e se sono state tratte lezioni utili per il futuro.
Dal 2026, l’assenza di un processo formalizzato e operativo di incident response non sarà più tollerabile. La notifica diventa, di fatto, una prova indiretta della maturità cyber dell’organizzazione.
I tempi di notifica e il rischio di violazione autonoma
La normativa NIS2 prevede una sequenza temporale stringente: una prima comunicazione rapida, seguita da aggiornamenti e da una relazione finale. Il mancato rispetto dei tempi non è considerato una semplice irregolarità procedurale, ma può configurare una violazione autonoma, anche se l’incidente in sé è stato gestito correttamente.
Questo aspetto è particolarmente rilevante per il 2026, anno in cui i controlli inizieranno a concentrarsi proprio sulla coerenza tra incidenti effettivamente verificatisi e notifiche trasmesse. Eventi gestiti “internamente” ma non comunicati espongono l’organizzazione a rischi sanzionatori elevati, soprattutto se emergono in sede ispettiva o a seguito di segnalazioni incrociate.
I controlli ACN: dal 2026 focus su incidenti e notifiche
I controlli non si limiteranno a verificare l’esistenza di policy o procedure, ma punteranno a ricostruire eventi concreti: come l’organizzazione ha classificato un incidente, se ha correttamente valutato la sua significatività, se ha notificato nei tempi previsti e se le informazioni fornite erano complete e coerenti.
In altre parole, dal 2026 non sarà più sufficiente “avere un piano”: sarà necessario dimostrare di averlo usato.
Le conseguenze di una notifica errata o mancata
La mancata notifica di un incidente significativo, così come una notifica tardiva o incompleta, espone l’organizzazione a sanzioni amministrative rilevanti.
Ma il rischio non è solo economico. La gestione degli incidenti e delle notifiche è strettamente collegata alle responsabilità degli organi di amministrazione e direttivi. Un sistema di incident response inadeguato può tradursi in rilievi sulla governance, con possibili riflessi anche in termini di responsabilità gestoria.
I professionisti di Networklex sono a disposizione per aiutare le aziende che abbiano necessità di districarsi in questa complessa attività di compliance. Scrivi una mail a info@networklex.it per avere ulteriori informazioni.
