Con il recepimento della Direttiva NIS2 attraverso il D.lgs. 138/2024, gli obblighi di incident reportingapplicabili alle aziende si sono rafforzati. Come noto, le entità essenziali e importanti sono soggette a specifici obblighi di notifica degli incidenti informatici, che tuttavia si inseriscono in un contesto normativo complesso.
Le stesse organizzazioni, infatti, sono già vincolate – solo per citare alcuni esempi – a ulteriori obblighi di notifica, tra cui:
- i casi di data breach, ove gli incidenti comportino una violazione di dati personali, con obbligo di segnalazione al Garante per la protezione dei dati personali entro 72 ore dalla conoscenza della violazione;
- le notifiche di incidenti ICT significativi, qualora le entità interessate rientrino nel perimetro delle entità finanziarie soggette a DORA;
- le notifiche di incidenti gravi che incidano sulla sicurezza die prodotti soggetti al Cyber Resilience Act (CRA) con obblighi di segnalazione al CSIRT competente e all’ENISA.
Il risultato è un sistema di obblighi in parte sovrapposti, caratterizzato da scadenze stringenti, pluralità di destinatari e definizioni non sempre allineate di “incidente rilevante”.
Indice degli argomenti
La gestione dell’incidente come parte della governance societaria
Una delle criticità più strutturali riguarda la mancata definizione di una governance indirizzata alla identificazione e gestione degli incidenti. In diversi casi, infatti, il processo di risposta è ancora considerato una questione meramente tecnico-operativa senza che il management sia pienamente coinvolto nei meccanismi decisori e nelle attività di gestione degli incidenti.
Tanto la normativa NIS2 quanto, ad esempio, il regime di DORA, hanno sensibilmente modificato questo approccio, attribuendo agli organi di amministrazione la responsabilità di approvare le misure di gestione del rischio cyber e di supervisionarne la attuazione.
Il management, quindi, non è solo destinatario di un report a crisi conclusa: è parte attiva della catena decisionale durante l’incidente, con responsabilità dirette in merito all’autorizzazione delle notifiche, alla valutazione dell’impatto reputazionale e alle comunicazioni verso l’esterno.
Questo comporta, tuttavia, un cambio di approccio che si deve concretizzare non solo in una modifica delle procedure interne ma anche in un cambio di operatività effettiva e di dinamiche spesso molto consolidate.
I tempi della notifica e le sovrapposizioni di informazioni
Un altro aspetto critico per le aziende, sempre connesso alla governance interna, è poi la gestione delle tempistiche di notifica, che costituiscono un punto di pressione nella (già complessa) gestione di un incidente. La finestra di 24 ore per la pre-notifica NIS2 all’ACN impone che, al momento dell’evento, siano già consolidati processi di classificazione, escalation e comunicazione.
Inoltre, la difficoltà si moltiplica quando l’incidente attiva obblighi concorrenti con tempistiche variabili dalle 24 alle 72 ore.
Tali obblighi, infatti, non si sommano semplicemente, ma si intersecano, con contenuti parzialmente sovrapposti ma spesso non identici, formati diversi e interlocutori distinti. In assenza di un coordinamento preventivo tra le funzioni interne, quale quelle legali, di compliance e IT, il rischio è che ogni notifica venga gestita separatamente, con possibili incoerenze nella rappresentazione degli eventi e ritardi che espongono l’organizzazione a profili sanzionatori differenziati a seconda delle normative.
Gli obblighi di notifica ai sensi della NIS2, ma anche di altre normative, sono quindi da considerare non come adempimenti distinti, bensì come facce della medesima medaglia.
Le best practice che stanno emergendo – ma che sollevano non poche problematiche per le aziende – evidenziano la necessità di sviluppare un processo unico di Incident Response Management, capace di attivare i diversi binari di notifica previsti da ciascun regime normativo ma anche i diversi ruoli rilevanti, dall’IT al DPO, dall’ufficio legale al management (solo per citarne alcuni).
Il ruolo della supply chain
Altro elemento di attenzione per le aziende riguarda poi la catena di fornitura. NIS2 (ma anche DORA) estendono di fatto i propri effetti ben oltre le entità direttamente soggette alla normativa: le grandi organizzazioni sono tenute a presidiare i rischi cyber dei fornitori critici, con applicazione, in via indiretta, dei requisiti di sicurezza, notifica e trasparenza contrattuale.
Questa determina la necessità di creare una struttura solida non solo in termini di sicurezza – onde evitare che nella supply chain si verifichino incidenti di sicurezza che possano pregiudicare la continuità dei servizi rilevanti e attivare obblighi di notifica – ma anche delineare processi di incident response in carico ai fornitori a cui devono quindi essere richieste garanzie rafforzate.
Per alcune realtà, prive di strutture interne dedicate, questa rappresenta una sfida complessa. In termini pratici, è quindi necessario rivedere l’approccio al vendor risk management, con inclusione di clausole contrattuali specifiche su incident notification, audit e livelli di servizio, nonché meccanismi di monitoraggio continuo dei fornitori critici.
Digital Omnibus: verso un single entry point per le notifiche
A fronte di questo quadro di complessità, la Commissione europea ha presentato, nel novembre 2025, il pacchetto Digital Omnibus, una proposta di semplificazione normativa che tocca anche il tema dell’incident reporting.
La Commissione, infatti, ha preso atto della crescente difficoltà per le aziende di far fronte agli obblighi di notifica e ha prospettato l’introduzione di un Single Entry Point (SEP), una piattaforma unica europea gestita da ENISA attraverso cui le organizzazioni potranno adempiere, in un’unica notifica, agli obblighi previsti da NIS2, GDPR, DORA, CER ed eIDAS. Il SEP dovrà poi distribuire le informazioni alle autorità nazionali competenti.
Se questo, da un lato, potrebbe agevolare la gestione degli incidenti, dall’altro, occorre precisare che i requisiti sostanziali degli obblighi di notifica non sarebbero impattati: le tempistiche, le soglie di materialità e i contenuti informativi richiesti da ciascuna normativa rimarrebbero infatti invariati (fatto salve alcune modifiche al GDPR).
È quindi necessario attendere gli sviluppi sul tema fermo restando che il testo della Commissione deve ancora completare il proprio percorso legislativo cosicché – per ora – le aziende devono operare con il quadro esistente.
Serve prontezza operativa
L’incident reporting obbligatorio – nelle sue varie declinazioni, tra cui quella della NIS2 – è il banco di prova della maturità cyber di un’azienda. Le difficoltà più profonde non sono tecniche: sono di governance.
Le aziende devono quindi sviluppare, sempre più, un sistema di risposta agli incidenti che non risponda solo alle esigenze tecnico-informatiche, ma che tenga in considerazione le difficoltà di gestione e gli obblighi di compliance legale.
