Nel lessico della sicurezza digitale, la parola “rilevamento” ha assunto un significato nuovo. Non si tratta più soltanto di individuare intrusioni o anomalie tecniche, ma di misurare deviazioni da livelli di servizio attesi, definiti e documentati.
La misura/subcategoria DE.CM-01 del FNCDP 2.1 richiamata nelle linee guida sulle specifiche di base dell’ACN segna un punto di svolta: per riconoscere un incidente significativo occorre prima stabilire che cosa sia “normale”.
Ecco la logica che trasforma i livelli di servizio (Service Level – SL) da clausole contrattuali a indicatori di sicurezza operativa, preparando il terreno ad un successivo approfondimento sul legame tra la Business Impact Analysis (BIA) e i livelli di servizio attesi, in quanto concordati contrattualmente (Service Level Agreement – SLA).
Indice degli argomenti
Come si stabilisce se un incidente è davvero “significativo”
Da gennaio 2026 tutti i soggetti essenziali e importanti del perimetro NIS 2 dovranno notificare al Csirt Italia ogni incidente significativo.
Ma come si stabilisce se un incidente è davvero “significativo”? Questa domanda apre il nuovo corso della sicurezza europea.
Le Linee guida NIS – Specifiche di base emanate a settembre 2025 dall’ACN, e in particolare il capitolo 3 dedicato agli incidenti significativi di base, offrono una risposta tanto chiara quanto impegnativa: non basta rilevare un’anomalia ma bisogna anche dimostrare di averne definito in anticipo la soglia di tolleranza.
Ecco perché la misura (subcategoria) DE.CM-01, collocata nella funzione Detect del FNCDP v.2.1, diventa la chiave del sistema.
Essa, declinata in specifici adempimenti operativi che l’ACN definisce “requisiti”, impone ai soggetti NIS di definire e documentare i livelli di servizio attesi (SL) dei propri servizi e/o delle proprie attività, al fine specifico di rilevare tempestivamente gli incidenti significativi.
In altre parole, il vero sensore non è solo la tecnologia, ma anche la capacità di rilevare e misurare la deviazione rispetto a ciò che si è dichiarato come “normale”.
Il contesto normativo e operativo
La Direttiva NIS 2, recepita in Italia con il D.lgs. 138/2024, ha cambiato la prospettiva della sicurezza digitale.
Da un modello fondato sull’adempimento si è passati a un modello affatto diverso, centrato sulla misurabilità delle prestazioni.
Le Linee guida – Specifiche di base dell’ACN specificano questo passaggio: per classificare un evento come “incidente significativo”, occorre verificare la violazione di almeno uno dei criteri oggettivi previsti.
Tra questi, il criterio IS-3 cita espressamente la “violazione dei livelli di servizio attesi”, collegandolo alla misura/subcategoria DE.CM-01.
Ciò significa che l’analisi degli incidenti parte dai dati di servizio e non solo dagli alert tecnici.
Pertanto, se non si dispone di SL definiti e monitorabili non si è in grado di riconoscere un incidente significativo, e quindi si viola l’obbligo di notifica.
La misura/subcategoria DE.CM-01 come punto di svolta
La subcategoria DE.CM-01, tradotta operativamente dall’ACN in specifici “requisiti”, non introduce un nuovo apparato tecnologico, ma un nuovo linguaggio organizzativo.
Rilevare e misurare non significa più soltanto “accorgersi che qualcosa è accaduto” ma “accorgersi che qualcosa non sta accadendo come dovrebbe”.
La differenza è sottile ma fondamentale e segna lo spartiacque tra una misura proattiva e una reattiva.
Questo spostamento concettuale richiede due azioni complementari:
- definire il livello atteso di performance per ciascun servizio critico;
- monitorare e rilevare in tempo reale le deviazioni da quel livello.
Solo così un evento può essere interpretato come segnale d’allarme e non come un semplice disservizio.
Questo quadro di situazione comporta che in assenza di un parametro di riferimento ogni dato non avrà alcun significato se non quello arbitrariamente associato all’evento quando si verifica l’evento.
La misurabilità come condizione della fiducia
La misura/subcategoria DE.CM-01 obbliga ogni organizzazione a fare una scelta di maturità: tradurre in numeri ciò che prima era solo percezione.
Definire un livello di servizio (SL) significa decidere:
- quali tempi di ripristino sono accettabili;
- quali tassi di disponibilità sono sostenibili;
- quale impatto è tollerabile.
È un atto di trasparenza e di responsabilità, perché rende verificabile la resilienza. La sicurezza, in questa logica, non è più solo una promessa tecnica, ma una vera e propria funzione di governo.
I livelli di servizio diventano, così, i parametri con cui l’autorità può valutare la coerenza delle scelte di rischio e la capacità di gestione dell’organizzazione.
L’anello mancante: dalla misura alla fonte dei valori
A questo punto la domanda sorge spontanea: da dove si ricavano i valori dei livelli di servizio? Come si stabilisce che un RTO di due ore o una disponibilità del 99,8% o ancora l’evasione di ticket prioritari in 30 minuti rappresentano soglie sensate? Qui entra in scena la Business Impact Analysis (BIA).
La subcategoria DE.CM-01 non può vivere senza di essa, perché solo la BIA fornisce i dati necessari per quantificare gli obiettivi di continuità operativa e tradurli in livelli di servizio verificabili.
Nis 2, la misurabilità come condizione della sicurezza
La misura/subcategoria DE.CM-01 segna la maturità del sistema NIS 2: introduce la cultura della misurabilità come condizione della sicurezza.
Però, questa misura, per funzionare davvero, deve poggiare su basi solide.
La più solida di tutte è la BIA, che identifica processi critici, stima gli impatti e traduce la continuità in valori operativi.
Nel prossimo articolo di questa nuova tetralogia, si approfondirà come l’analisi d’impatto si trasforma nei numeri che rendono la sicurezza dimostrabile, collegando MTD, RTO, RPO e MBCO ai livelli di servizio (SL) e ai Service Level Agreements (SLA), per costruire il linguaggio comune tra resilienza e rilevamento.
