R

Notifica di incidente — art. 25 DLgs 138/2024

Notifica incidente al CSIRT Italia

In caso di incidente significativo, il DLgs 138/2024 (decreto NIS) impone ai soggetti essenziali e importanti una linea temporale stringente verso l'ACN / CSIRT Italia: pre-notifica entro 24 ore, notifica entro 72 ore e relazione finale entro un mese. Questa pagina riassume ogni fase, cita la base giuridica e spiega come Reglyze prepara il pacchetto senza sostituirsi al suo atto di invio.

Attenzione — termini coorte 2026: per i soggetti inseriti nell'elenco nel 2026, l'obbligo di notifica decorre dal 1° gennaio 2027 (Det. ACN 127434/2026 + 379907/2025). Fino a quella data vale comunque la buona pratica di registrare internamente gli incidenti come evidenza della gestione del rischio (art. 24 c. 2 lett. b) DLgs).

Linea temporale completa

  1. 1

    Pre-notifica (preallarme)

    Entro 24 ore dalla conoscenza

    Comunicazione tempestiva all'ACN / CSIRT Italia dell'incidente significativo in corso. Deve indicare la natura preliminare dell'incidente, se vi è sospetto di atto doloso e l'impatto iniziale stimato.

    art. 25 c. 5 lett. a) DLgs + art. 23 c. 4 lett. a) NIS 2

  2. 2

    Notifica

    Entro 72 ore dalla conoscenza

    Aggiornamento della pre-notifica con la valutazione dell'incidente, la gravità, l'impatto effettivo e, ove possibile, gli indicatori di compromissione (IoC). Può includere una richiesta di assistenza al CSIRT Italia.

    art. 25 c. 5 lett. b) DLgs + art. 23 c. 4 lett. b) NIS 2

  3. 3

    Relazione intermedia

    Su richiesta dell'ACN (se l'incidente è in corso)

    Quando l'ACN lo richiede, o quando l'incidente è ancora in corso, il soggetto presenta aggiornamenti sullo stato di gestione e sulle misure di rientro adottate e pianificate.

    art. 25 c. 5 lett. c) DLgs

  4. 4

    Relazione finale

    Entro un mese dalla notifica

    Analisi post-incidente: descrizione dettagliata, gravità, impatto, vettore di attacco, misure di rientro intraprese e pianificate. La relazione finale è dovuta entro un mese dalla notifica delle 72 ore; se l'incidente è ancora in corso a quel termine, si presenta una relazione sullo stato e la relazione finale entro un mese dal trattamento dell'incidente.

    art. 25 c. 5 lett. d) DLgs + art. 23 c. 4 lett. d) NIS 2

Cosa è un "incidente significativo"?

L'art. 25 del DLgs 138/2024 + le Determinazioni ACN definiscono la soglia. In generale un incidente è significativo quando:

  • Ha causato, o è suscettibile di causare, una grave perturbazione operativa dei servizi o un danno finanziario al soggetto;
  • Ha avuto, o è suscettibile di avere, ripercussioni su altre persone fisiche o giuridiche causando danni materiali o immateriali considerevoli;
  • Coinvolge dati personali (caso in cui si applica anche la doppia notifica al Garante Privacy ai sensi dell'art. 33 GDPR — si veda la sezione dedicata).

Gli incidenti minori (impatto contenuto, recuperati senza grave perturbazione) non richiedono la notifica all'ACN, ma devono essere registrati internamente come evidenza della gestione del rischio prevista dall'art. 24 c. 2 lett. b) del DLgs.

Articolazione con il CSIRT Italia

Il CSIRT Italia, integrato nell'ACN, può essere attivato per supporto tecnico e coordinamento operativo. La notifica all'ACN tramite la piattaforma digitale (art. 7 DLgs) è il canale unico per gli incidenti; il CSIRT Italia viene coinvolto automaticamente negli incidenti che riguardano infrastrutture critiche o che possono avere dimensione transfrontaliera.

In situazioni di impatto operativo o di evidenza preservata su sistemi compromessi, il soggetto può presentare denuncia alla Polizia Postale (accesso abusivo a sistema informatico, art. 615-ter c.p.), che attiva il profilo penale senza esonerare dalla notifica NIS 2 all'ACN.

Doppia notifica — GDPR + NIS 2

Quando l'incidente coinvolge una violazione di dati personali (il caso più frequente per ransomware, fuga di credenziali, esfiltrazione di banche dati) si applicano due notifiche indipendenti:

  • ACN / CSIRT Italia con la pre-notifica entro 24 ore — base giuridica: art. 25 DLgs 138/2024.
  • Garante per la protezione dei dati personali entro 72 ore dalla conoscenza della violazione — base giuridica: art. 33 GDPR.

L'ACN e il Garante si coordinano quando entrambe le autorità hanno competenza, ma l'obbligo operativo resta del soggetto: la notifica mancata a una delle due non è compensata dall'altra.

Come Reglyze aiuta — senza inviare in suo nome

Reglyze include un modulo incidenti che segue ogni incidente significativo dall'inizio alla fine: avvisa sui termini delle tre fasi, genera bozze con l'IA per la notifica all'ACN (24h e 72h), permette di allegare le evidenze e produce la relazione finale in formato pronto da copiare sulla piattaforma digitale dell'ACN.

Reglyze non invia mai all'ACN in suo nome. Per contratto (ADR 0017), l'invio è sempre un atto dell'operatore sulla piattaforma dell'ACN — è l'operatore a confermare l'ID del protocollo dopo l'invio, ed è la registrazione della piattaforma ACN che vale come prova di adempimento. Reglyze accelera la preparazione; il controllo dell'invio resta sempre dalla sua parte.

Disponibile a partire dal piano Pro €499/anno. Il modulo incidenti include la formazione dell'organo di amministrazione (art. 23 DLgs / art. 20 NIS 2) e i modelli di relazione finale in IT-IT allineati alla struttura attesa dall'ACN.

Risorse correlate

Sia pronto prima del prossimo incidente

La diagnosi gratuita in 2 minuti le dice se rientra nel dovere di notifica. Il piano gratuito include la valutazione iniziale; il modulo incidenti è incluso nel Pro €499/anno.