Schema di notifica degli incidenti NIS2

Categoria sotto la quale viene presentata la presente notifica. L'art. 23(3) NIS2 impone la notifica solo degli incidenti significativi; la notifica dei quasi-incidenti e degli incidenti non significativi è volontaria ai sensi dell'art. 30 NIS2.

Valutazione iniziale della gravità dell'incidente. L'art. 23(4)(b) NIS2 richiede che la notifica dell'incidente (72h) contenga una valutazione iniziale della gravità e dell'impatto. Il CIR 2024/2690 quantifica le soglie di significatività per le categorie di fornitori di servizi digitali da esso disciplinate.

Sintesi in linguaggio chiaro dell'accaduto. L'art. 23(4)(a) NIS2 richiede che il preallarme indichi se si sospetta che l'incidente significativo sia di natura illecita o dolosa: questo campo contiene tale descrizione iniziale.

Conformemente al testo dell'art. 23(4)(d) NIS2: la relazione finale contiene 'una descrizione dettagliata dell'incidente, compresi la sua gravità e il suo impatto'. Questo campo raccoglie le risultanze lungo l'intero ciclo di notifica.

L'art. 23(4)(a) NIS2 richiede che il preallarme entro 24 ore indichi se si sospetta che l'incidente significativo sia stato causato da atti illeciti o dolosi.

Art. 23(2) NIS2: ove applicabile, il soggetto comunica senza indebito ritardo ai destinatari dei suoi servizi potenzialmente interessati da una minaccia informatica significativa eventuali misure o rimedi che possono adottare.

Messaggio in linguaggio chiaro destinato ai destinatari dei servizi del soggetto in merito alla minaccia e alle azioni correttive raccomandate. Obbligatorio se customerNotificationRequired è vero.

Primo orario noto in cui si è verificato l'incidente. Può essere 'sconosciuto' se la cronologia forense è incompleta.

Ora in cui il soggetto è venuto a conoscenza dell'incidente significativo. Avvia i termini di 24h / 72h / 1m ai sensi dell'art. 23(4) NIS 2.

Ora in cui l'incidente è stato contenuto e risolto. Richiesto per la relazione finale ai sensi dell'art. 23(4)(d) NIS 2.

Conformemente al testo dell'art. 23(4)(d)(ii) NIS2: la relazione finale indica 'il tipo di minaccia o la causa principale che ha probabilmente innescato l'incidente'.

Analisi descrittiva a sostegno della classificazione della causa principale. Qualora l'analisi sia incompleta, indicare l'ipotesi meglio supportata e le prove che la sostengono.

Valutazione da parte del soggetto se l'incidente costituisca un attacco mirato (specifico al soggetto o al settore) oppure non mirato (opportunistico / campagna di massa).

Quali tra riservatezza, integrità, disponibilità l'incidente ha compromesso. L'art. 6(6) NIS2 definisce l''incidente significativo' anche in funzione di tali proprietà.

Conformemente al testo dell'art. 23(4)(b) NIS2: la notifica dell'incidente (72h) indica 'una valutazione iniziale dell'incidente significativo, compresi la sua gravità e il suo impatto, nonché, ove disponibili, gli indicatori di compromissione'. Fornire artefatti osservabili (hash di file, indirizzi IP, domini, URL, firme di malware, schemi comportamentali) utilizzabili dai difensori a valle per rilevare la medesima minaccia. Facoltativo anziché obbligatorio, poiché la direttiva lo subordina alla disponibilità; se l'analisi forense non ha rivelato alcun IoC al momento dell'invio, lasciare vuoto.

Misure tecniche, organizzative e operative già adottate per contenere l'incidente. Richiesto per la notifica dell'incidente (72h) e aggiornato nelle relazioni successive.

Secondo il testo dell'art. 23(4)(d)(iii) NIS 2: la relazione finale deve descrivere le 'misure di attenuazione applicate e in corso'.

Come l'incidente è stato rilevato per la prima volta. Utilizzato dai CSIRT per individuare lacune sistemiche di rilevamento nell'intero settore.

Misure pianificate per prevenire il ripetersi. Sostiene il ciclo di 'lezioni apprese' richiesto dall'ENISA TIG per la relazione finale.

Numero stimato di utenti interessati. CIR 2024/2690 quantifica le soglie per le categorie di fornitori di servizi digitali che disciplina; per gli altri soggetti la valutazione è qualitativa ai sensi dell'art. 6(6) e dell'art. 23(3) NIS 2.

Descrizione di quali servizi (operativi, rivolti ai clienti, interni) sono stati degradati o non disponibili e per quanto tempo. L'art. 6(6) NIS 2 rende l'interruzione del servizio un criterio che definisce un 'incidente significativo'.

Danno finanziario diretto e indiretto stimato. L'art. 6(6) NIS 2 include la perdita finanziaria tra i criteri che elevano un incidente a 'significativo'.

Valutazione del soggetto in merito al fatto che l'incidente abbia causato o sia probabile che causi un danno reputazionale. Uno dei criteri che qualificano un 'incidente significativo' ai sensi dell'art. 6(6) NIS 2.

L'art. 23(4)(a) NIS 2 richiede che il preallarme indichi se l'incidente significativo ha un impatto transfrontaliero. I CSIRT degli altri Stati membri interessati sono informati tramite il meccanismo di cooperazione di cui all'art. 15 NIS 2.

Elenco degli Stati membri dell'UE i cui soggetti, utenti o servizi sono interessati dall'incidente. Utilizzato dal CSIRT per informare le autorità omologhe.

Settori interessati dall'incidente, corrispondenti all'allegato I NIS 2 (settori ad alta criticità) e all'allegato II (altri settori critici). Potrebbe essere necessario informare i CSIRT settoriali.

Nome della persona fisica che presenta la notifica per conto del soggetto. Richiesto da tutti i portali nazionali affinché il CSIRT possa effettuare il seguito.

Indirizzo e-mail che il CSIRT può utilizzare per contattare il segnalante per domande di seguito, richieste di relazione intermedia e trasmissione del riscontro ai sensi dell'art. 23(5) NIS2.

Numero di telefono per un contatto urgente con il CSIRT, in particolare durante la finestra di preallerta in cui l'e-mail potrebbe essere lenta.

Numero di riferimento interno dell'incidente proprio del soggetto. Consente al CSIRT di correlare più invii relativi al medesimo incidente.