Come segnalare un incidente NIS 2 in 24 ore
L'Articolo 23 NIS 2 stabilisce un'unica cascata in tutta l'Unione: preallarme a 24 ore, notifica dell'incidente a 72 ore, relazione intermedia su richiesta, relazione finale entro un mese. L'orologio parte quando vieni a conoscenza dell'incidente, non quando è accaduto.
La versione breve
Se ti colpisce un incidente significativo, devi al tuo CSIRT nazionale (in Germania: il BSI) quattro relazioni in un ordine prestabilito. La prima è dovuta 24 ore dopo che vieni a conoscenza dell'incidente. La parola chiave dell'innesco è la conoscenza, non l'accadimento. Nel momento in cui qualcuno nella tua organizzazione può affermare che è più di un semplice intoppo, l'orologio è partito.
L'Articolo 23(4) NIS 2 indica tutte e quattro le fasi. Il Regolamento di esecuzione (UE) 2024/2690 della Commissione §11 precisa cosa devono contenere le relazioni ed elenca le categorie di incidenti che si considerano sempre significativi. Il §32 BSIG e il BSI Meldeportal sono il canale tedesco per farlo.
Questa pagina percorre prima il livello UE, poi il livello operativo tedesco. La cascata è la stessa in tutta l'Unione. Il portale e lo sportello di contatto cambiano da paese a paese.
Articolo 23(4) Direttiva NIS 2 (2022/2555)
Gli Stati membri provvedono affinché i soggetti interessati trasmettano al CSIRT o, se del caso, all'autorità competente: (a) senza indebito ritardo e comunque entro 24 ore dal momento in cui sono venuti a conoscenza dell'incidente significativo, un preallarme; (b) senza indebito ritardo e comunque entro 72 ore dal momento in cui sono venuti a conoscenza dell'incidente significativo, una notifica dell'incidente; (c) su richiesta di un CSIRT o, se del caso, dell'autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione; (d) una relazione finale entro un mese dalla trasmissione della notifica dell'incidente di cui alla lettera b).
Quattro fasi, un'unica cascata. La formulazione è vincolante in ogni Stato membro. L'ancoraggio dell'orologio è lo stesso a ogni passaggio: dal momento in cui si viene a conoscenza, non dal momento in cui l'incidente è iniziato.
CIR (UE) 2024/2690, Allegato §11.6
Un incidente è considerato significativo qualora abbia causato o sia in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato, oppure qualora abbia avuto o sia in grado di avere ripercussioni su altre persone fisiche o giuridiche causando danni materiali o immateriali considerevoli.
Il §11.6 elenca categorie che si qualificano sempre come significative: ransomware, esfiltrazione di dati personali o sensibili, denial-of-service contro servizi essenziali, perdita di riservatezza o integrità di asset critici e così via. Se una categoria corrisponde, la questione della soglia è chiusa. La segnalazione parte.
§32 BSIG (Germania)
Wesentliche und wichtige Einrichtungen melden erhebliche Sicherheitsvorfälle dem Bundesamt unverzüglich, spätestens innerhalb der in Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 genannten Fristen.
La Germania ricopia la cascata della direttiva e indica il BSI Meldeportal come canale operativo. Il §32 BSIG è il gancio tedesco. L'Articolo 23(4) NIS 2 è la regola sostanziale cui il testo tedesco rinvia.
Preallarme
Entro 24 ore dal momento in cui vieni a conoscenza dell'incidente, trasmetti un preallarme tramite il BSI Meldeportal. Indichi il soggetto, segnali se sospetti un atto doloso e segnali se è possibile un impatto transfrontaliero. Non ti servono ancora causa principale, ambito o attribuzione. Lo scopo è mettere in allerta il CSIRT e avviare il coordinamento.
Notifica dell'incidente
Entro 72 ore dal momento in cui ne vieni a conoscenza, trasmetti la notifica dell'incidente. Aggiorna quanto dichiarato a 24 ore. Aggiungi una valutazione iniziale della gravità e dell'impatto. Aggiungi gli indicatori di compromissione se ne disponi. È la prima volta in cui ci si attende che tu caratterizzi l'incidente, non solo che lo annunci. Una stima migliore su dati parziali batte comunque il silenzio.
Relazione finale (e intermedia su richiesta)
Tra le 72 ore e la relazione finale, il CSIRT o l'autorità competente può richiedere in qualsiasi momento una relazione intermedia sui pertinenti aggiornamenti della situazione. La relazione finale stessa è dovuta entro un mese dalla notifica a 72 ore. Riporta la descrizione confermata dell'incidente, l'analisi della causa principale, le misure di mitigazione applicate e qualsiasi impatto transfrontaliero. Se l'incidente è ancora in corso a un mese, trasmetti una relazione sullo stato di avanzamento e una finale alla sua chiusura.
Rapidità prima della completezza, conoscenza prima dell'accadimento
Il BSI lo afferma chiaramente: „Schnelligkeit vor Vollständigkeit“. Invia la relazione con ciò che sai ora. Aggiorni in seguito. L'orologio parte nel momento in cui qualcuno con responsabilità può affermare che si tratta di più di una normale perturbazione, non nel momento in cui l'attacco è effettivamente iniziato. Una relazione tardiva e completa è non conformità. Una relazione rapida e parziale è conformità.
I percorsi di segnalazione possono procedere in parallelo
Se sono coinvolti dati personali, l'Articolo 33 GDPR fa scattare il proprio orologio di 72 ore verso l'autorità di protezione dei dati (in Germania: il BfDI o la pertinente Landesdatenschutzbehörde). Quell'orologio è indipendente dalla cascata NIS 2. Puoi doverne entrambi contemporaneamente. La trasmissione dell'uno non soddisfa l'altro. Lo stesso vale per le autorità di regolamentazione settoriali, ove esistano.
BSI Meldeportal ai sensi del §32 BSIG
Presenti la segnalazione tramite il BSI Meldeportal all'indirizzo meldeportal.bsi.bund.de. Il portale ti guida attraverso le quattro fasi e tiene traccia delle scadenze. Il BSI pubblica orientamenti sotto il titolo „Schnelligkeit vor Vollständigkeit“: non attendere la certezza forense. Invia ciò che hai. Il portale ti consente di aggiornare lo stesso caso lungo l'intera cascata.
Articolo 33 GDPR — procede in parallelo
Se l'incidente coinvolge dati personali, devi anche una notifica ai sensi dell'Articolo 33 GDPR entro 72 ore dal momento in cui ne vieni a conoscenza. Questa va all'autorità di protezione dei dati, non al BSI. L'orologio delle 72 ore è lo stesso numero ma un orologio diverso e un destinatario diverso. La trasmissione tramite il BSI Meldeportal non ferma l'orologio del GDPR. Tieni traccia di entrambi.
Coordinamento ENISA e autorità di regolamentazione settoriali
L'Articolo 23(11) NIS 2 consente all'autorità competente e al CSIRT di condividere la relazione con le autorità omologhe di altri Stati membri ove sia possibile un impatto transfrontaliero, e con l'ENISA. Se operi a livello transfrontaliero, aspettati coordinamento, non una trasmissione duplicata. Ove esista un'autorità di regolamentazione settoriale (finanziaria ai sensi di DORA, telecomunicazioni ai sensi della TKG), presenta la segnalazione ai sensi di tale regime in alternativa o in aggiunta alla NIS 2 secondo quanto prescrive l'atto pertinente.
Segnaleremo una volta che sapremo cosa è realmente accaduto.
Nel momento in cui saprai cosa è realmente accaduto, la finestra delle 24 ore si è chiusa e quella delle 72 ore si sta chiudendo. L'Articolo 23(4)(a) non richiede la causa principale a 24 ore. Richiede il preallarme. La causa principale va nella relazione finale, un mese dopo. Attendere la certezza è il modo più comune di mancare il primo termine.
Finché non confermiamo che è significativo, non presentiamo la segnalazione.
Confermare in anticipo la significatività non è il criterio. Il CIR §11.6 elenca categorie che sono significative per definizione. Il preallarme a 24 ore è concepito esattamente per la situazione in cui non sei ancora sicuro. Salta il passaggio delle 24 ore e hai già mancato un termine che non puoi recuperare, anche se in seguito risulta che l'incidente non era significativo.
Abbiamo inviato la notifica, abbiamo finito.
La notifica a 72 ore è una delle quattro fasi, non l'ultima. La relazione intermedia può essere richiesta in qualsiasi momento. La relazione finale è dovuta entro un mese dalla notifica a 72 ore. La maggior parte delle sanzioni nella prima ondata di applicazione si concentra sulla relazione finale mancante, non sul preallarme.
Martedì 07:42, un analista SOC di uno Stadtwerk nota che l'applicazione di fatturazione è irraggiungibile e che note di riscatto compaiono su tre condivisioni di file. Alle 08:10, il responsabile IT conferma la cifratura su una banca dati di fatturazione. Quello è il momento (timestamp) della conoscenza. L'orologio delle 24 ore parte alle 08:10 di martedì, l'orologio delle 72 ore parte alle 08:10 di martedì, l'orologio della relazione finale di un mese parte nel momento in cui viene trasmessa la notifica a 72 ore.
Entro le 14:00 di martedì il soggetto trasmette un preallarme tramite il BSI Meldeportal: ransomware sospetto, atto doloso sì, impatto transfrontaliero incerto (dodici ore prima del termine). Entro le 06:00 di venerdì il soggetto trasmette la notifica a 72 ore con la gravità iniziale e gli indicatori di compromissione tratti dai log EDR. Il giorno 18, il BSI richiede una relazione intermedia sui progressi del ripristino; il soggetto la trasmette. Il giorno 29, il soggetto trasmette la relazione finale con causa principale confermata, mitigazione applicata e la sintesi delle lezioni apprese. Quattro relazioni, un unico ancoraggio dell'orologio: 08:10 di martedì.
Il modulo Incidenti sulla piattaforma rispecchia la cascata in quattro fasi. Quando viene aperto un incidente, il momento (timestamp) della conoscenza ancora tre orologi di conto alla rovescia: 24 ore, 72 ore, un mese. Ciascun orologio ha il proprio modello precompilato con quanto richiesto dall'Articolo 23(4) e dal CIR §11.6, così compili ciò che sai ora e la piattaforma ti dice cosa manca ancora.
La trasmissione avviene tramite il BSI Meldeportal in Germania. La piattaforma non sostituisce il portale. Prepara il contenuto, tiene traccia delle scadenze, conserva la traccia di audit e ricorda al titolare responsabile che è dovuto il passaggio successivo della cascata. Le relazioni stesse restano pronte per l'esportazione così da poterle incollare nel portale sotto pressione di tempo.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 23(3), 23(4), 23(11) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione, Allegato §11 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legge sul BSI (BSIG), §32 nella versione della legge di attuazione della NIS2 e di rafforzamento della cibersicurezza
- BSI Meldeportal — meldeportal.bsi.bund.de
- BSI Infopakete „NIS 2 Pflichten“ sulla segnalazione degli incidenti — bsi.bund.de/dok/nis-2-infopakete
- Regolamento (UE) 2016/679 (GDPR), Articolo 33 — eur-lex.europa.eu/eli/reg/2016/679/oj