Incidenti di sicurezza: le tempistiche di notifica nelle normative europee (e perché oggi le aziende faticano a rispettarle)

Negli ultimi anni il quadro normativo europeo in materia di cybersecurity e protezione dei dati sta evolvendo verso richieste sempre più stringenti. La logica è chiara: aumentare la resilienza delle imprese e la trasparenza sugli incidenti di sicurezza, ridurre il tempo di reazione e contenere gli impatti sistemici.

Direttive come la NIS2 e regolamenti come il GDPR prevedono infatti tempistiche precise per la notifica degli incidenti, imponendo alle organizzazioni una capacità di rilevazione e risposta che spesso non è presente nei modelli operativi tradizionali.

Per molte aziende, adeguarsi a queste scadenze non è solo un tema di conformità, ma una vera prova di maturità in ambito cyber e protezione dei dati.

Le tempistiche previste dalla NIS2: 24 e 72 ore che cambiano il modo di gestire gli incidenti

La Direttiva NIS2 introduce obblighi chiari sulla tempestività con cui le aziende devono comunicare gli incidenti significativi. Le due scadenze più rilevanti sono:

• Segnalazione preliminare entro 24 ore (early warning) – Entro un giorno dalla consapevolezza dell’incidente, l’organizzazione deve inviare un avviso al CSIRT dell’Agenzia per la Cybersicurezza Nazionale (ACN), comunicando che si è verificato un incidente significativo. Ciò implica una capacità quasi istantanea di rilevamento e analisi preliminare (triage). Si tratta di un primo alert sintetico che ha l’obiettivo di attivare rapidamente i canali di risposta nazionali e valutare eventuali rischi sistemici.
• Notifica dettagliata entro 72 ore – La normativa richiede poi un rapporto completo sull’incidente, comprensivo di analisi tecnica, impatti sulla continuità del servizio, indicatori di compromissione, vettori di attacco e azioni di mitigazione adottate. Un documento strutturato, che richiede evidenze tecniche e capacità di analisi approfondita. Raccogliere log, ricostruire la catena dell’incidente, stimare gli impatti e preparare un report completo in meno di tre giorni è un’attività complessa che richiede competenze specialistiche.

Le 72 ore del GDPR: un obbligo parallelo e distinto

Non solo NIS2, un’altra normativa impone tempistiche precise: il GDPR.

Nel caso di una violazione di dati personali (data breach), il titolare del trattamento ha l’obbligo di notificare il Garante Privacy entro 72 ore da quando è venuto a conoscenza dell’incidente.

Si tratta di un obbligo naturalmente da confondersi con quello della NIS2:

• si rivolge a un’autorità diversa, il Garante per la protezione dei dati personali e non ACN;
• richiede informazioni specifiche sulla protezione dei dati personali;
• si concentra sul rischio per gli interessati, non sulla sicurezza dei servizi essenziali.

In alcuni casi un singolo incidente può ricadere sotto entrambe le normative, impattare quindi in ottica NIS2 che per il GDPR.

La gestione coordinata delle due comunicazioni richiede processi maturi e capacità di analisi multidisciplinare.

Perché per molte aziende rispettare le scadenze è difficile

In numerose realtà italiane la gestione degli incidenti presenta ancora criticità significative. La difficoltà nel rispettare le tempistiche imposte dalle normative dipende da fattori concreti:

• monitoraggio non continuo o solo parziale;
• assenza di risorse interne capaci di rilevare e gestire incidenti informatici;
• assenza di un SOC interno in grado di operare 24/7;
• infrastrutture di logging incomplete;
• mancanza di processi formali di incident response;
• scarsa capacità di correlare rapidamente gli eventi per ricostruire l’attacco;
• tempi lunghi per reperire evidenze tecniche affidabili.

In questo scenario, le 24 ore dell’early warning e le 72 ore del report completo per NIS2 (e 72 ore per le notifiche nel GDPR) rappresentano un obiettivo spesso fuori portata se non si dispone di un partner specializzato, esponendosi a sanzioni.

Il ruolo di Axitea nel supportare le aziende nella gestione delle notifiche

Axitea, attraverso il proprio Security Operation Center avanzato e i servizi di sicurezza gestita, supporta le organizzazioni nel presidiare le prime ore critiche dopo un incidente e nel rispettare le tempistiche normative.

Grazie al monitoraggio continuativo, alla threat intelligence e ai sistemi di correlazione eventi, il SOC Axitea è in grado di individuare tempestivamente indicatori di compromissione e attivare le procedure di early warning richieste dalla NIS2 entro le prime 24 ore.

Nelle fasi successive, Axitea affianca le aziende nella produzione della notifica dettagliata entro 72 ore, occupandosi di:

• raccolta dei log e normalizzazione delle evidenze;
• analisi tecnica dell’incidente;
• identificazione dei vettori e valutazione degli impatti;
• preparazione del report completo coerente con i requisiti NIS2.

Parallelamente, quando l’incidente coinvolge dati personali, Axitea fornisce supporto dedicato per la notifica al Garante Privacy, aiutando l’azienda a valutare l’esposizione e a predisporre la documentazione necessaria entro le 72 ore previste dal GDPR.

Le normative europee stanno spingendo le aziende verso una maggiore maturità nella gestione degli incidenti cyber. Rispettare le tempistiche non è solo un adempimento, ma un indicatore della capacità di proteggere business e continuità operativa.

Affidarsi a un partner strutturato come Axitea permette di garantire tempestività, precisione e un approccio realmente resiliente alle minacce digitali.