Home Data Protection & CybersecurityChe cos’è un incidente significativo ai sensi della NIS 2?

Che cos’è un incidente significativo ai sensi della NIS 2?

29 Settembre 2025 by

A partire da gennaio 2026 entrerà in vigore l’obbligo di notifica degli incidenti significativi previsto dal Decreto Legislativo n. 138 del 2024 (“Decreto NIS 2”). Tale obbligo, applicabile a tutti i soggetti rientranti nell’ambito di applicazione del Decreto NIS 2, costituisce uno dei pilastri principali del nuovo quadro normativo, introducendo stringenti requisiti di notifica per i cosiddetti incidenti significativi.

La definizione di “incidente significativo” ai sensi della NIS 2

Ai sensi del Decreto NIS 2, un incidente è considerato significativo se:

  1. ha causato, o è in grado di causare, una grave interruzione operativa dei servizi o perdite finanziarie per l’entità interessata;
  2. ha avuto, o è in grado di avere, ripercussioni su altre persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli.

La definizione di incidente significativo è quindi differente da quella di data breach di cui al GDPR. Mentre quest’ultima comprende i casi riguardanti la perdita di riservatezza, integrità o disponibilità dei dati personali, la definizione contenuta nel Decreto NIS 2 va oltre tale esfiltrazione, identificando come significativi quegli incidenti in cui – indipendentemente dalla perdita di riservatezza, integrità o disponibilità dei dati – si sia verificato un evento che causa o è in grado di causare un’interruzione operativa dei servizi, perdite finanziarie o danni significativi a persone fisiche o giuridiche. Tuttavia, la definizione rimane piuttosto ampia, lasciando margini di interpretazione sull’ambito degli incidenti che fanno scattare l’obbligo di notifica.

A tal riguardo, per meglio delineare cosa debba essere considerato un incidente significativo, è essenziale fare riferimento agli atti di esecuzione adottati dalla Commissione Europea e dalle autorità nazionali. In particolare, un ruolo cruciale è svolto da:

  • il Regolamento di esecuzione sulle misure di cybersicurezza e sugli incidenti informatici significativi ai sensi della Direttiva NIS 2 adottato dalla Commissione Europea, che tuttavia risulta applicabile solo a determinate categorie (Fornitori di servizi cloud, Fornitori di servizi gestiti IT e di sicurezza, operatori di mercati online, fornitori di motori di ricerca online, piattaforme di social networking e fornitori di servizi fiduciari);
  • a livello nazionale, la Determinazione n. 164179 del 14 aprile 2025 emanata dall’Agenzia per la Cybersicurezza Nazionale (“ACN“), che stabilisce le specifiche di base delle misure da adottare per garantire la conformità al Decreto NIS 2, comprese quelle che definiscono quali incidenti significativi devono essere notificati.

Il Regolamento di esecuzione della Commissione Europea fornisce indicazioni dettagliate sulla definizione di incidente significativo per alcune entità critiche. In particolare, ai sensi dell’articolo 3, un incidente è considerato significativo se:

  • ha causato o è in grado di causare una perdita finanziaria superiore a 500.000 EUR o al 5% del fatturato annuo totale dell’esercizio precedente;
  • ha causato o è in grado di causare l’esfiltrazione di segreti commerciali;
  • ha causato o è in grado di causare la morte o gravi danni alla salute di una persona;
  • ha comportato un accesso non autorizzato a sistemi di rete e informativi, sospettato di essere doloso e in grado di causare gravi interruzioni operative;
  • consiste in incidenti ricorrenti (ossia, ipotesi in cui un incidente che non è significativo di per sé si è verificato almeno due volte nell’arco di sei mesi e gli incidenti condividono la stessa apparente causa o collettivamente soddisfano i criteri di impatto sul fatturato).

Inoltre, sono fornite ulteriori specificazioni riguardo a determinate categorie di entità. Ad esempio, un incidente per un servizio di cloud computing è considerato significativo se il servizio è completamente indisponibile per più di 30 minuti; un data center se è indisponibile per più di un’ora; e un mercato online se è completamente indisponibile per più del 5% dei suoi utenti nell’UE o per più di 1 milione di tali utenti, a seconda di quale sia il valore più basso.

Per quanto riguarda la Determinazione ACN, sono considerati significativi i seguenti incidenti:

  • l’entità NIS ha evidenza della perdita di riservatezza, verso l’esterno, di dati digitali che possiede o controlla, anche solo parzialmente (per entità sia importanti che essenziali);
  • l’entità NIS ha evidenza della perdita di integrità, con impatto esterno, di dati digitali che possiede o controlla, anche solo parzialmente (per entità sia importanti che essenziali);
  • l’entità NIS ha evidenza della violazione dei livelli di servizio attesi dei propri servizi e/o attività, sulla base dei livelli di servizio (SL) stabiliti (per entità sia importanti che essenziali)
  • l’entità NIS ha evidenza di accessi non autorizzati, o di accessi ottenuti attraverso l’abuso di privilegi concessi, a dati digitali che possiede o controlla, anche solo parzialmente (solo per entità essenziali).

Interpretazione estensiva da parte della Commissione Europea e ACN

In entrambi i casi, le interpretazioni adottate dalla Commissione Europea e dall’ACN riflettono un approccio estensivo. Infatti, la Commissione include esplicitamente nell’ambito degli incidenti significativi l’accesso non autorizzato, a condizione che tale accesso sia sospettato di essere doloso e in grado di causare gravi interruzioni operative. Analogamente, ACN identifica come significativo qualsiasi incidente che comporti una perdita confermata di riservatezza o integrità dei dati, indipendentemente dall’impatto effettivo o misurabile.

Di conseguenza, la definizione di “incidente significativo” diventa considerevolmente ampia. Leggendo in maniera estensiva il requisito “in grado di causare” previsto dal Decreto NIS 2, l’ambito non si limita agli eventi che producono danni tangibili e quantificabili, ma comprende anche situazioni in cui vi sia evidenza di accesso non autorizzato o perdita di dati che comporti soltanto un potenziale rischio di effetti avversi. In pratica, a meno che non si possa ragionevolmente dimostrare che l’evento sia chiaramente non doloso per natura – un’argomentazione complessa, dato che gli accessi non autorizzati e le violazioni dei dati si presumono generalmente provenire da attori ostili – e che il potenziale effetto negativo sarebbe minimo e non significativo, seguendo questa interpretazione rigorosa ci si aspetterebbe che le entità notifichino quasi ogni incidente che comporti accesso non autorizzato ai propri sistemi informativi e di rete o la compromissione della riservatezza o integrità dei dati (in particolare secondo ACN, che non fa riferimento all’impatto potenziale nella determinazione sopra menzionata).

Resta tuttavia fondamentale monitorare le future linee guida, nonché l’applicazione pratica del quadro NIS 2 una volta pienamente in vigore. Infatti, la formulazione del Decreto NIS 2 consente altresì un’interpretazione più restrittiva, limitando la notifica ai casi in cui il rischio di danno significativo sia concreto e non meramente potenziale o astratto. La chiave sarà vedere se le autorità – inclusa la stessa ACN – seguiranno questo approccio estensivo, che tratta anche i rischi potenziali come notificabili, o adotteranno un’interpretazione più restrittiva che richieda evidenze di una reale probabilità di danno, escludendo così dall’obbligo di notifica eventi con impatto minimo.

Misure da adottare

Per rispettare i rigorosi requisiti temporali stabiliti dalla normativa, è fondamentale disporre di un efficace quadro di cybersicurezza in grado di prevenire gli incidenti significativi e rilevarli tempestivamente adottando le necessarie contromisure. In particolare, è necessario implementare misure e procedure relative a:

  • monitoraggio continuo delle reti e dei servizi per rilevare eventi potenzialmente avversi attraverso strumenti tecnici progettati per identificare prontamente gli incidenti significativi;
  • utilizzo di sistemi di protezione degli endpoint che devono essere aggiornati, correttamente mantenuti e configurati per rilevare codice malevolo;
  • definizione e documentazione dei livelli di servizio attesi dei servizi;
  • monitoraggio di hardware, software di elaborazione, ambienti di Runtime e dati correlati per identificare eventi potenzialmente avversi;
  • identificazione delle persone con specifici ruoli e responsabilità relative al monitoraggio, alla rilevazione e alla gestione di specifici incidenti.

Conclusione

L’obbligo di notifica è destinato ad avere un impatto significativo sulle imprese soggette al Decreto NIS 2. Per rispettare le tempistiche stringenti e i requisiti di governance stabiliti dalla normativa, le organizzazioni devono agire fin d’ora per costruire capacità efficaci di monitoraggio e rilevazione degli incidenti, assicurandosi di essere pienamente pronte a gestire eventuali incidenti significativi entro gennaio 2026.

Autore: Federico Toscani

(Visited 33 times, 1 visits today)

Related Posts

Aggiornamento delle Categorie di Notifica degli Incidenti Cyber per i Soggetti del Perimetro di Sicurezza Nazionale Cibernetica

Il 1° agosto 2025 è stato pubblicato nella Gazzetta Ufficiale il DPCM n. 111 del 4 giugno 2025 (di seguito,...

Gli accordi di condivisione delle informazioni sulla sicurezza informatica

L’articolo 17 del Decreto Legislativo n. 138/2024 (il “Decreto NIS2“) stabilisce che le...

UNI/PdR 174:2025, (anche) un supporto ai soggetti NIS certificati ISO 27001

Il 30 aprile 2025 è stata pubblicata la Prassi di Riferimento UNI/PdR 174:2025, elaborata da UNI con la...

Close Search Window