CyberTotem
Tutti gli articoli
NIS2incident responsesicurezza operativa

Incident response per PMI: cosa fare nelle prime 72 ore dopo un attacco

La NIS2 impone tempi precisi per la notifica degli incidenti. Una guida pratica su come rispondere a un attacco informatico nelle prime ore, passo dopo passo.

Team CyberTotem

Un ransomware blocca i tuoi server un martedì mattina. O scopri che qualcuno ha avuto accesso ai dati dei clienti per settimane. O un dipendente ha cliccato su un link di phishing e le credenziali del sistema gestionale sono compromesse.

Come si reagisce? E soprattutto: cosa impone la NIS2?

I tempi di notifica NIS2

La Direttiva NIS2 (Art. 23) stabilisce obblighi precisi di notifica in caso di incidenti significativi. Il D.Lgs. 138/2024 li ha recepiti con scadenze rigide calcolate dal momento in cui l'organizzazione è venuta a conoscenza dell'incidente:

| Scadenza | Obbligo | |---|---| | 24 ore | Preallarme all'ACN (Agenzia per la Cybersicurezza Nazionale) | | 72 ore | Notifica completa all'ACN con valutazione iniziale dell'incidente | | 1 mese | Relazione finale con analisi delle cause, impatto e misure adottate |

Cos'è un "incidente significativo"? La direttiva lo definisce come un incidente che causa o può causare una grave perturbazione operativa o perdite finanziarie per il soggetto, oppure che ha interessato o può interessare altre persone causando danni considerevoli.

Non ogni anomalia è un incidente significativo da notificare. Ma in caso di dubbio, è meglio notificare: omettere una notifica obbligatoria è più rischioso di inviarne una non necessaria.

Le prime 24 ore: contenimento e preallarme

Le prime ore sono le più critiche. L'obiettivo non è ancora capire cosa è successo nel dettaglio: è fermare il danno che si sta espandendo.

Passo 1: Isola i sistemi compromessi

Se hai ragionevole certezza che un sistema è compromesso (ransomware attivo, accesso non autorizzato in corso), isolalo dalla rete immediatamente. Stacca il cavo di rete o disconnetti il Wi-Fi. Non spegnere il sistema se puoi evitarlo: la memoria volatile contiene tracce forensi preziose.

Passo 2: Raccogli i log disponibili

Prima che qualcuno "ripulisca" qualcosa nel panico, assicurati di avere:

  • Log del firewall e del sistema compromesso
  • Log di accesso alle applicazioni
  • Screenshot dello stato attuale degli schermi
  • Orario esatto in cui è stato rilevato il problema

Questi dati servono per l'analisi forense e per la notifica all'ACN.

Passo 3: Avvisa il team interno

Notifica immediatamente il responsabile IT, il management e chi nella tua organizzazione ha ruoli definiti nel piano di risposta agli incidenti. Se non hai un piano formale, inizia con: chi decide, chi comunica all'esterno, chi gestisce la parte tecnica.

Passo 4: Invia il preallarme all'ACN

Entro 24 ore dalla conoscenza dell'incidente, invia un preallarme all'ACN tramite la piattaforma dedicata. Il preallarme non richiede un'analisi completa — bastano le informazioni di cui disponi in quel momento: data/ora di rilevamento, tipo di incidente (se noto), sistemi interessati, impatto stimato.

Le prime 72 ore: notifica completa

Entro 72 ore devi inviare all'ACN una notifica più dettagliata. Questa deve includere:

  • Classificazione dell'incidente (se determinata)
  • Indicazione sull'impatto (quanti sistemi, quanti utenti, quali dati)
  • Misure di contenimento adottate
  • Se sospetti un attacco deliberato, indicarlo
  • Se hai coinvolto fornitori terzi o autorità, segnalarlo

La notifica all'ACN non comporta automaticamente sanzioni. Le sanzioni arrivano se l'organizzazione non rispetta gli obblighi di sicurezza sistematicamente, non da una singola notifica.

Il mese successivo: analisi e relazione finale

Entro un mese dall'incidente, devi inviare all'ACN una relazione finale che comprenda:

  • Analisi delle cause (root cause analysis)
  • Descrizione dell'impatto effettivo
  • Misure adottate per il contenimento e il ripristino
  • Misure preventive implementate o pianificate per evitare recidive
  • Eventuali lezioni apprese

Questa documentazione serve anche internamente: è la base per migliorare le procedure di sicurezza.

Come prepararsi prima che succeda

La risposta efficace a un incidente non si improvvisa durante l'incidente. Si prepara prima.

Strumenti minimi per una PMI:

  1. Piano di risposta agli incidenti (IRP) — anche semplice. Chi chiama chi, in quale ordine. Numeri di emergenza del fornitore IT, contatti ACN, avvocato se c'è trattamento dati GDPR coinvolto.

  2. Backup verificati e isolati — un backup non testato non è un backup. E un backup connesso alla rete può essere cifrato dal ransomware insieme ai dati originali.

  3. Lista dei sistemi critici — sapere quali sistemi, se compromessi, causano il blocco operativo. Quelli vanno ripristinati per primi.

  4. Accesso alla piattaforma ACN — registrati prima dell'incidente. Non durante.

  5. Formazione del personale — i dipendenti devono sapere a chi segnalare un'anomalia sospetta. Un'email strana, un file che non si apre, una password che non funziona più: ognuno di questi può essere l'early warning di un attacco.

La formazione NIS2 copre anche la gestione degli incidenti

Il modulo sulla gestione degli incidenti fa parte del percorso CyberTotem sia per i dipendenti che per il management. I dipendenti imparano cosa segnalare e come. Il management impara cosa decidere e in quali tempi.

Perché la notifica all'ACN entro 24 ore la fa un'organizzazione che sa già cosa fare — non una che lo scopre quel giorno.

Hai già un piano di risposta agli incidenti? Fai il check NIS2 gratuito per valutare il tuo livello nella gestione degli incidenti.

CyberTotem

Porta la formazione cybersecurity in azienda.

10 minuti al mese per dipendente. 12 moduli l'anno. Attestati automatici.

Richiedi una demo