Gli incidenti informatici tra cybersecurity e privacy

di Marco Soffientini - Avvocato, Esperto di Privacy e Diritto delle Nuove Tecnologie, docente universitario e docente Ethos Academy

A gennaio 2026 è entrato in vigore l’obbligo di notificare al CSIRT Italia gli incidenti significativi secondo la normativa NIS2. In generale si tratta di un adempimento al quale devono provvedere tutti i soggetti che hanno ricevuto la comunicazione di inserimento nell’elenco nazionale dei soggetti NIS entro nove mesi dal loro inserimento. 

La normativa individua gli incidenti da notificare identificandoli con un codice identificativo e una descrizione. Nel complesso sono state definite 3 tipologie di incidenti significativi per i soggetti importanti e 4 tipologie di incidenti significativi per i soggetti essenziali. Essi, ai sensi della determina ACN n.164179 del 14 aprile 2025 (Allegati 3 e 4), si configurano:

a) per i “soggetti essenziali”, quando il soggetto NIS ha evidenza

• della perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale;

• della perdita di integrità, con impatto verso l’esterno, di dati di sua proprietà o sui quali esercita il controllo, anche parziale;

• della violazione dei livelli di servizio attesi dei suoi servizi e/o delle sue attività, sulla base dei livelli di servizio atteso (SL) definiti ai sensi della misura DE.CM-01;

• anche sulla base dei parametri quali-quantitativi definiti ai sensi della misura DE.CM-01, dell’accesso, non autorizzato o con abuso dei privilegi concessi, a dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale.

b) per i “soggetti importanti”, quando il soggetto NIS ha evidenza

• della perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale;

• della perdita di integrità, con impatto verso l’esterno, di dati di sua proprietà o sui quali esercita il controllo, anche parziale.

• della violazione dei livelli di servizio attesi dei suoi servizi e/o delle sue attività, sulla base dei livelli di servizio atteso (SL) stabiliti ai sensi della misura DE.CM-01.

Tutti gli incidenti significativi sono strutturati da un codice identificativo e dalla descrizione di ciascuna tipologia di incidente.

Obbligo di notifica degli incidenti 

Ai fini dell’adempimento dell’obbligo di notifica degli incidenti, ciò che rileva è che il soggetto abbia evidenza del verificarsi di una delle tipologie di incidente previste, ossia ne sia venuto a conoscenza. Come si evince dalle Linee Guida ACN “Linee Guida NIS – Specifiche di base”, l’evidenza di un incidente viene generalmente acquisita tramite: 

• analisi di segnalazioni fatte da attori esterni al soggetto, come ad esempio quelle effettuate dal CSIRT Italia; 

• analisi di segnalazioni fatte da attori interni al soggetto, come ad esempio quelle di un utente che riporta un malfunzionamento al servizio di help desk; 

• analisi degli eventi di sicurezza rilevati dai sistemi di monitoraggio. 

Quando è data breach

Un incidente significativo può comportare anche un data breach ai sensi della normativa sulla protezione dei dati personali. Da qui la necessità di strutturarsi con procedure semplici, ma soprattutto complete ed esaustive, alla luce dell’attuale quadro normativo. Come evidenziato dal Presidente dell’Autorità Garante nel suo intervento di Ottobre 2025 (convegno con ACN a tema “Protezione dati e cybersicurezza: una sinergia per il futuro”), il legislatore europeo ha tracciato un’importante simmetria tra protezione dati e sicurezza cibernetica - particolarmente evidente in alcuni istituti che accomunano il Regolamento UE 679/2016, la direttiva NIS1, NIS2, fino al Cybersecurity Act (2019/881). La stessa idea - promossa dal Regolamento generale sulla protezione dei dati - della garanzia by design (da realizzarsi cioè sin dalla progettazione dei dispositivi e dei sistemi) non è affatto estranea alla “filosofia” delle due direttive NIS e, poi, al Cyber Resilience Act. Ricordiamo che ACN è tenuta a notiziare il Garante, qualora ravvisi gli estremi di un data breach in sede di accertamento della violazione degli obblighi in materia di gestione dei rischi per la sicurezza informatica. Da ultimo, la normativa NIS2 prevede in capo ad ACN, un obbligo di astensione dall’irrogazione di sanzioni quando, per la medesima condotta, il Garante abbia già esercitato i suoi poteri sanzionatori.