Come redigere la procedura di gestione degli incidenti NIS2

Con il D.Lgs. 18/2024, che recepisce la Direttiva NIS2, strutture sanitarie e aziende del settore life sciences sono entrate a pieno titolo nel perimetro dei soggetti essenziali o importanti in materia di cybersicurezza. Tra gli obblighi più rilevanti figura la predisposizione di una procedura strutturata per la gestione degli incidenti informatici. Vediamo come redigerla correttamente.

Perché è indispensabile

Una procedura scritta non è solo un adempimento formale. Sul piano operativo, garantisce che in caso di attacco o violazione l'organizzazione sappia esattamente cosa fare, chi coinvolgere e in quanto tempo. Sul piano legale, costituisce una prova concreta dell'adozione delle misure richieste dalla norma per evitare le sanzioni che, per i soggetti essenziali, possono arrivare fino al 2% del fatturato annuo mondiale, con possibile responsabilità personale degli organi di gestione.

Cosa deve contenere

1. Ambito e definizioni.La procedura deve indicare quali sistemi sono coperti dalla stessa e a chi è rivolta. Va inoltre definito cosa si intende per "incidente" e, soprattutto, cosa costituisce un incidente significativoche fa scattare gli obblighi di notifica.
2. Classificazione degli incidenti.Non tutti gli eventi hanno lo stesso peso. È necessaria una scala di gravità che guidi le decisioni operative. Per le strutture sanitarie, un criterio centrale è l'impatto sulla continuità delle cure: ad esempio, un ransomware che blocca il pronto soccorso ha una dimensione di rischio estremamente elevato per la vita umana.
3. Ruoli e responsabilità.Devono essere chiaramente inclusi nella procedura:

• gli organi di Amministrazione e Direttivi (Direzione/CdA) in quanto ai sensi dell’articolo 20 della Direttiva NIS2 e 14 del D.Lgs. 138/2024 devono approvare le misure di gestione dei rischi di cybersicurezza e sovrintenderne l'attuazione;
• il Referente CSIRT per la gestione delle comunicazioni con lo CSIRT Italia (Computer Security Incident Response Team);
• il Punto di Contatto NIS2 come figura che gestisce l'interlocuzione amministrativa e legale con l'Agenzia per la Cybersicurezza Nazionale (ACN) durante e dopo la crisi;
• il DPO, se nominato, per coordinare la notifica al Garante Privacy – che ha tempi (72h) e modalità differenti da quelli verso l'ACN – nel caso molto frequente in cui l’incidente NIS2 comporti una violazione di dati (data breach).

A seconda della realtà organizzativa la procedura può poi includere altre figure come ad esempio il CISO/Responsabile IT, l’Incident Response Team e l’Ufficio Legale/Compliance.

4. Le fasi operative.Il cuore della procedura descrive il processo di risposta: rilevazione e segnalazione interna, valutazione, contenimento e mitigazione, ripristino e analisi post-incidente. Ogni fase deve avere tempi, responsabili e output definiti.
5. Gli obblighi di notifica. La NIS2 prevede un sistema a tre livelli per la comunicazione degli incidenti significativi all’Autorità (pre-allarme entro 24 ore, notifica entro 72 ore e relazione finale entro 1 mese). La procedura deve coordinare questi adempimenti con quelli paralleli: la notifica al Garante Privacy(art. 33 GDPR, entro 72 ore) e, per i fabbricanti di dispositivi medici, le eventuali comunicazioni previste dal Regolamento MDR (articolo 87).
6. Comunicazione esterna.Vanno individuati adeguatamente i ruoli anche per la effettuazione delle comunicazioni ai pazienti o clienti destinatari dei servizi impattati dagli incidenti e delle comunicazioni pubbliche, da gestire con particolare cautela per evitare danni reputazionali.

Gli errori da evitare

Nella redazione delle procedure emergono alcune criticità ricorrenti. La prima è adottare procedure generiche e non calate nella propria realtà organizzativa: va sottolineato che un modello standard non basta. La seconda è non testare mai la procedura: senza esercitazioni pratiche, il documento rimarrà inutilizzato nel momento del bisogno. La terza è trattare cybersecurity e protezione dei dati come compartimenti separati: i Responsabili IT/CISO e i DPO/Referenti Privacy devono lavorare in modo coordinato.

Una efficace procedura di gestione degli incidenti NIS2 è uno strumento operativo e giuridico che, se ben redatto e applicato, protegge l'organizzazione sia sul piano tecnico – consentendo una gestione tempestiva dell’incidente che può tradursi in un suo contenimento – che su quello della responsabilità legale.