La tua organizzazione rileva un'attività di rete insolita. Il tuo team IT indaga e trova un accesso non autorizzato ai dati dei clienti. Stai cercando di contenere la minaccia. Ora arriva la domanda urgente: devi segnalarlo alle autorità? Chi esattamente? Quali informazioni fornisci? Quanto tempo hai a disposizione?
Ai sensi del NIS2 e della legge olandese, molte organizzazioni sono tenute a segnalare gli incidenti di sicurezza informatica alle autorità governative entro scadenze rigorose. In genere, il tempo a disposizione è compreso tra 24 e 72 ore dal rilevamento. Le normative specificano l'autorità a cui inviare la segnalazione, le informazioni da fornire e i requisiti di formato. Se non si rispettano i termini o si segnala all'organismo sbagliato, si rischiano multe consistenti, azioni esecutive e responsabilità legali che possono estendersi oltre l'incidente iniziale.
Questa guida ti mostra esattamente come adempiere ai tuoi obblighi di segnalazione. Imparerai quali leggi si applicano alla tua organizzazione, quando un incidente richiede una segnalazione, quali autorità avvisare in ogni fase, quali informazioni sono necessarie per ogni segnalazione e come creare procedure che funzionino davvero. Eviteremo il gergo legale e ci concentreremo sulle misure pratiche che puoi adottare fin da subito per rimanere conforme e proteggere la tua organizzazione.
Quali sono i tuoi doveri in materia di segnalazione degli incidenti di sicurezza informatica
Gli obblighi di segnalazione degli incidenti di sicurezza informatica dipendono dalle dimensioni della tua organizzazione, dal settore e dai servizi che offri. Entità essenziali (energia, trasporti, banche, sanità, infrastrutture critiche) e entità importanti (servizi postali, gestione dei rifiuti, fornitori di servizi digitali, produzione alimentare) sono soggetti all'obbligo di segnalazione ai sensi del NIS2. Se gestisci infrastrutture critiche o servizi digitali per i consumatori olandesi, quasi certamente rientri in queste norme.
Le tre fasi di reporting che devi completare
Tu affronti tre distinti obblighi di segnalazione con scadenze diverse. Il tuo primo dovere inizia entro 24 ore di rilevamento Incidente significativo: si invia un avviso preventivo al CSIRT (Computer Security Incident Response Team) o all'autorità competente. Questa notifica iniziale segnala l'incidente e indica se si sospetta un'attività dannosa o un impatto transfrontaliero.
Nel quadro di 72 ore, invii la tua notifica di incidente. Questo rapporto include la tua valutazione iniziale della gravità, dell'impatto, dei sistemi interessati e degli indicatori di compromissione disponibili. Fornisci dettagli tecnici che aiutano le autorità a comprendere la portata e la natura della violazione.
Le organizzazioni che non rispettano queste scadenze rischiano multe fino a 10 milioni di euro o il 2% del fatturato annuo globale ai sensi del NIS2, a seconda di quale sia l'importo più elevato.
Arriva il tuo rapporto finale entro un mese della notifica dell'incidente. Questo documento completo descrive in dettaglio la portata completa dell'incidente, l'analisi delle cause profonde, le misure di mitigazione implementate e gli effetti transfrontalieri. Se l'incidente è ancora in fase di gestione alla scadenza del mese, è necessario inviare un rapporto sullo stato di avanzamento e successivamente un rapporto finale entro un mese dalla risoluzione.
Ulteriori compiti oltre alla segnalazione iniziale
Devi anche informare le parti interessate quando un incidente significativo ha un impatto sui destinatari del servizio. Questa notifica avviene senza indebito ritardo e include misure pratiche che i destinatari possono adottare per proteggersi. Per fornitori di servizi fiduciari in particolare, la finestra di 72 ore si riduce a 24 ore per gli incidenti che interessano i servizi fiduciari.
Il CSIRT o l'autorità competente risponde entro 24 ore dalla ricezione dell'allerta precoce, fornendo un feedback iniziale e indicazioni operative sulle misure di mitigazione.
Fase 1. Identifica quali leggi dell'UE e olandesi si applicano a te
Devi determinare quale quadri normativi gestire gli obblighi di segnalazione degli incidenti di sicurezza informatica prima che si verifichi un incidente. NIS2 (la direttiva sulla sicurezza delle reti e dell'informazione) si applica ampiamente nei Paesi Bassi, ma DORA (Legge sulla resilienza operativa digitale) e norme di attuazione specifiche olandesi Creare obblighi aggiuntivi per determinati settori. Inizia valutando la tua organizzazione in base ai criteri di ciascun framework.
Verifica se NIS2 si applica alla tua organizzazione
NIS2 si applica se ti qualifichi come entità essenziale or entità importanteTra le entità essenziali rientrano organizzazioni nei settori dell'energia, dei trasporti, del settore bancario, delle infrastrutture dei mercati finanziari, della sanità, dell'acqua potabile, delle acque reflue, delle infrastrutture digitali, della pubblica amministrazione e dello spazio. Tra le entità importanti rientrano i servizi postali, la gestione dei rifiuti, i prodotti chimici, la produzione alimentare, la manifattura, i fornitori digitali e le organizzazioni di ricerca.
Le dimensioni della tua organizzazione contano solo per fornitori di servizi digitali (DSP). Rientri nella categoria NIS2 come DSP se gestisci un mercato online, un servizio cloud o un motore di ricerca con almeno 50 dipendenti e nemmeno 10 milioni di euro di fatturato annuo or 10 milioni di euro di attività totaliTutte le altre entità essenziali e importanti hanno degli obblighi, indipendentemente dalle loro dimensioni.
Se gestisci un'infrastruttura critica o sei stato precedentemente designato ai sensi della vecchia direttiva NIS (Wbni), hai automaticamente diritto alla NIS2.
Il governo olandese tiene un registro delle entità designate. Verifica con l'autorità competente del tuo settore (segnalazione per l'energia e le infrastrutture digitali a RDI; servizi finanziari ad AFM e DNB; assistenza sanitaria a IGJ) per confermare il tuo status. Dovresti verificarlo. prima di gennaio 2026 quando inizia l'applicazione rafforzata.
Determina se DORA copre i tuoi servizi finanziari
DORA si applica separatamente a istituzioni finanziarie and Fornitori di servizi ICT al loro servizio. Rientri nel DORA se operi come istituto di credito, fornitore di servizi di pagamento, compagnia assicurativa, società di investimento, fornitore di servizi di cripto-attività o istituto di moneta elettronica. Questa regolamentazione è parallela al NIS2 con una propria requisiti di segnalazione.
I fornitori di servizi finanziari segnalano incidenti significativi a entrambi AFM (tramite il portale AFM) e DNB (tramite My DNB) oltre a RDI. È inoltre necessario registrare tutti accordi contrattuali con Terze parti ICT per funzioni critiche o importanti attraverso questi portali entro tempi specificati.
Valuta gli obblighi del tuo fornitore di servizi digitali
Il Wbni (Implementazione olandese) crea doveri specifici se si forniscono mercati online, cloud computing o motori di ricerca. Segnala gli incidenti a entrambi RDI and CSIRT-DSP (il team specializzato nella risposta agli incidenti per i fornitori digitali). A differenza delle entità essenziali in altri settori, si devono rispettare soglie dimensionali: oltre 50 dipendenti e fatturato o asset superiori a 10 milioni di euro.
I fornitori di servizi fiduciari devono affrontare scadenze accelerate ai sensi del regolamento eIDAS. È necessario segnalare incidenti significativi che interessano i servizi fiduciari all'interno 24 ore invece della finestra standard di 72 ore che si applica ad altre entità.
Fase 2. Definire quando un incidente è segnalabile
Sono necessari criteri concreti per determinare se un incidente supera la soglia di segnalazione. La legge definisce incidenti significativi come quelli che causano gravi interruzioni operative, perdite finanziarie o danni considerevoli ad altri. I tuoi obblighi di segnalazione degli incidenti di sicurezza informatica iniziano quando rilevi un incidente che soddisfa questi criteri, non quando hai terminato le indagini. Ciò significa che devi prendere decisioni di segnalazione rapidamente, spesso con informazioni incomplete.
Valuta la soglia di gravità per la tua organizzazione
Un incidente è considerato significativo quando interrompe i tuoi servizi principali o crea impatto finanziario sostanzialeNIS2 prevede due categorie principali: incidenti che interrompono gravemente le operazioni o causano perdite finanziarie, e incidenti che colpiscono altre parti causando danni materiali o immateriali considerevoli. È necessario segnalare quando si applica una delle due categorie.
L'interruzione operativa comporta l'impossibilità di fornire servizi ai clienti, il malfunzionamento di sistemi critici o la perdita dell'accesso a dati essenziali. Le perdite finanziarie includono costi diretti come pagamenti di riscatto, spese di recupero, mancati ricavi o sanzioni amministrative. La legge non specifica soglie esatte in euro, quindi la valutazione va effettuata in base alle dimensioni dell'organizzazione e all'impatto relativo dell'incidente.
Documentate le vostre soglie interne prima che si verifichi un incidente. Questo crea coerenza nelle decisioni di segnalazione e dimostra la vostra buona fede nel caso in cui le autorità mettano in dubbio il vostro giudizio.
Quando si valuta la significatività, si considerino questi indicatori:
- Disponibilità del servizio: I clienti possono accedere ai vostri servizi? Da quanto tempo i sistemi sono inattivi?
- Integrità dei dati: Si è verificato un accesso non autorizzato? Quali categorie di dati sono state interessate?
- Ambito geografico: L'incidente interessa più località o paesi?
- Impatto sul cliente: Quanti utenti o destinatari subiscono interruzioni del servizio?
- I tempi di recupero: Prevedi una risoluzione entro poche ore, giorni o settimane?
Valutare gli effetti transfrontalieri e a cascata
È necessario segnalare gli incidenti con potenziale impatto transfrontaliero anche quando gli effetti nazionali sembrano minori. Un incidente che colpisce le tue attività olandesi potrebbe avere ripercussioni su clienti, partner o catene di fornitura in altri Stati membri dell'UE. Ciò comporta obblighi di segnalazione poiché le autorità coordinano le risposte a livello transfrontaliero.
Effetti a cascata contano allo stesso modo. Il tuo incidente diventa segnalabile quando interrompe i servizi che fornisci ad altre entità essenziali o importanti, indipendentemente dall'impatto diretto sugli utenti finali. Ad esempio, se fornisci servizi cloud a un ospedale e la tua violazione della sicurezza colpisce i sistemi dei pazienti, la segnalazione si basa sul loro impatto operativo, non solo sulle tue perdite.
I fornitori di servizi fiduciari devono affrontare soglie più severeQualsiasi incidente che incida sulla fornitura di servizi fiduciari (firme digitali, certificati, marche temporali) richiede una segnalazione immediata entro 24 ore. Non è necessario attendere per valutare se l'impatto soddisfa i criteri di rilevanza generale.
Fase 3. Crea le tue procedure di segnalazione degli incidenti
Hai bisogno di procedure documentate che specifichino esattamente chi fa cosa, quando e come durante un incidente. Il tuo piano di risposta agli incidenti Deve includere flussi di lavoro di reporting chiari che si attivano automaticamente quando il team rileva un incidente significativo. Queste procedure traducono i doveri di segnalazione degli incidenti di sicurezza informatica da requisiti legali astratti in azioni concrete che il personale può eseguire sotto pressione.
Costruisci la tua matrice di classificazione degli incidenti
La tua matrice di classificazione ti aiuta soccorritori in caso di incidenti Determina gli obblighi di segnalazione entro pochi minuti dal rilevamento. Crea una tabella che associa i tipi di incidente e i livelli di gravità agli obblighi di segnalazione, alle scadenze e alle autorità destinatarie. In questo modo, elimini le congetture e garantisci decisioni coerenti in tutta l'organizzazione.
| Tipo di incidente | Gravità | Segnala a | Scadenza iniziale | Notifica dell'incidente |
|---|---|---|---|---|
| Accesso non autorizzato ai dati dei clienti | Alto | RDI + CSIRT | 24 ore | 72 ore |
| Ransomware che colpisce i sistemi principali | critico | RDI + CSIRT + NCSC | 24 ore | 72 ore |
| DDoS interrompe i servizi pubblici | Alto | RDI + CSIRT | 24 ore | 72 ore |
| Compromissione del servizio fiduciario (se applicabile) | critico | RDI + CSIRT | 24 ore | 24 ore |
| Incidente di servizi finanziari (DORA) | Alto | RDI + AFM + DNB | 24 ore | 72 ore |
Aggiorna questa matrice ogni volta che le normative cambiano oppure la tua organizzazione aggiunge nuovi servizi. Testalo trimestralmente utilizzando scenari realistici per identificare lacune o punti di confusione.
Progetta il tuo flusso di lavoro di notifica
Il tuo flusso di lavoro deve specificare il sequenza esatta delle azioni, dal rilevamento degli incidenti alla segnalazione finale. Documentare chi avvia la segnalazione, chi esamina e approva le notifiche, chi le invia e chi mantiene i contatti con le autorità. Assegnare personale di riserva a ciascun ruolo per coprire le assenze.
Il tuo flusso di lavoro dovrebbe presupporre che gli incidenti si verifichino al di fuori dell'orario di lavoro, quando il management potrebbe non essere immediatamente disponibile. Integra meccanismi di approvazione che prevengano i ritardi.
Creare un formato della checklist la tua squadra segue:
- Incidente rilevato: il responsabile del team di sicurezza valuta in base alla matrice di classificazione entro 2 ore
- Incidente segnalabile confermato: il CISO è stato avvisato immediatamente e inizia la preparazione per l'allerta precoce
- Allerta precoce redatta: includere il tipo di incidente, il momento del rilevamento, la causa sospetta, il potenziale impatto transfrontaliero
- Revisione legale: il consulente legale esamina la bozza entro 4 ore per verificarne l'accuratezza e la completezza
- Invio: il CISO o il delegato invia tramite il portale ufficiale entro la scadenza di 24 ore
- Risposta dell'autorità: il team di sicurezza implementa le linee guida ricevute entro 24 ore
- Notifica dell'incidente: il team tecnico prepara una valutazione dettagliata entro 60 ore
- Presentazione finale: documentazione completa inviata entro la scadenza di 72 ore
Preparare modelli di report per ogni fase
I modelli assicurano il tuo i report contengono tutte le informazioni richieste Riducendo i tempi di preparazione. Crea modelli separati per l'allerta precoce, la notifica dell'incidente e il rapporto finale, che includano tutti i campi obbligatori specificati da NIS2 e dalle autorità olandesi.
Il modello di allerta precoce deve contenere: timestamp di rilevamento, categoria dell'incidente, riepilogo dei sistemi interessati, indicatore di sospetta attività dannosa (sì/no), indicatore di impatto transfrontaliero (sì/no), informazioni di contatto principali. La notifica dell'incidente include: valutazione della gravità, ambito dell'impatto, numero di utenti interessati, indicatori di compromissione, misure di mitigazione iniziali adottate. I report finali includono: cronologia completa dell'incidente, analisi delle cause principali, valutazione completa dell'impatto, misure di sicurezza implementate, lezioni apprese, raccomandazioni preventive.
Salva questi modelli come moduli compilabili Il tuo team può accedervi immediatamente. Salvali nella tua piattaforma di risposta agli incidenti, nella wiki di sicurezza e nei backup offline per garantirne la disponibilità durante le interruzioni del sistema.
Fase 4. Incorporare la reportistica nella formazione e nella governance
procedure di segnalazione fallire se il personale non comprende i propri ruoli o se le strutture di governance non supportano un rapido processo decisionale. Hai bisogno formazione sistematica and supervisione a livello di consiglio di amministrazione Per garantire che la vostra organizzazione svolga correttamente i propri obblighi di segnalazione degli incidenti di sicurezza informatica ogni volta. Ciò significa integrare gli obblighi di segnalazione nei programmi di formazione sulla sicurezza esistenti e creare una chiara responsabilità a livello di governance.
Formare tutto il personale sul rilevamento e l'escalation
Devi allenarti tutti gli impiegati per riconoscere potenziali incidenti di sicurezza e sapere esattamente come segnalarli. Il personale tecnico necessita di una formazione dettagliata sulla matrice di classificazione e sui flussi di lavoro di reporting, ma i dipendenti non tecnici necessitano di una guida più semplice, incentrata sull'individuazione di attività insolite e sul contatto immediato con le persone giuste.
Correre esercizi trimestrali da tavolo che simulano incidenti realistici che richiedono una segnalazione. Guida il tuo team di risposta agli incidenti attraverso l'intero processo, dal rilevamento all'invio del rapporto finale. Utilizza questi esercizi per identificare lacune procedurali, testare i tuoi modelli e verificare che il personale di riserva comprenda i propri ruoli. Documenta le lezioni apprese dopo ogni esercizio e aggiorna le tue procedure di conseguenza.
La formazione sulla sicurezza per il personale generale dovrebbe comprendere i seguenti elementi essenziali di segnalazione:
- Cosa costituisce un potenziale incidente di sicurezza (e-mail insolite, tentativi di accesso non autorizzati, dati mancanti)
- Chi contattare immediatamente (fornire i recapiti del team di sicurezza 24 ore su 24, 7 giorni su 7)
- Cosa non fare (non cercare di indagare su te stesso, non cancellare le prove, non aspettare fino a lunedì)
- Perché la velocità è importante (le scadenze normative iniziano quando gli incidenti vengono rilevati, non segnalati)
Formare il personale affinché il rilevamento e la segnalazione immediata di attività sospette proteggano sia l'organizzazione che loro stessi da responsabilità, non soddisfa solo i requisiti di conformità.
Integrare la rendicontazione nella governance esistente
Il tuo consiglio di amministrazione e la tua dirigenza esecutiva hanno bisogno aggiornamenti regolari sulle capacità di segnalazione degli incidenti e sugli incidenti effettivi. Pianificare revisioni trimestrali della governance che coprano le procedure di segnalazione, gli incidenti verificatisi, le risposte ricevute dalle autorità e i miglioramenti procedurali implementati. Ciò crea responsabilità e garantisce che la leadership comprenda gli obblighi di segnalazione.
Assegna a esecutivo specifico Responsabilità della conformità alla segnalazione degli incidenti. Questa persona (in genere il CISO o il Chief Risk Officer) riferisce direttamente al consiglio di amministrazione in merito alla preparazione, mantiene i rapporti con le autorità competenti e gestisce il budget per gli strumenti di segnalazione e la formazione. Una chiara responsabilità previene la confusione durante gli incidenti effettivi, quando le decisioni devono essere prese rapidamente.
Includere metriche di reporting Nelle dashboard di sicurezza: tempo trascorso dal rilevamento all'invio dell'allerta precoce, percentuale di incidenti che rispettano i requisiti di scadenza, tempi di risposta delle autorità e azioni correttive completate. Monitora questi dati mensilmente per identificare tendenze e opportunità di miglioramento.
Andando avanti
Ora disponi di un quadro completo per adempiere agli obblighi di segnalazione degli incidenti di sicurezza informatica previsti dal NIS2 e dalla legge olandese. Sai quali normative si applicano alla tua organizzazione, quando gli incidenti superano la soglia di segnalazione, quali autorità ricevono le notifiche, quali informazioni deve contenere ogni segnalazione e come creare procedure efficaci sotto pressione. Il tuo prossimo passo è: immediata attuazione.
Inizia esaminando il tuo attuale piano di risposta agli incidenti rispetto ai requisiti descritti qui. Aggiorna il tuo matrice di classificazione, prepara il tuo modelli di rapportoe forma il tuo team di risposta agli incidenti sui nuovi flussi di lavoro. Pianifica la tua prima esercitazione pratica entro i prossimi 30 giorni per testare le procedure prima che si verifichi un incidente reale. Documenta tutto ciò che crei in modo che il tuo team possa accedervi immediatamente quando necessario.
La conformità legale nella sicurezza informatica richiede entrambi competenza tecnica and conoscenza giuridicaSe hai bisogno di assistenza per interpretare come queste normative si applicano alla tua situazione specifica, contatta Law & More per una consulenza specializzata. Il loro team aiuta le organizzazioni olandesi a districarsi tra i complessi requisiti di conformità alla sicurezza informatica e a creare quadri di risposta agli incidenti che proteggano sia le vostre operazioni che la vostra posizione legale.
