Nuove Linee Guida NIS: definizione del processo di gestione degli incidenti di sicurezza informatica

L’Agenzia per la Cybersicurezza Nazionale (ACN), in data 31 dicembre 2025, ha pubblicato nuove Linee Guida recanti indicazioni operative sul processo di gestione degli incidenti di sicurezza informatica. La capacità delle organizzazioni di gestire gli incidenti in modo efficace rappresenta, infatti, un elemento fondamentale per la  resilienza e la continuità delle attività e dei servizi.
Le Linee Guida dell’ACN delineano un modello strutturato di gestione degli incidenti, articolato in quattro fasi principali: preparazione, rilevamento, risposta e ripristino.
Tali fasi sono accomunate da un approccio trasversale orientato al miglioramento continuo del processo di gestione degli incidenti.
L’articolazione delle diverse fasi deve essere formalizzata e documentata nel c.d. piano per la gestione degli incidenti, il quale deve contenere almeno:

1. la descrizione delle fasi e delle procedure di gestione e notifica degli incidenti, con l’indicazione dei relativi ruoli e responsabilità;
2. le procedure per la predisposizione e la trasmissione delle relazioni sugli incidenti — intermedie, mensili e finali — di cui all’articolo 25, comma 5, lettere c), d) ed e), del decreto NIS;
3. le informazioni di contatto per la segnalazione degli incidenti;
4. le modalità di comunicazione interna, inclusa quella verso gli organi di amministrazione e direzione, nonché di comunicazione esterna; e
5. la reportistica da utilizzare per la documentazione dell’incidente.

Fase di preparazione 
La fase di preparazione comprende l’insieme delle attività propedeutiche finalizzate a garantire una gestione strutturata, coerente ed efficace degli incidenti di sicurezza informatica.
La fase di preparazione si articola in tre sotto-fasi:

• Governo, che riguarda la definizione dell’assetto strategico e organizzativo per la gestione degli incidenti, l’elaborazione del piano di gestione degli incidenti e l’attribuzione dei ruoli, delle responsabilità per le varie attività del processo di gestione degli incidenti;
• Identificazione, volta all’acquisizione di una conoscenza approfondita del contesto operativo, necessaria per pianificare una risposta efficace agli incidenti. Le attività includono, in particolare, l’inventario dei sistemi informativi e di rete, nonché l’individuazione delle principali minacce e vulnerabilità;
• Protezione, che consiste nella definizione e nell’adozione di misure di sicurezza volte a ridurre la probabilità di accadimento degli incidenti e a limitarne le conseguenze. Tali misure possono essere distinte in misure di natura tecnologica e misure di natura organizzativa.

Le prime comprendono, a titolo esemplificativo, la raccolta e l’analisi dei log per il monitoraggio degli eventi di sicurezza, la pianificazione dei backup di dati e configurazioni, l’implementazione di strumenti per il controllo degli accessi e la predisposizione di canali di comunicazione alternativi in caso di indisponibilità di quelli principali.
Le seconde includono l’elaborazione di procedure operative a supporto del processo di gestione degli incidenti, nonché attività di formazione e sensibilizzazione del personale in materia di sicurezza informatica, accompagnate da esercitazioni periodiche.
 
Fase di rilevamento
La fase di rilevamento è finalizzata all’individuazione e all’analisi degli eventi rilevanti ai fini della sicurezza informatica, con l’obiettivo di identificare tempestivamente il verificarsi di un incidente e di limitarne l’impatto e l’estensione sull’operatività dell’organizzazione.
 
Rientrano tra gli eventi rilevanti per la sicurezza informatica, a titolo esemplificativo:

• tentativi di autenticazione ripetuti su più utenze di dominio provenienti dai medesimi hostname o indirizzi IP;
• modifiche non autorizzate ai gruppi degli amministratori di dominio;
• autenticazioni effettuate da hostname o indirizzi IP identificati come Indicator of Compromise (IOC);
• richieste verso applicazioni web provenienti da user agent classificati come IOC;
• esecuzione di script che utilizzano comandi sospetti;
• accessi di amministratori di dominio o connessioni VPN al di fuori dei normali orari di lavoro o da postazioni non abituali;
• comunicazioni di rete anomale verso URL o indirizzi IP identificati come IOC;
• picchi di traffico provenienti da molteplici indirizzi IP;
• nonché fenomeni di saturazione anomala della larghezza di banda in ingresso.

 
Per l’individuazione di tali eventi è necessario prevedere adeguate attività di monitoraggio, che possono essere realizzate secondo due approcci complementari:

• proattivo, attraverso la ricerca sistematica di indizi di attività malevole sui sistemi informativi, nonché mediante l’analisi delle informazioni di sicurezza e dei bollettini condivisi dal CSIRT Italia relativi a nuovi scenari di rischio, comportamenti anomali o campagne di attacco in corso;
• reattivo, mediante l’analisi degli allarmi generati dagli strumenti di sicurezza e delle segnalazioni provenienti da attori interni (ad esempio utenti che riscontrano malfunzionamenti o disservizi) e da soggetti esterni, quali il CSIRT Italia.

Le attività di ricerca di possibili indizi di compromissione e la configurazione delle regole di allarme degli strumenti di sicurezza si basano su specifiche logiche di rilevamento, che possono essere definite secondo le seguenti metodologie:

• IOC-based, fondata sull’individuazione nei log di sistema di indicatori di compromissione noti, quali hash di file, nomi di file o librerie. Tale approccio risulta efficace nei confronti di minacce già conosciute, ma presenta limiti nella rilevazione di minacce nuove o in grado di modificare rapidamente i propri indicatori;
• anomaly-based, basata sull’identificazione di deviazioni dal comportamento standard dei sistemi informativi mediante tecniche di analisi statistica, machine learning e analisi di grandi volumi di dati. Sebbene potenzialmente efficace nell’individuare minacce sconosciute, questo approccio richiede una modellazione accurata dei comportamenti attesi e può comportare un elevato numero di falsi positivi, oltre a significativi investimenti in termini di raccolta ed elaborazione dei dati;
• TTP-based, fondata sulla conoscenza delle tattiche, tecniche e procedure (Tactics, Techniques and Procedures – TTPs) utilizzate dagli attori malevoli per conseguire i propri obiettivi. Tale metodologia risulta particolarmente efficace in quanto le TTP tendono a mutare meno frequentemente rispetto agli indicatori tecnici e sono spesso comuni a diversi attori, essendo vincolate dalle tecnologie e dagli ambienti operativi presi di mira.

Fase di risposta
A seguito della rilevazione di un incidente di sicurezza informatica, è necessario avviare la fase di risposta, finalizzata a gestire l’evento in modo tempestivo ed efficace, riducendone l’impatto e prevenendone ulteriori conseguenze. Tale fase si articola in quattro sotto-fasi:

• Segnalazione, che consiste nella notifica dell’incidente alle autorità competenti, nonché nella comunicazione alle parti interessate, interne ed esterne all’organizzazione, secondo le modalità e le tempistiche previste dal quadro normativo;
• Investigazione, volta all’analisi approfondita dell’incidente, con l’obiettivo di ricostruire, per quanto possibile, l’intera sequenza degli eventi (c.d. cyber kill chain), individuare la causa dell’incidente e valutare l’ampiezza e la profondità della compromissione;
• Contenimento, finalizzato a delimitare il perimetro dell’attacco al fine di ridurne l’impatto e impedirne la propagazione verso altri sistemi informativi e di rete. Qualora, al termine di tale sotto-fase, emergano ulteriori evidenze di compromissione, si rende necessario un ritorno alla fase di investigazione;
• Eradicazione, che consiste nella completa rimozione delle capacità di controllo, movimento e persistenza dell’agente malevolo all’interno dell’infrastruttura compromessa.

Le attività di eradicazione riguardano, ad esempio:

• la bonifica delle credenziali utilizzate dall’attaccante;
• la rimozione degli artefatti malevoli dai sistemi e dalle reti interessate;
• la bonifica dei sistemi compromessi;
• la risoluzione o mitigazione delle vulnerabilità sfruttate dall’attaccante;
• l’installazione degli aggiornamenti, in particolare quelli di sicurezza;
• il monitoraggio delle eventuali reazioni dell’attaccante alle attività di eradicazione;
• l’aggiornamento della timeline dell’attacco con le evidenze rilevate in questa fase;
• l’esecuzione di ulteriori scansioni per verificare la presenza di malware.

 
Fase di ripristino
La fase di ripristino è finalizzata a riportare i sistemi informativi e i servizi interessati dall’incidente a condizioni operative ordinarie, assicurando il pieno ripristino delle funzionalità e verificando che l’intero ambiente risulti stabile, sicuro e correttamente funzionante.
Le Linee Guida sono infine integrate da due appendici di supporto. L’Appendice A, recante un’introduzione alle specifiche di base, illustra gli elementi caratterizzanti delle stesse al fine di agevolare la comprensione complessiva del documento. L’Appendice B, dedicata alle misure di sicurezza per la gestione degli incidenti, elenca, per ciascuna fase e sotto-fase del processo di incident management, le misure di sicurezza previste dalla disciplina NIS rilevanti ai fini della gestione degli incidenti.
Sulla base delle Linee Guida, le organizzazioni sono adesso chiamate a predisporre, rendere operativi e manutenere piani di risposta alle minacce cibernetiche. L’effettività di tali piani potrà essere oggetto di valutazione da parte dell’Autorità, con conseguente responsabilità dell’organizzazione in caso di attacchi andati a buon fine.