DATI PERSONALI
Condividi questo articolo:
Cyber SecurityNIS2

La notifica degli incidenti nel quadro NIS2: le precisazioni dell’ACN sulla ripartizione degli obblighi nelle relazioni contrattuali

Introduzione

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente aggiornato le FAQ sulla Direttiva NIS2, fornendo chiarimenti di particolare rilievo in tema di obbligo di notifica degli incidenti quando questi coinvolgono rapporti contrattuali tra soggetti rientranti nell’ambito di applicazione della normativa.

Le precisazioni fornite dall’Autorità eliminano interpretazioni errate circa la possibilità di “delegare” contrattualmente l’adempimento degli obblighi pubblicistici, ribadendo un principio fondamentale: la responsabilità della notifica permane sempre in capo al soggetto essenziale o importante.

Il principio fondamentale

L’ACN distingue in modo netto tra due piani:

  • Rilevazione materiale dell’incidente, che può essere effettuata da fornitori terzi, provider infrastrutturali, SOC esterni o MSSP (Managed Security Service Provider).
  • Obbligo giuridico di notifica, che resta individuato dalla normativa in base alla titolarità del servizio essenziale o importante, indipendentemente da chi gestisce operativamente i sistemi.

Questa distinzione è cruciale per il rispetto delle tempistiche previste dalla NIS2:

  • notifica preliminare entro 24 ore;
  • notifica circostanziata entro 72 ore;
  • relazione finale entro un mese.

Scenario 1: incidente sui sistemi del soggetto NIS con servizi esternalizzati

Quando un soggetto essenziale o importante si avvale di fornitori per servizi IT, sicurezza gestita o SOC, e l’incidente colpisce i suoi sistemi, l’obbligo di notifica rimane esclusivamente a suo carico.

Implicazioni contrattuali
I contratti devono prevedere che il fornitore sia vincolato a:

  • segnalare tempestivamente gli eventi di sicurezza;
  • fornire tutte le informazioni necessarie per valutare la significatività dell’incidente;
  • collaborare attivamente nella gestione e mitigazione.

La mancanza di tali clausole può rendere impossibile adempiere agli obblighi nei termini previsti, con conseguente responsabilità amministrativa del soggetto NIS, nonostante l’outsourcing.

L’eventuale ritardo o incompletezza nella notifica non può essere giustificato adducendo l’affidamento della gestione a terzi: l’esternalizzazione è una scelta organizzativa interna, irrilevante ai fini degli obblighi pubblicistici.

Scenario 2: incidente presso il fornitore con impatto sul cliente

Quando l’incidente origina presso i sistemi del fornitore (anch’esso soggetto NIS) ma produce effetti sul cliente (parimenti soggetto NIS), si configura una duplicità dell’obbligo:

  • il fornitore notifica l’incidente che ha colpito direttamente i propri sistemi;
  • il cliente notifica se l’incidente, ripercuotendosi sui suoi servizi, diventa significativo ai sensi della normativa.

Questa configurazione richiede meccanismi di coordinamento preventivo per garantire:

  • coerenza narrativa delle descrizioni;
  • allineamento temporale delle notifiche;
  • univocità nella valutazione dell’impatto;
  • condivisione delle evidenze forensi.

Notifiche disallineate o contraddittorie possono essere interpretate dall’Autorità come indice di carenze nella governance, nei processi di incident response e nel coordinamento della supply chain security.

Scenario 3: servizi cloud e modelli di responsabilità

Regola generale: se sia il cliente sia il fornitore cloud sono soggetti NIS2, entrambi sono tenuti a notificare l’incidente significativo.

Eccezione – IaaS: nei servizi configurati come Infrastructure as a Service o hosting infrastrutturale, l’obbligo notificatorio grava esclusivamente sul cliente.

La distinzione si fonda sul modello di shared responsibility:

  • nell’IaaS il cliente mantiene il controllo su sistemi operativi, applicazioni e configurazioni di sicurezza;
  • nei modelli PaaS e SaaS il provider assume responsabilità crescenti sugli strati applicativi.

Implicazioni pratiche:

  • corretta qualificazione del modello di servizio utilizzato;
  • documentazione contrattuale della ripartizione delle responsabilità;
  • implementazione di processi distinti di notifica;
  • verifica che gli SLA prevedano obblighi di comunicazione tempestiva.

Gruppi societari: nessun consolidamento degli obblighi

L’ACN ribadisce che gli adempimenti NIS2, inclusa la registrazione e la notifica degli incidenti, devono essere effettuati da ciascuna persona giuridica rientrante nell’ambito applicativo, indipendentemente dall’appartenenza a un gruppo societario.

È possibile adottare una governance centralizzata e sistemi condivisi, ma la responsabilità amministrativa resta in capo alla singola legal entity colpita dall’incidente.

La non delegabilità dell’obbligo di notifica

L’obbligo pubblicistico di notificazione:

  • non è delegabile contrattualmente;
  • non è trasferibile mediante outsourcing;
  • non può essere escluso per affidamento a terzi.

Eventuali clausole che attribuiscano al fornitore l’onere di notifica sono inefficaci nei confronti dell’Autorità.

La mancata, tardiva o incompleta notificazione espone a sanzioni pecuniarie, misure correttive, obblighi di comunicazione pubblica e responsabilità dirigenziale.

Raccomandazioni operative

Per garantire la conformità alla NIS2 è necessario:

  • inserire nei contratti ICT obblighi di notifica tempestiva con tempi massimi definiti;
  • strutturare flussi informativi chiari tra fornitori e funzioni interne;
  • definire matrici di responsabilità (RACI);
  • mappare tutti i servizi cloud per modello di responsabilità;
  • identificare tutte le legal entity soggette a NIS2 all’interno dei gruppi societari.

L’adeguamento alla NIS2 richiede il superamento della logica dell’“outsourcing della responsabilità” a favore di una governance della catena di valore digitale, in cui l’esternalizzazione operativa è accompagnata da solidi presìdi contrattuali, procedurali e tecnologici.

Post correlati