comprova
Prodotto · Incidenti

Timer 24/72h, bozze ACN già pronte.

Incident Register conforme all'Art. 23 NIS2 e al D.Lgs. 138/2024: classificazione, timer di notifica, template Allegato V pre-compilati, post-mortem, audit trail. La trasmissione formale ad ACN resta al cliente — Comprova prepara il dossier completo, hash di integrità incluso.

§01 · Art. 23 NIS2cosa dice la legge

Quattro tappe di notifica, due con scadenze rigide.

L'Art. 23 della NIS2, recepito dal D.Lgs. 138/2024 (Allegato V), prescrive una sequenza precisa di notifiche all'Autorità di Cibersicurezza Nazionale per gli incidenti significativi. La sequenza non si negozia: scattano i timer, si genera il dossier, si trasmette. Avere la procedura tracciata e i template già fatti è la differenza tra un incidente gestito e uno gestito male.

Entro 24 ore

Notifica preventiva ad ACN

Pre-allerta: descrizione minima dell'evento, classificazione preliminare (significativo / non significativo), impatti immediati noti. Comprova precompila il modello dell'Allegato V D.Lgs. 138/2024 con i dati che hai inserito nella scheda incidente, lo restituisce in PDF firmato pronto per la trasmissione formale.

Entro 72 ore

Notifica formale ad ACN

Notifica completa: cause iniziali individuate, ambito di impatto preciso, misure di contenimento adottate, tempistiche di ripristino stimate. Il PDF si rigenera con i dati aggiornati, l'audit trail traccia la differenza tra notifica preventiva (T+24h) e formale (T+72h).

Entro 1 mese

Notifica intermedia (se applicabile)

Per incidenti significativi a evoluzione prolungata: aggiornamento sullo stato del ripristino, indicatori di compromissione, eventuali allargamenti dell'ambito. Comprova mantiene aperta la scheda incidente con stato in corso fino alla chiusura formale.

Alla risoluzione

Rapporto finale ad ACN

Post-mortem strutturato: cause definitive, impatti effettivi, lezioni apprese, azioni correttive di lungo termine. Genera il rapporto finale in PDF e lo archivia come EvidenceFile per il controllo Art. 21.b (gestione incidenti). È quello che cita l'auditor un anno dopo per dire 'come avete risposto a quell'incidente'.

§02 · Il flusso di un incidentedall'apertura al post-mortem

Sei passi da quando lo registri a quando lo chiudi.

La procedura non la inventi sotto pressione. È pre-impostata, collegata ai timer, e produce documenti firmati a ogni passaggio. Tu ti concentri sul contenimento; la traccia processuale viene tracciata automaticamente.

  1. Step 1

    Apertura della scheda incidente

    Chi rileva l'evento (IT, dipendente, fornitore esterno) lo segnala tramite la scheda incidente. Il sistema cattura ora di rilevamento, ora di apertura scheda, descrizione iniziale, sistema/servizio impattato, persona che ha aperto la scheda. Il timer 24h parte automaticamente.

  2. Step 2

    Classificazione

    L'org_admin (o il responsabile incidenti se assegnato) classifica l'incidente: significativo (con criteri NIS2 — disponibilità servizio, perdita dati personali, frode, soggetti coinvolti) o non significativo. La classificazione determina se gli obblighi di notifica scattano.

  3. Step 3

    Generazione bozza notifica preventiva

    Per incidenti significativi, il sistema genera la bozza della notifica preventiva ACN compilando l'Allegato V D.Lgs. 138/2024 con i dati della scheda. La bozza è in PDF, ha hash SHA-256 di integrità, ed è pronta da trasmettere all'ACN dal cliente tramite portale ufficiale o PEC.

  4. Step 4

    Trasmissione (lato cliente)

    Comprova non trasmette all'ACN al posto tuo: la responsabilità formale resta dell'organizzazione, e il portale ACN/PEC vuole l'identità dell'azienda firmataria. Tu scarichi il PDF, lo invii dal portale o via PEC, e poi torni in Comprova a registrare 'trasmesso il giorno X, ricevuta n. Y'. L'audit trail tiene la traccia completa.

  5. Step 5

    Aggiornamento periodico

    Mentre l'incidente evolve (contenimento in corso, indagine forense, escalation a fornitori), aggiorni la scheda. Il sistema rigenera la bozza della notifica formale 72h con i dati aggiornati. Ogni rigenerazione lascia traccia.

  6. Step 6

    Chiusura e post-mortem

    Alla risoluzione, compili il post-mortem strutturato: cause radice, impatti effettivi, azioni correttive, lessons learned. Il sistema genera il rapporto finale in PDF, lo archivia come EvidenceFile, chiude il timer e i contatori. La scheda incidente diventa storia, ricercabile per data e tipo.

§03 · Confine del prodottocosa Comprova fa e non fa

Comprova traccia, l'IT contiene, l'organizzazione notifica.

La gestione di un incidente coinvolge ruoli e competenze diverse: tecnica (contenimento operativo), organizzativa (decisioni di escalation), legale (notifica all'autorità). Comprova è lo strato di tracciamento e documentazione, esplicito nel suo confine.

Cosa fa

  • · Avvia timer 24h e 72h dal momento del rilevamento
  • · Pre-compila i template ACN (Allegato V D.Lgs. 138/2024)
  • · Genera PDF firmati con hash SHA-256 di integrità
  • · Tiene audit trail completo: chi ha aperto, classificato, modificato
  • · Archivia ogni notifica come EvidenceFile derivato per Art. 21.b NIS2
  • · Calcola lo stato di copertura del controllo gestione incidenti

Cosa NON fa

  • · Non trasmette le notifiche formali all'ACN al posto tuo (responsabilità dell'organizzazione, portale/PEC ufficiale)
  • · Non rileva incidenti automaticamente (non siamo SIEM/SOC — lavoriamo sugli artefatti che inserisci)
  • · Non sostituisce un Incident Response Team operativo (Comprova traccia, l'IT contiene)
  • · Non emette giudizi sulla classificazione 'significativo / non significativo' (quello lo fai tu sui criteri NIS2)
§04 · Domande frequenti

Quello che ci chiedono di solito.

Da quale momento parte il timer 24h?
Il D.Lgs. 138/2024 è esplicito: il termine decorre dalla 'conoscenza dell'incidente significativo'. In Comprova significa: dal momento in cui apri la scheda incidente con classificazione 'significativo'. Se hai conosciuto l'incidente alle 16:00 ma classificato significativo solo alle 18:00, il timer parte dalle 18:00 — ed è ovviamente importante che la scheda di apertura registri fedelmente l'orario di rilevamento, non quello di apertura della scheda. Il sistema separa i due timestamp.
Il template ACN pre-compilato è davvero accettato dall'autorità?
Il template segue la struttura dell'Allegato V D.Lgs. 138/2024, che è il modulo prescritto dall'autorità. Il PDF generato include tutti i campi richiesti dall'allegato. La forma di trasmissione (portale ACN, PEC) e il numero di protocollo li gestisci tu lato organizzazione. Non possiamo garantire che ACN non chieda informazioni aggiuntive caso per caso, ma la struttura base è quella prescritta.
Posso registrare incidenti non significativi?
Sì, e dovresti. Tenere traccia anche degli incidenti minori (mancato attacco respinto, alert non confermati, problemi di disponibilità di breve durata) è quello che dimostra all'auditor che hai un processo attivo di gestione incidenti — non solo un timer che parte quando le cose vanno male. Gli incidenti non significativi non generano notifiche ACN ma alimentano comunque l'audit trail e l'evidenza Art. 21.b.
Se l'incidente coinvolge anche dati personali (GDPR), cosa cambia?
Doppia notifica: ACN (NIS2 Art. 23) + Garante Privacy (GDPR Art. 33, 72h dalla conoscenza). Nel piano roadmap di Comprova è previsto l'integrazione del template Garante Privacy oltre a quello ACN — disponibile nelle fasi successive del prodotto. Al momento il template ACN copre la dimensione NIS2; per la notifica al Garante usi i moduli ufficiali del sito Garante.
Posso esercitarmi a gestire un incidente prima che me ne capiti uno vero?
Sì, ed è anzi un'evidenza esplicita richiesta dall'Art. 21.b NIS2: la verifica periodica dell'efficacia delle politiche di gestione incidenti. In Comprova apri una scheda 'esercitazione', simuli scenario, tempistiche, ruoli, generi i template come se fosse vero. Alla fine compili il rapporto di esercitazione che entra come EvidenceFile annuale. È molto più difendibile in audit di una procedura solo scritta.
L'audit trail traccia anche le mie esitazioni e modifiche?
Sì, e questo è un vantaggio non un rischio. Mostrare all'auditor che la classificazione è stata modificata da 'minore' a 'significativo' alle 18:00 (mentre alle 16:00 era stata aperta come 'minore') è la prova oggettiva che il processo di valutazione ha funzionato — il responsabile ha riconsiderato i fatti man mano che li capiva meglio. Il problema è quando manca la traccia, non quando c'è.

Quando arriva l'incidente, la procedura è già scritta.

L'Incident Register è incluso nella Piattaforma completa. Funziona insieme al Vault, al Risk Register, all'Audit Trail e alle Policy: l'incidente non vive isolato, lascia tracce negli altri moduli e si chiude con un EvidenceFile derivato.

Chiedi un preventivoTorna agli otto moduli