Entro gennaio 2026, i soggetti importanti sono tenuti a notificare al CSRIT Italia gli incidenti significativi riportati nell’allegato 3 della determinazione ACN 164179 del 14 aprile 2025, mentre i soggetti essenziali sono tenuti a notificare al CSIRT Italia gli incidenti significativi riportati nell’allegato 4 della medesima determina.
Ma cosa sono gli incidenti significativi?
La definizione di incidente significativo è contemplata dal Regolamento UE 2024/2690 all'Art. 3:
"1. Un incidente è considerato significativo ai fini dell’articolo 23, paragrafo 3, della direttiva (UE) 2022/2555 per quanto riguarda i soggetti pertinenti se sono soddisfatti uno o più dei criteri seguenti:
a) l’incidente ha causato o è in grado di causare al soggetto pertinente una perdita finanziaria diretta superiore a 500 000 EUR o, se tale importo è inferiore, al 5 % del suo fatturato totale annuo dell’esercizio precedente;
b) l’incidente ha causato o è in grado di causare l’esfiltrazione di segreti commerciali, quali definiti all’articolo 2, punto 1), della direttiva (UE) 2016/943, del soggetto pertinente;
c) l’incidente ha causato o è in grado di causare il decesso di una persona fisica;
d) l’incidente ha causato o è in grado di causare danni considerevoli alla salute di una persona fisica;
e) si è verificato un accesso non autorizzato ai sistemi informativi e di rete, che si sospetta essere malevolo ed è in grado di causare gravi perturbazioni operative;
f) l’incidente soddisfa i criteri di cui all’articolo 4;
g) l’incidente soddisfa uno o più criteri di cui agli articoli da 5 a 14.
2. Le interruzioni programmate del servizio e le conseguenze previste delle operazioni di manutenzione programmata effettuate dai soggetti pertinenti o per loro conto non sono considerate incidenti significativi.
3. Nel calcolare il numero di utenti interessati da un incidente ai fini degli articoli 7 e da 9 a 14, i soggetti pertinenti tengono conto di tutti gli elementi seguenti:
a) il numero di clienti che hanno un contratto con il soggetto pertinente che concede loro l’accesso ai sistemi informativi e di rete del soggetto pertinente o ai servizi offerti da tali sistemi o accessibili tramite tali sistemi;
b) il numero di persone fisiche e giuridiche associate a clienti commerciali che utilizzano i sistemi informativi e di rete del soggetto o i servizi offerti da tali sistemi o accessibili tramite tali sistemi."
Gli organi di gestione dell'Azienda sono chiamati ad adottare una procedura ad hoc che sia in grado di definire i passaggi necessari alla valutazione dell'incidente e le conseguenti azioni volte alla notifica al CSRIT Italia.
Per informazioni non esitare a contattarci:
Tel. 0522/087829
E-mail: info@01privacy.it