Settori essenziali (controlli più stringenti)
-
Energia, trasporti, banche, finanza, sanità, acqua potabile e reflue, infrastrutture digitali
- (data center, DNS, TLD), Pubblica Amministrazione, spazio.
+
Energia, trasporti, banche e finanza (per i quali vale spesso DORA come disciplina
+ speciale), sanità, acqua potabile e reflue, infrastrutture digitali (DNS, TLD, cloud, IXP, CDN),
+ Pubblica Amministrazione, spazio.
+
Nota: dentro le infrastrutture digitali la qualifica può
+ variare — es. i data center figurano tra gli importanti; i
+ servizi fiduciari sono essenziali se qualificati, importanti se non qualificati.
@@ -209,9 +213,13 @@
Le soglie dimensionali
- - Media impresa = 50–249 dipendenti oppure fatturato tra 10 e 50 milioni €.
- - Grande impresa = ≥250 dipendenti oppure fatturato >50 milioni €.
+ - Media impresa = ≥50 dipendenti oppure fatturato ≥10 milioni €
+ oppure totale di bilancio ≥10 milioni €.
+ - Grande impresa = ≥250 dipendenti oppure fatturato >50 milioni €
+ oppure totale di bilancio >43 milioni €.
+
Basta soddisfare uno dei tre criteri (dipendenti,
+ fatturato o bilancio): un'azienda può rientrare anche solo per il totale di bilancio.
In generale: medie e grandi imprese nei settori sopra elencati sono in scope.
In scope a prescindere dalla dimensione
@@ -534,19 +542,28 @@
In parole semplici. Se hai un incidente "significativo" devi avvisare il CSIRT
- (la squadra nazionale di risposta cyber) in tre tappe: una prima allerta entro 24 ore, una
- notifica completa entro 72 ore, e un report finale entro 30 giorni.
+ (la squadra nazionale di risposta cyber) in tre tappe: un preallarme entro 24 ore, una
+ notifica entro 72 ore, e una relazione finale entro un mese.
Quando un incidente è "significativo"?
-
Almeno uno di questi criteri:
+
Il criterio legale (art. 23, comma 3, D.Lgs. 138/2024 e Direttiva (UE) 2022/2555)
+ è qualitativo: un incidente è significativo se
- - Ha colpito ≥ 500 utenti.
- - Ha bloccato i servizi per > 4 ore.
- - Ha impatto transfrontaliero (altri Stati UE).
- - È un cyber attack intenzionale (ransomware, DDoS, intrusione…).
- - Ha generato danni economici diretti > 100.000 €.
+ - ha causato o può causare una grave perturbazione operativa dei servizi o
+ perdite finanziarie per il soggetto; oppure
+ - si è ripercosso su altre persone (fisiche o giuridiche) causando perdite
+ materiali o immateriali considerevoli.
+
Le soglie quantitative precise sono fissate dagli Allegati 3 (importanti)
+ e 4 (essenziali) della Determina ACN 164179/2025 (e, per i fornitori digitali, dal Reg. (UE)
+ 2024/2690) e variano per tipologia di soggetto.
+
+ Indicatori usati dalla piattaforma per il triage (non sono soglie di legge, ma
+ aiutano a capire se sei vicino alla significatività): ≥ 500 utenti colpiti · blocco servizi > 4 ore ·
+ impatto transfrontaliero · attacco intenzionale (ransomware, DDoS, intrusione) · danni diretti
+ > 100.000 €. Verifica sempre la soglia ufficiale ACN applicabile al tuo caso.
+
La timeline