Il D. Lgs. 138 di recepimento della NIS2, sulla base della definizione della Direttiva NIS2, dice che un incidente è considerato significativo se: a) ha causato o è in grado di causare  una  grave  perturbazione operativa  dei  servizi  o  perdite  finanziarie  per   il   soggetto interessato; b) ha avuto ripercussioni o è idoneo a  provocare  ripercussioni su altre persone fisiche o giuridiche causando  perdite  materiali  o immateriali considerevoli".

ACN, con la determina del 14 aprile, oltre a fornire "misure minime", fornisce anche le definizioni di "Incidenti significativi di base per i soggetti importanti" e "Incidenti significativi di base per i soggetti essenziali". Le definizioni sono decisamente generiche. La prima è "IS-1. Il soggetto NIS ha evidenza della perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale". Le altre sono altrettanto generiche.

Con la definizione di ACN, andrebbe mandata notifica per ogni evento, anche minimale, con impatto su riservatezza, integrità o disponibilità delle informazioni in formato digitale.

Immagino si debba applicare il combinato disposto, che in definitiva è la definizione del D. Lgs. 138. Ho ricevuto poche risposte in merito.

Ovviamente questo non si applica ai fornitori di servizi IT in ambito NIS2 perché devono usare anche le definizioni dell'Implementing Act 2024/2690, decisamente più specifico.