Incidente grave
Un incidente che ha un effetto negativo reale sulla sicurezza dei sistemi di rete e di informazione di un fabbricante, utilizzati per lo sviluppo, la produzione o la manutenzione di un prodotto con elementi digitali. La scoperta di tale incidente attiva l'obbligo di notifica al CSIRT competente e all'ENISA entro 24 ore.
Citazioni fonti
Testo normativo
L'articolo 14(3) del Regolamento (UE) 2024/2847 impone al fabbricante di notificare senza indugio e, in ogni caso, entro 24 ore dalla conoscenza di un incidente grave.
L'articolo 3(49) definisce l'incidente grave come quello che produce:
«un effetto negativo reale sulla sicurezza dei sistemi di rete e di informazione del fabbricante utilizzati per lo sviluppo, la produzione o la manutenzione del prodotto».
Cronologia delle notifiche
| Termine | Azione |
|---|---|
| Entro 24 h dalla conoscenza | Allerta precoce al CSIRT e all'ENISA |
| Entro 72 h | Notifica iniziale con maggiori dettagli |
| Entro 14 giorni | Relazione finale completa |
Differenza rispetto a un ordinario incidente di sicurezza
Un incidente ordinario può interessare sistemi senza impatto sulla sicurezza del prodotto. Un incidente grave raggiunge la catena di sviluppo o di produzione compromettendo la conformità ai requisiti essenziali di cybersicurezza.