Sei sotto attacco Cyber? Interveniamo subito

Matrice RACI NIS2, gestione e ruoli degli incidenti

Template RACI per incident management

Matrice RACI NIS2, gestione e ruoli degli incidenti

Con l’introduzione dell’obbligo di notifica degli incidenti previsto dalla direttiva NIS2, molte organizzazioni si sono concentrate su processi, tempi e requisiti formali.
Ma resta una domanda in ogni fase dell’incident management: chi fa cosa, chi decide e chi deve essere coinvolto, quando il tempo è poco.

La matrice RACI è uno degli strumenti più semplici ed efficaci per dare una risposta chiara a queste domande, mappando ruoli e responsabilità in modo leggibile e azionabile.

Cos’è la matrice RACI e perché è utile

La matrice RACI è una tabella che, per ogni attività critica, definisce in modo esplicito:

  • chi esegue l’attività;

  • chi decide e se ne assume la responsabilità finale;

  • chi va consultato;

  • chi deve essere informato.

Nella gestione degli incidenti, questo è particolarmente importante perché i primi minuti sono dominati da scelte rapide: escalation, containment, attivazione dei canali di crisi, eventuale comunicazione esterna.
In quei momenti l’ambiguità sui ruoli può tradursi in ritardi, sovrapposizioni o vuoti decisionali.

Cosa significa RACI

RACI descrive 4 livelli di coinvolgimento per ogni attività:

  • R – Responsible: esegue materialmente l’attività (azioni operative).

  • A – Accountable: prende la decisione finale e risponde del risultato (regola pratica: uno solo per riga).

  • C – Consulted: fornisce input/valutazioni (comunicazione a due vie).

  • I – Informed: viene aggiornato sull’avanzamento/esito (comunicazione a senso unico).

una differenza che spesso confonde:

  • R = fa

  • A = decide / dà il go, go-no

Nel contesto degli incidenti, il problema più frequente non è la mancanza di competenze, ma l’incertezza su chi ha l’ultima parola e chi deve agire subito.
La matrice RACI serve proprio a rendere visibili l’owner della decisione (A) e l’esecutore (R), evitando il “tutti fanno tutto” o, peggio, “nessuno decide”.

Template modello RACI

Per rendere più semplice l’adozione di questo approccio, è disponibile una matrice RACI precompilata per l’incident management NIS2, pensata come base da personalizzare con i ruoli reali della tua organizzazione.
Il template contiene già un set di attività critiche e una proposta di mappatura dei principali ruoli (PdC NIS2, Referente CSIRT, Incident Manager, team tecnico, management, legal, compliance, comunicazione), oltre alle regole d’uso e agli errori da evitare.

    Scarica il nostro contenuto

    Come leggere la RACI

    Ogni riga della matrice rappresenta un’attività critica, ossia un’azione che, se non viene assegnata correttamente, può rallentare o bloccare la gestione dell’incidente.

    Se l’attività è, ad esempio, “Approvare comunicazione esterna”:

    • Comunicazione / PR = R

      • prepara la bozza, le Q&A, il piano di pubblicazione.

    • Management / Board = A

      • approva il messaggio e si assume la responsabilità della scelta (go / no‑go).

    Altri attori possono essere Consulted (C), come legal o compliance, oppure Informed (I), come referenti interni da aggiornare sul messaggio approvato.

    Lo stesso approccio può essere applicato a decisioni come:

    • dichiarare lo “stato di incidente”;

    • aprire il canale di crisi / war room;

    • classificare severità e priorità;

    • autorizzare un containment impattante;

    • dichiarare il rientro in produzione;

    • chiudere l’incidente e avviare le attività di lesson learned.

    Regole per costruire una RACI

    Perché la matrice RACI sia davvero utilizzabile, non solo un allegato di documentazione, è utile seguire alcune regole di base:

    1. Concentrarsi sulle attività che bloccano il processo
      Inserisci solo le attività che, se non sono assegnate chiaramente, fermano la gestione dell’incidente: decisioni di escalation, autorizzazioni, passaggi critici di comunicazione o rientro in produzione.
      Una simulazione di incidente può aiutare a identificare esattamente quali sono queste attività critiche. Se non l’hai ancora scaricato, trovi uno strumento pratico per l’autovalutazione qui: Autovalutazione Incident Response Plan.

    2. Una riga = una decisione/azione chiara + un output definito
      Ogni riga deve avere un output verificabile: ticket aperto, registro decisionale, comunicato approvato, checklist di rientro completata.

    3. Un solo A e almeno un R
      Ogni attività deve avere esattamente un Accountable (A) e almeno un Responsible (R).
      Più di un A crea potenziali conflitti di autorità; nessun R rischia di lasciare le decisioni non eseguite.

    4. Usare i C con moderazione
      Coinvolgere molte persone come Consulted rallenta il processo proprio nei momenti in cui serve rapidità. Meglio pochi C mirati, davvero utili alla decisione.

    Ruoli tipici in una RACI per incident management NIS2

    • Punto di Contatto NIS2 (PdC)
      Interno – Interfaccia ufficiale verso l’autorità competente (ACN).
      Responsabilità: Garantisce la continuità del canale istituzionale e presidia il perimetro di conformità.
      Rischio: Sanzioni per mancata comunicazione istituzionale o ritardi formali [Art. 27 NIS2]
    • Referente CSIRT (con sostituti)
      Interno/Esterno – Gestisce pre-notifica e notifica verso CSIRT Italia (24/7).
      Responsabilità: Sempre reperibile con 1-2 sostituti formali per garantire continuità.
      Rischio: Violazione obbligo notifica entro 24h (pre-notifica) o 72h (notifica completa) [Art. 24 NIS2]
    • Incident Manager
      Interno – Coordina le fasi dell’incidente dalla dichiarazione alla chiusura.
      Responsabilità: Attiva “incident mode”, war room, segue avanzamento e lesson learned.
      Rischio: Ritardi operativi e perdita tracciabilità del processo [Linee Guida ACN]
    • Team tecnico (SOC / Security / IT Ops)
      Interno/Esterno (SOCaaS) – Rilevamento, triage, investigazione, containment.
      Responsabilità: Raccolta evidenze chain of custody, rientro in produzione.
      Rischio: Errata valutazione impatto incidente significativo [Art. 25 NIS2]
    • Management / Board
      Approva decisioni critiche su impatti business e reputazionali.
      Responsabilità: Autorizza containment impattanti e comunicazioni esterne.
      Rischio: Responsabilità solidale + penale personale – multe fino 10M€ o 2% fatturato globale + responsabilità penale per omissioni/violazioni dolose [Art. 32 NIS2]
    • Legal / Compliance
      Interno/Esterno – Valutazione obblighi normativi e rischi legali.
      Responsabilità: Verifica requisiti notifica e correttezza decisioni.
      Rischio: Errata qualificazione incidente → sanzioni amministrative [Art. 24-25 NIS2]
    • Comunicazione / PR
      Interno/Esterno – Messaggi verso clienti, media, stakeholder.
      Responsabilità: Comunicati approvati in coerenza con sicurezza/management.
      Rischio: Danno reputazionale + violazioni comunicazione stakeholder [Art. 24 comma 3 NIS2]

    Se nella tua organizzazione alcuni di questi ruoli non sono formalizzati, è possibile accorparli, mantenendo però chiara la logica A/R/C/I e prevedendo sostituti per le figure critiche.

    Per qualsiasi dubbio, contattaci. Il nostro team è sempre pronto a darti affiancamento e aiutarti a proteggere la tua organizzazione.

     

    Hai bisogno di una consulenza? Contattaci!

      Logo Digimetrica

      Il partner per la sicurezza informatica della tua azienda

      Link rapidi

      Servizi

      Iscriviti alla nostra Newsletter

        Seguici sui social:

        Linkedin-in Facebook-f Youtube X-twitter