Sono le 14:32 di un martedì. Il gestionale non risponde. La contabilità non riesce ad aprire i file. Sul desktop di tre PC compare un messaggio con un indirizzo Bitcoin. È un ransomware. E adesso? Se la risposta è "non lo so", hai un problema più grande del ransomware stesso: non hai un piano.
L'Incident Response Plan (IRP) è quel documento che nessuno vuole scrivere, ma che tutti vorrebbero avere nel momento del bisogno. È il manuale di emergenza della tua azienda per gli incidenti informatici: chi chiama chi, chi fa cosa, in che ordine e con quali strumenti.
In questa guida ti do un template completo basato sul framework NIST (il più usato al mondo), adattato per le PMI italiane con 10-100 dipendenti. Per ogni fase trovi: responsabilità, tempi, strumenti e una checklist operativa.
Indice dei Contenuti
Perché serve un Incident Response Plan
Il rapporto Clusit 2025 dice che il 76% delle PMI italiane colpite da un attacco informatico non aveva un piano di risposta documentato. Il risultato? Tempi di ripristino 3 volte più lunghi, costi 2,5 volte più alti e danni reputazionali che durano anni.
Un IRP non ti protegge dall'attacco — per quello servono firewall, antivirus e monitoraggio. Ma quando le difese falliscono (e prima o poi succede), il piano fa la differenza tra "abbiamo perso 4 ore" e "abbiamo perso 4 settimane".
Con la direttiva NIS2, le aziende in perimetro sono obbligate ad avere procedure documentate di gestione degli incidenti. Ma anche se la tua azienda non rientra nella NIS2, un piano di risposta è una delle cose più concrete che puoi fare per proteggere il business.
Le 6 fasi NIST: il template completo
Il framework NIST SP 800-61 (Computer Security Incident Handling Guide) divide la risposta agli incidenti in 6 fasi. Ecco il template adattato per una PMI italiana, con strumenti e tempi realistici.
Fase 1: Preparazione
Prima che succeda qualcosa
Chi
IT Manager + MSP + Direzione
Quando
Continuo (revisione annuale)
Strumenti
Atera (monitoraggio), Bitdefender (endpoint), WatchGuard (firewall), Veeam (backup)
Checklist
Inventario aggiornato di tutti gli asset IT (server, PC, dispositivi di rete)
Lista dei contatti di emergenza (IT interno, MSP, legale, assicurazione cyber)
Backup verificati e testati con cadenza mensile
Policy di accesso e autenticazione MFA attiva su tutti i sistemi
Formazione annuale ai dipendenti sul riconoscimento del phishing
Contratto con MSP che preveda supporto incidenti H24
Fase 2: Identificazione
Capire cosa sta succedendo
Chi
Team IT + SOC/MDR + MSP
Quando
Entro 1 ora dalla segnalazione
Strumenti
SIEM/MDR, Atera (alert automatici), log firewall WatchGuard, log endpoint Bitdefender
Checklist
Confermare che si tratta di un incidente reale (non un falso positivo)
Classificare la gravità: bassa, media, alta, critica
Identificare i sistemi coinvolti e il perimetro dell’attacco
Documentare tutto: orario, sintomi, primi interventi, chi ha segnalato
Attivare il team di risposta secondo i ruoli definiti nel piano
Se gravità alta/critica: avvisare la direzione entro 30 minuti
Fase 3: Contenimento
Fermare l’emorragia
Chi
Team IT + MSP (intervento immediato)
Quando
Entro 2-4 ore dall’identificazione
Strumenti
Firewall WatchGuard (blocco IP/porte), Bitdefender (isolamento endpoint), switch gestiti
Checklist
Contenimento a breve termine: isolare i sistemi compromessi dalla rete
NON spegnere i sistemi (si perdono le prove forensi in RAM)
Bloccare gli account compromessi e forzare il reset password
Acquisire un’immagine forense dei sistemi coinvolti
Contenimento a lungo termine: segmentare la rete, applicare regole firewall
Comunicare ai dipendenti coinvolti (solo il necessario, niente panico)
Fase 4: Eradicazione
Eliminare la minaccia
Chi
MSP + Team IT specializzato
Quando
Da 4 ore a 2 giorni (dipende dalla gravità)
Strumenti
Bitdefender (scansione profonda), tool forensi, WatchGuard (analisi log)
Checklist
Identificare e rimuovere il malware da tutti i sistemi coinvolti
Trovare il punto di ingresso (vettore di attacco) e chiuderlo
Verificare che non ci siano backdoor o persistenze nascoste
Applicare le patch mancanti che hanno permesso l’attacco
Cambiare tutte le credenziali dei sistemi coinvolti
Verificare l’integrità dei backup (non sono stati compromessi?)
Fase 5: Recovery
Tornare operativi
Chi
Team IT + MSP + Responsabili di reparto
Quando
Da 1 a 5 giorni (obiettivo: entro RTO definito)
Strumenti
Veeam (ripristino backup), Atera (monitoraggio post-recovery), test di integrità
Checklist
Ripristinare i sistemi da backup puliti e verificati
Ripartire dai servizi critici (email, gestionale, ERP) verso quelli secondari
Monitoraggio intensificato per 72 ore dopo il ripristino
Verificare che tutte le funzionalità aziendali siano operative
Comunicare a clienti/partner se i loro dati sono stati coinvolti
Se necessario: notifica al Garante Privacy entro 72 ore (obbligo GDPR)
Fase 6: Lessons Learned
Imparare dall’incidente
Chi
Tutto il team + Direzione + MSP
Quando
Entro 2 settimane dalla chiusura dell’incidente
Strumenti
Report incidente, timeline eventi, analisi root cause
Checklist
Riunione post-incidente con tutti i coinvolti (senza cercare colpevoli)
Documentare la timeline completa: cosa è successo, quando, come
Analisi root cause: perché è successo e perché le difese non hanno funzionato
Identificare i miglioramenti necessari (tecnici, procedurali, formativi)
Aggiornare il piano di Incident Response con le lezioni apprese
Pianificare una simulazione entro 3 mesi per testare i miglioramenti
Chi coinvolgere: il team di risposta
Un piano senza persone è un documento inutile. Ecco i ruoli minimi che servono in una PMI. Non servono 10 persone dedicate — una stessa persona può coprire più ruoli, l'importante è che sappia cosa fare.
Incident Commander
Coordina la risposta. Decide le priorità, autorizza le azioni critiche (spegnere sistemi, comunicare ai clienti). Di solito è il titolare o il direttore operativo.
Responsabile tecnico
Mani sulla tastiera. Esegue le operazioni tecniche: isolamento, analisi, ripristino. Se hai un MSP come BullTech, questo ruolo è coperto dal team tecnico esterno.
Referente comunicazione
Gestisce le comunicazioni interne (dipendenti) ed esterne (clienti, fornitori, stampa). Una comunicazione mal gestita fa più danni dell’attacco stesso.
Referente legale/privacy
Valuta gli obblighi normativi: notifica al Garante Privacy (72 ore per il GDPR), notifica NIS2, comunicazione agli interessati, rapporto con l’assicurazione cyber.
MSP / Partner IT esterno
Supporto tecnico specializzato H24. Fondamentale per le PMI che non hanno un team IT interno strutturato. BullTech interviene entro 1 ora dalla segnalazione.
I 5 errori più comuni nella gestione degli incidenti
In anni di gestione incidenti per PMI lombarde, questi sono gli errori che vediamo più spesso. Evitarli fa la differenza tra un incidente gestibile e un disastro.
Spegnere tutto subito
Istinto comprensibile, ma sbagliato. Spegnendo i sistemi si perdono le prove forensi in memoria RAM, fondamentali per capire cosa è successo e come prevenire il prossimo attacco. Meglio isolare dalla rete senza spegnere.
Non documentare nulla
Nel panico si agisce e basta. Ma senza documentazione, la fase di lessons learned diventa impossibile. E se serve una perizia forense o una denuncia, servono prove. Anche un semplice file di testo con orari e azioni va bene.
Comunicare troppo o troppo poco
Mandare un’email a tutti i dipendenti con ‘siamo sotto attacco hacker’ crea panico. Non dire niente crea voci e speculazioni. Servono comunicazioni mirate, fattuali, con istruzioni operative chiare.
Ripristinare senza aver eradicato
Fretta di tornare operativi. Si ripristina il backup ma il punto di ingresso è ancora aperto, oppure il malware era già nel backup. Risultato: si viene compromessi di nuovo entro pochi giorni.
Non fare la riunione post-incidente
L’incidente è finito, tutti vogliono dimenticarsene. Ma senza analisi post-mortem, gli stessi errori si ripeteranno. La riunione non serve a cercare colpevoli, serve a migliorare il piano.
Un piano su misura per la tua azienda
Questo template è un buon punto di partenza, ma ogni azienda ha le sue particolarità: settore, normative, infrastruttura, numero di sedi. BullTech crea piani di Incident Response personalizzati per PMI in tutta la Lombardia, con simulazioni periodiche per testare che il piano funzioni davvero. Partiamo da un assessment della tua infrastruttura per capire dove sei più esposto.
Domande Frequenti
Cos’è un Incident Response Plan?
Un Incident Response Plan (IRP) è un documento che descrive come l’azienda deve reagire a un incidente di sicurezza informatica. Definisce ruoli, responsabilità, procedure e tempi per ogni fase della risposta, dalla rilevazione al ripristino completo. Per le PMI italiane, è anche un requisito della direttiva NIS2 per le aziende in perimetro.
Quanto tempo serve per creare un piano di Incident Response?
Un piano base per una PMI con 20-50 dipendenti richiede circa 2-4 settimane di lavoro, incluse le interviste con i responsabili di reparto, la mappatura degli asset critici e la definizione delle procedure. Con il supporto di un MSP specializzato come BullTech, i tempi si riducono perché partiamo da un template già collaudato e lo adattiamo alla realtà specifica dell’azienda.
Ogni quanto va aggiornato il piano di risposta agli incidenti?
Il piano va rivisto almeno una volta l’anno, o ogni volta che cambia qualcosa di significativo: nuovi sistemi, nuovi fornitori, cambi di personale nei ruoli chiave, nuove normative. Dopo ogni incidente reale va sempre aggiornato con le lezioni apprese. Un piano non aggiornato è quasi peggio di non averne uno, perché dà un falso senso di sicurezza.
Serve un Incident Response Plan anche se ho un antivirus e un firewall?
Assolutamente sì. Antivirus e firewall sono strumenti di prevenzione, ma nessuna difesa è impenetrabile. L’IRP serve quando le difese falliscono: il ransomware che bypassa l’antivirus, l’attacco phishing che supera il filtro email, l’insider threat. Senza un piano, nel panico del momento si prendono decisioni sbagliate che peggiorano la situazione.
Quanto costa far creare un Incident Response Plan a un consulente esterno?
Sul mercato italiano, un IRP professionale per PMI costa tra 3.000 e 10.000 euro, a seconda della complessità dell’infrastruttura e del livello di dettaglio richiesto. Include: assessment iniziale, redazione del piano, formazione del team e una simulazione di test. BullTech include la creazione dell’IRP nei contratti di assistenza gestita, senza costi aggiuntivi.
Un incidente informatico non è una questione di "se", ma di "quando". La differenza la fa come reagisci. Con un piano documentato, un team che sa cosa fare e un MSP che ti supporta H24, un ransomware diventa un problema risolvibile in ore invece che in settimane.
Non aspettare il prossimo incidente per scoprire che non sei preparato. Contattaci e costruiamo insieme il tuo piano di risposta agli incidenti.