La recente Determinazione dell’Agenzia per la cybersicurezza Nazionale (ACN) n. 333017/2025 introduce una nuova figura chiave per la gestione degli incidenti informatici, Il Referente CSIRT, al quale spetta il compito di interloquire con il CSIRT Italia (Gruppo nazionale di risposta agli incidenti di sicurezza informatica) ed effettuare le notifiche degli incidenti informatici, come previsto dagli articoli 25 e 26 del decreto di attuazione della direttiva NIS2.
IL CONTESTO NORMATIVO: LA NIS 2
La direttiva UE 2022/2555, nota come NIS 2, rappresenta il principale strumento normativo europeo in materia di cybersicurezza. Essa amplia in modo significativo il campo di applicazione rispetto alla precedente Direttiva NIS (2016/1148), estendendo gli obblighi di sicurezza a un numero maggiore di soggetti pubblici e privati, che in Italia passano da circa 400 a oltre 10.000, e fissando standard minimi di protezione validi in tutta l’Unione Europea.
Dal 17 gennaio 2023, data di entrata in vigore, i Paesi UE hanno avviato i processi di recepimento nelle rispettive legislazioni nazionali e l’Italia ha recepito la normativa attraverso il D.Lgs. 138/2024, con il quale sono state introdotte specifiche scadenze e adempimenti.
In particolare, entro il 28 febbraio 2025 i soggetti interessati hanno dovuto effettuare la registrazione sulla piattaforma digitale dell’ACN. Successivamente, per i soggetti che hanno ricevuto la comunicazione di inclusione nell’elenco dei soggetti “essenziali” o “importanti”, decorso il termine di nove mesi dalla suddetta comunicazione, sorge l’obbligo di adempiere agli adempimenti iniziali previsti dal D.Lgs. 138/2024, tra cui la notifica al CSIRT Italia degli incidenti rientranti nelle tipologie individuate dalla normativa.
In questo quadro normativo è stata, da ultimo, introdotta la figura del Referente CSIRT.
CHI È IL REFERENTE CSIRT
Con la recente Determinazione dell’ACN n. 333017/2025 viene ufficialmente istituita la figura del Referente CSIRT, che svolgerà un ruolo di collegamento operativo con il CSIRT Italia per la gestione delle comunicazioni relative agli incidenti informatici. Ogni soggetto NIS dovrà procedere alla designazione del proprio referente tra il 20 novembre e il 31 dicembre 2025, utilizzando la procedura telematica resa disponibile tramite la piattaforma ACN.
Il referente dovrà essere una persona fisica, interna o esterna all’organizzazione, in possesso di competenze di base in sicurezza informatica e gestione degli incidenti. A tale figura spetterà il compito di inviare le notifiche degli incidenti e di mantenere la comunicazione con il CSIRT Italia. La normativa consente anche la designazione di uno o più sostituti, con funzioni equivalenti, al fine di garantire la continuità operativa.
L’introduzione di questa figura risponde all’esigenza di ogni soggetto NIS di disporre di un interlocutore identificabile e competente, in grado di gestire con tempestività situazioni di emergenza informatica o di minaccia alla sicurezza.
GESTIONE DEGLI INCIDENTI E REQUISITI DI COMPETENZA DEL REFERENTE CSIRT
A livello operativo, in caso di incidente, sarà necessario inviare una pre-notifica entro 24 ore dal rilevamento, indicando, se possibile, la natura dell’evento e un’eventuale incidenza transfrontaliera, entro le successive 72 ore, dovrà essere trasmessa una notifica completa dell’incidente ed Infine, entro un mese dalla notifica, dovrà essere redatta e inviata una relazione finale sull’accaduto.
Pertanto, è essenziale che i soggetti NIS si dotino di una procedura idonea a garantire l’individuazione tempestiva degli incidenti, la loro corretta classificazione e la trasmissione delle comunicazioni obbligatorie nei termini previsti, assicurando nel contempo un adeguato coordinamento interno e la tracciabilità di tutte le attività svolte.
Le organizzazioni sono inoltre tenute a garantire che il referente CSIRT segua un percorso di aggiornamento e formazione continua, affinché mantenga competenze adeguate nel tempo, in un settore in rapida e costante evoluzione.
La determinazione dell’ACN segna una tappa cruciale nell’attuazione della Direttiva NIS 2, introducendo una figura che diverrà presto indispensabile nella governance aziendale della sicurezza informatica.
