Una nuova determinazione dell’ACN, l’Agenzia per la Cybsersicurezza Nazionale, ha introdotto la nuova figura obbligatoria del Referente CSIRT (Computer Security Incident Response Team), ovvero il contatto aziendale con la squadra di esperti in sicurezza informatica preposta al monitoraggio, alla analisi e alla risposta a eventi di sicurezza informatica. Il Referente CSIRT è una persona fisica che ha fondamentalmente il compito di interloquire con lo CSIRT Italia ed effettuare per conto dell’azienda le notifiche degli incidenti significativi così come sono individuati agli articoli 25 e 26 del decreto NIS2. L’ACN intende con questo introdurre una figura dotata di specifiche competenze tecniche che, inserendosi nell’ufficio cyber delle organizzazioni soggette a NIS2, vada a completare la governance della sicurezza informatica nelle aziende e negli enti NIS2, con funzioni più tecniche e operative in tema di adempimenti. Soprattutto per quanto concerne appunto la notifica degli incidenti informatici, tra gli aspetti più sensibili e complicati della NIS2.
Lo CSIRT Italia è l’organo di carattere tecnico interno all’ACN che riceve le segnalazioni riguardanti incidenti significativi, oltre a occuparsi di dare supporto alle organizzazioni in merito alle misure da adottare a seguito di un eventuale incidente. Le aziende NIS2 hanno quindi l’obbligo di designare il Referente CSIRT a partire dal 20 novembre 2025 ed entro il 31 dicembre 2025, ufficializzando la nomina mediante procedura telematica dedicata sul Portale ACN. Un obbligo che apre pertanto una finestra temporale a cui le aziende devono prestare immediata attenzione.
La determina stabilisce inoltre che la persona fisica individuata come Referente CSIRT deve essere formalmente designata dal Punto di Contatto. Quest’ultimo è una figura già prevista dalla direttiva NIS2 e presente all’interno dell’Ufficio Cyber delle organizzazioni. A differenza del nuovo Referente CSIRT, il Punto di Contatto svolge principalmente funzioni di tipo amministrativo. Prima della nuova determina, il Punto di Contatto era infatti la persona fisica con il compito di curare l’attuazione di tutti gli adempienti in materia di NIS2, fungendo da figura con cui l’azienda interloquisce con l’Autorità nazionale competente NIS (ACN). Il Punto di Contatto non ha però la responsabilità degli adempimenti, in quanto la responsabilità delle violazioni è in capo alle figure apicali e ai vertici aziendali, secondo quanto disposto dall’articolo 23 della direttiva NIS.
Fino a ottobre 2025, oltre al Punto di Contatto la normativa prevedeva inoltre la figura del sostituto del Punto di Contatto, figura obbligatoria di supporto al Punto di Contatto nell’espletamento delle funzioni a lui affidate. Quindi due figure obbligatorie che si occupavano operativamente dell’adempimento degli obblighi NIS2 e di interloquire con l’ACN.
Da ottobre 2025, l’ACN ha quindi adottato la nuova determinazione n. 333017/2025 che aggiorna e sostituisce la determinazione n. 136117/2025, introducendo appunto la figura del Referente CSIRT. A supporto delle funzioni del Referente CSIRT, la determina prevede la possibilità di nominare uno o più sostituti. Tale misura è finalizzata a garantire la continuità operativa in caso di assenza del Referente, assicurando che i suoi compiti vengano svolti tempestivamente, in particolare per quanto riguarda l’aspetto più delicato della notifica degli incidenti significativi.
Un elemento fondamentale per distinguere il Punto di Contatto dal Referente CSIRT e dai suoi eventuali sostituti riguarda le competenze richieste a queste figure. Il Referente CSIRT e i suoi sostituti, nominati secondo la discrezionalità e la sensibilità dell’organizzazione, devono possedere almeno competenze di base in materia di sicurezza informatica e di gestione degli incidenti di cybersecurity. Inoltre, è richiesta una conoscenza approfondita dei sistemi informativi e delle reti dell’organizzazione presso cui operano.
Il Referente CSIRT, oltre alla notifica degli incidenti, deve altresì compiere tutta una serie di obblighi documentali e relazionali con CSIRT Italia riguardo alle attività iniziali, intermedie e finali compiute dall’organizzazione NIS per la notifica dell’incidente informatico. Il Referente CSIRT si deve occupare inoltre della notifica volontaria di eventuali incidenti non significativi, ai sensi della normativa (articolo 25). Va poi ricordato che la NIS2 richiede che, in aggiunta alla notifica al CSIRT Italia, l’azienda – e non è chiaro se questo sia in capo al Referente CSIRT o a figure importanti all’interno dell’organizzazione, o anche allo stesso Punto di Contatto – in caso di incidente informatico ha anche l’obbligo di comunicazione verso l’esterno, sia nei confronti degli utenti di un eventuale servizio sia della propria supply chain, laddove l’incidente possa anche influire sui servizi e sulle strutture della catena di fornitura dell’azienda.
La nuova determina n. 333017/2025 dice quindi che è possibile designare come Referente CSIRT anche un soggetto esterno all’organizzazione, che pertanto non deve necessariamente essere una persona fisica presente al suo interno. Riguardo le figure di governance della NIS2, le ultime FAQ di ACN hanno difatti specificato che le uniche figure che non possono essere esternalizzate sono il Punto di Contatto e il suo sostituto – le due figure che la NIS2 individua per gli adempimenti e l’interlocuzione con ACN -, che possono però avvalersi di personale esterno nell’espletamento delle loro funzioni.
Nella scelta tra la designazione di una persona interna o esterna all’organizzazione, va quindi tenuto in conto che la figura del Referente CSIRT deve poter assicurare una certa reperibilità, onde poter garantire il suo supporto tempestivo entro le tempistiche stringenti per la notifica degli incidenti significativi previste dalla NIS2, ovvero 24 e 72 ore. Inoltre, deve “entrare” nelle strutture dell’azienda a tal punto da avere una profonda conoscenza dei flussi interni, dell’apparato cyber interno, e di tutto quanto gli occorre per svolgere l’incarico, come richiesto dalla nuova determina dell’ACN.