NIS 2: Nomina del referente CSIRT entro il 31.12.2025

Dall’entrata in vigore del testo, la normativa ha predisposto un quadro di scadenze di particolare importanza ed in continuo aggiornamento, in particolare le nuove regole impongono tre passaggi fondamentali:

1. La registrazione obbligatoria per le aziende coinvolte sulla piattaforma digitale.
   La piattaforma NIS serve a strutturare e a rendere ufficiale il modo in cui l’azienda comunica con le autorità, ovvero l’ACN e il CSIRT Italia. Questo strumento, oltre a diventare un canale di dialogo, permette alle autorità di controllare che le regole vengano rispettate.
2. Valutazione ed implementazione di misure di sicurezza informatica tramite politiche di gestione del rischio e degli incidenti, tese anche a garantire la continuità operativa.
3. Nominare il referente CSIRT, adempimento obbligatorio ed immediato da effettuare entro il 31 dicembre 2025.

In Italia il ruolo del referente CSIRT [Computer Security Incident Response Team], quale figura chiave del nuovo modello di gestione ed elemento operativo del sistema di risposta e coordinamento nazionale, è stato formalizzato con la Determinazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) n. 333017/2025, che ne stabilisce funzioni, requisiti e modalità di designazione.

Secondo la disciplina, la figura del referente CSIRT presso le organizzazioni soggette agli obblighi normativi è una persona fisica, sia interna che esterna all’azienda, designata dal Punto di Contatto, il cui compito è interfacciarsi direttamente con lo CSIRT Italia, il team nazionale di risposta agli incidenti di sicurezza informatica coordinato dall’ACN.

L’ACN ha delineato profili di competenza specifici, che includono conoscenze tecniche approfondite in ambito di cybersecurity, capacità di gestione degli incidenti secondo framework riconosciuti, comprensione del quadro normativo di riferimento. Lo stesso, inoltre, deve anche contribuire attivamente alla costruzione di una cultura della sicurezza cibernetica all’interno dell’organizzazione, fungendo da promotore per l’implementazione delle misure tecniche e organizzative richieste dalla normativa.

Il referente CSIRT, in particolare, ha il compito di:

• interfacciarsi a livello tecnico con CSIRT Italia, essendo l’unica persona a poterlo e doverlo fare;
• garantire la notifica tempestiva e conforme degli incidenti informatici di impatto;
• coordinare le attività di risk assessment e incident response interne.

Il Referente CSIRT è, dunque, il punto di contatto operativo e strategico tra l’azienda e le strutture nazionali di cyber security e il CSIRT Italia. È la figura che, in caso di incidente, assicura che ogni evento di sicurezza sia gestito e comunicato in conformità con i protocolli nazionali.

Non è un ruolo formale o meramente burocratico, ma rappresenta il fulcro di un sistema di gestione che richiede conoscenze tecniche e tempestività d’azione; esso rappresenta la controparte tecnica del Punto di contatto NIS2, altra figura chiave che mantiene, invece, la responsabilità istituzionale delle comunicazioni con ACN.

L’adempimento dell’obbligo di nomina del referente CSIRT rientra nel processo di conformità alla Direttiva NIS2, il quale richiede un approccio strategico ed integrato per trasformare il costo in un investimento pianificato e in un vantaggio competitivo.