Referente CSIRT: guida alla figura introdotta da ACN in ambito Direttiva NIS2

La Direttiva (UE) 2022/2555 (NIS2) ha ridefinito il quadro europeo di cybersecurity e gestione del rischio per soggetti pubblici e privati che operano in settori critici.

In Italia, la NIS2 è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale e in vigore dal 16 ottobre 2024. Il decreto individua gli obblighi per gli operatori “essenziali” e “importanti” e definisce i rapporti con le autorità nazionali competenti, tra cui l’Agenzia per la Cybersicurezza Nazionale (ACN).

Tra le novità più significative c’è il Referente CSIRT, una nuova figura operativa che consolida il collegamento tra le organizzazioni soggette e il CSIRT Italia (Computer Security Incident Response Team Italia).

L’istituzione del Referente CSIRT nasce dalle determinazioni di ACN del 19 settembre 2025 (prot. n. 250916/2025) e dell’inizio ottobre 2025 (prot. n. 333017/2025), che hanno formalizzato la procedura di designazione e il periodo utile per la comunicazione della nomina da parte delle organizzazioni.

Un passaggio chiave nella governance NIS2 italiana

La creazione del Referente CSIRT rientra nella strategia di ACN di costruire un ecosistema di risposta strutturato e coordinato agli incidenti cyber, garantendo canali di comunicazione chiari e tempestivi tra pubblico e privato.

Con l’introduzione di questa figura, l’Agenzia ha voluto differenziare due livelli di interlocuzione:

• Il Punto di Contatto (PdC): è la figura istituzionale dell’organizzazione, responsabile della registrazione sulla piattaforma NIS, della gestione delle comunicazioni ufficiali con ACN e dell’aggiornamento dei dati anagrafici.
• Il Referente CSIRT: è la figura tecnica e operativa, incaricata di interagire direttamente con il CSIRT Italia per la segnalazione, la gestione e il follow-up degli incidenti informatici.

Questa distinzione consente di rendere più efficiente il flusso informativo e migliorare la prontezza di risposta in caso di attacchi o compromissioni di sicurezza.

Compiti e responsabilità del Referente CSIRT

Il Referente CSIRT non è un ruolo meramente formale.

Secondo quanto indicato nelle determinazioni ACN, il referente:

• agisce come interfaccia tecnica tra l’organizzazione e il CSIRT Italia;
• trasmette le notifiche di incidente obbligatorie (art. 25 del D.Lgs. 138/2024) e quelle volontarie (art. 26). Pre-alert entro 24 ore in caso di incidente significativo, approfondimento entro 72 ore e relazione tecnica-legale entro 30 giorni, con la necessità di una qualificazione giuridica dell’incidente secondo il regolamento europeo 2690/2024;
• collabora con ACN e CSIRT per analisi, mitigazione e gestione degli eventi;
• coordina le attività interne necessarie a raccogliere e condividere le informazioni tecniche;
• garantisce la continuità operativa, potendo essere supportato da uno o più sostituti formalmente designati.

Il ruolo richiede pertanto comprovate competenze di cyber security e incident management, conoscenza dei processi aziendali e capacità di gestire procedure di notifica in tempi molto ristretti (entro 24 ore dall’incidente, come previsto dalla NIS2).

Il CSIRT è la figura che dovrà relazionarsi, per conto della azienda, con il CSIRT Italia (il team nazionale di risposta agli incidenti informatici, istituito presso l’Agenzia per la Cybersicurezza Nazionale “ACN”).

Il Referente CSIRT deve essere esterno o interno?  

Il Referente CSIRT deve essere interno all’organizzazione (es. CISO, IT Manager, Security Officer) e non esterno. E, non deve essere la medesima persona designata come Punto di Contatto. 

La figura, ad ogni modo, deve: 

• disporre delle competenze necessarie;
• essere in grado di garantire reperibilità e continuità;
• essere formalmente designata dal Punto di Contatto e comunicata ad ACN entro la finestra temporale stabilita (novembre–dicembre 2025 secondo le determinazioni in vigore).

Cosa devono fare oggi le organizzazioni soggette alla NIS2

Le aziende classificate come operatori essenziali o importanti ai sensi del D.Lgs. 138/2024 devono ora:

1. Verificare la designazione del Punto di Contatto (PdC) sul portale NIS di ACN e assicurarsi che i dati siano corretti e aggiornati.
2. Identificare il Referente CSIRT, interno o esterno, e formalizzare la delega da parte del PdC.
3. Comunicare la nomina ad ACN tramite la piattaforma dedicata, entro i termini previsti dalle determinazioni 250916/2025 e 333017/2025, nello specifico a partire dal 20 novembre ed entro il 31 dicembre 2025.
4. Aggiornare le procedure interne di gestione incidenti, assicurando che il Referente CSIRT sia integrato nel flusso di notifica e risposta.
5. Formare il personale coinvolto nei processi di incident management, per assicurare coerenza tra ruoli, responsabilità e canali di comunicazione.

Perché il Referente CSIRT è una figura strategica per la resilienza cyber

L’introduzione del Referente CSIRT rappresenta un’evoluzione importante per la resilienza digitale delle imprese italiane.

Da un lato consente ad ACN e CSIRT Italia di avere interlocutori tecnici qualificati; dall’altro aiuta le organizzazioni a migliorare la propria capacità di rilevare, gestire e comunicare incidenti in modo strutturato.

Per i manager e i decision maker, questa figura non va vista come un adempimento burocratico, ma come un tassello della governance cyber aziendale, al pari del DPO o del CISO.

Un referente competente e sempre reperibile consente di ridurre il rischio di reazioni tardive e aumentare la prontezza operativa dell’intera organizzazione.

Axitea è in grado di formare e supportare i Referenti CSIRT in questo delicato ruolo.
________________________________________

Riferimenti normativi e documentali

• Direttiva (UE) 2022/2555 (NIS2) del Parlamento europeo e del Consiglio, 14 dicembre 2022.
• Decreto Legislativo 4 settembre 2024, n. 138, “Attuazione della Direttiva (UE) 2022/2555” (G.U. Serie Generale n. 228 del 16/10/2024).
• Determinazione ACN prot. n. 38565/2024 (registrazione PdC e accesso alla piattaforma NIS).
• Determinazione ACN prot. n. 250916/2025 e n. 333017/2025 (introduzione e designazione del Referente CSIRT).