Nel solco del V Tavolo NIS, l’Agenzia per la Cybersicurezza Nazionale introduce una figura chiave per mettere a terra il flusso di notifica e l’interlocuzione con lo CSIRT Italia: il Referente CSIRT.

È stata inoltre pubblicata una nuova Determinazione del Direttore che aggiorna e sostituisce il precedente atto di luglio, fissando termini, modalità e procedimenti di utilizzo del Portale ACN e dei Servizi NIS, oltre a regolare in modo più puntuale le informazioni che i soggetti NIS devono fornire ai fini delle funzioni assegnate dal decreto NIS.

Che cos’è il Referente CSIRT

Il Referente CSIRT è la persona fisica, designata dal Punto di Contatto (PdC) tramite procedura telematica sul Portale ACN, che interloquisce con lo CSIRT Italia ed effettua le notifiche di cui agli articoli 25 e 26 del decreto NIS per conto del soggetto NIS.

La finestra di designazione è fissata dal 20 novembre al 31 dicembre 2025 e possono essere nominati uno o più sostituti per garantire la continuità operativa.

Al ruolo sono richieste competenze di base in sicurezza informatica e gestione degli incidenti insieme a una conoscenza approfondita dei sistemi e delle reti dell’organizzazione.

Dettagli chiave della nuova figura del referente CSIRT

• Designazione: 20 novembre – 31 dicembre 2025
• Mansioni: interlocuzione con CSIRT Italia e invio delle notifiche incidentali
• Requisiti: competenze di base in cyber e incident management + conoscenza profonda di sistemi e reti dell’ente

Cosa cambia rispetto al “Punto di Contatto”

Il PdC resta il perno della registrazione/aggiornamento sul Portale ACN e dell’interlocuzione istituzionale con l’Autorità nazionale competente NIS: è la funzione “di tenuta” del perimetro di adempimenti (registrazione, aggiornamento annuale, aggiornamento continuo, gestione anagrafiche).

Il Referente CSIRT è invece una figura operativa: si muove sull’asse incidenti – notifiche – coordinamento tecnico verso CSIRT Italia.

In sintesi: governance & compliance al PdC; incident response & reporting al Referente CSIRT.

Referente CSIRT: scadenze da segnare in agenda

Il nuovo ruolo si innesta su un calendario già scandito dalla Determinazione:

• Registrazione dei soggetti: 1 gennaio – 28 febbraio
• Aggiornamento annuale: 15 aprile – 31 maggio
• Aggiornamento continuo: fino al 14 aprile dell’anno successivo

Queste finestre ordinano il ciclo di vita dei dati “di contatto” e d’assetto gestiti dal PdC sul Portale ACN.

Interno o esterno? La (non) prescrizione che apre al mercato

Il testo non impone che il Referente CSIRT (o i sostituti) siano dipendenti dell’organizzazione.

In assenza di un vincolo espresso, si apre la possibilità di designare anche soggetti esterni in possesso dei requisiti previsti.

Resta inteso che responsabilità e supervisione rimangono in capo agli organi amministrativi e direttivi, così come al PdC per la parte dichiarativa e di flusso sul Portale.

Impatti organizzativi: dove incide davvero

La misura porta chiarezza di canale verso CSIRT Italia e riduzione del time-to-notify sugli incidenti significativi.

Per i soggetti NIS questo significa tradurre in una RACI la linea di comando emergenziale: chi raccoglie gli indicatori, chi valuta la significatività, chi firma la notifica, chi interloquisce con CSIRT, chi aggiorna il board.

Se prima il PdC rischiava di essere un “tuttofare”, oggi l’asse si separa in modo più coerente con le best practice di incident handling.

Referente CSIRT: cosa fare adesso

Con l’orizzonte di designazione fissato nel quarto trimestre 2025, è opportuno muoversi subito su quattro fronti:

1. Selezione del profilo. Mappare candidati con esperienza concreta in gestione incidenti e architetture di rete/sistemi dell’ente (o del gruppo), insieme a soft skill di crisi (comunicazione, coordinamento interfunzionale). La conoscenza profonda dell’ambiente IT/OT non è un “nice to have”: è un requisito.
2. Playbook e runbook di notifica. Allineare i playbook di Incident Response ai riferimenti NIS (artt. 25–26) e alle finestre temporali di notifica, con template standard (dati minimi, evidenze tecniche, allegati) e catena di approvazione definita. Il Referente CSIRT deve poter agire in prima battuta senza colli di bottiglia.
3. Integrazione con il Portale ACN. Verificare che anagrafiche, ruoli e domicili digitali siano corretti; predisporre la procedura interna per la designazione telematica del Referente CSIRT e dei sostituti non appena si aprirà la finestra del 20 novembre. Curare il coordinamento PdC/Referente CSIRT per evitare doppioni e zone grigie.
4. Esercitazioni “notifica-centriche”. Oltre ai tabletop generici, servono crisis-drill focalizzati su raccolta dati, qualificazione della significatività, stesura e invio notifica al CSIRT, con tempi misurati e lesson learned a chiusura.

Perché è una buona notizia

È una misura di governance operativa: chiarisce “chi alza la mano” verso CSIRT Italia e riduce l’ambiguità nei minuti che contano.

È anche un segnale al mercato: professionalità qualificate (interne o esterne) possono coprire un ruolo a forte responsabilità, lasciando al PdC il perimetro di registrazioni e adempimenti.

Tre attenzioni, però, restano fondamentali: evitare che il Referente CSIRT diventi un single point of failure; garantire sostituti formati e attivi h24; non confondere la firma della notifica con la lead tecnica dell’IR: sono piani che devono dialogare, non sovrapporsi.

NIS2 e referente CSIRT: la tessera che mancava

Il Referente CSIRT è la tessera che mancava per saldare compliance e risposta agli incidenti nel modello italiano NIS2.

Il messaggio ai board è semplice: non è un’etichetta in più, è responsabilità con tempi e interlocutori precisi.

Prepararsi ora significa arrivare al 20 novembre con processi provati, persone giuste e una linea di comunicazione che funziona quando serve: nel mezzo della crisi.