Referente CSIRT: obblighi, designazione e gestione degli incidenti NIS2

Il nuovo aggiornamento ACN e la nascita del referente CSIRT

Con la Determinazione ACN n. 333017/2025, l’Agenzia per la Cybersicurezza Nazionale introduce la figura del referente CSIRT, con l’obiettivo di collegare i soggetti NIS2 al CSIRT Italia – il team tecnico nazionale incaricato di prevenire, analizzare e gestire gli incidenti informatici. Il referente CSIRT dovrà assicura le comunicazioni e il coordinamento con il CSIRT Italia in caso di incidente.

La designazione del referente CSIRT è prevista sul Portale ACN tra il 20 novembre e il 31 dicembre 2025. Questa novità porta le aziende alla gestione operativa degli incidenti in coerenza con l’obbligo, da gennaio 2026, di dimostrare un piano di incident response chiaro e verificabile.

Nominare il referente CSIRT: scadenze e modalità operative

La designazione del referente CSIRT è obbligatoria per tutti i soggetti NIS (essenziali e importanti) e si effettua sul Portale ACN nella finestra 20 novembre – 31 dicembre 2025. Operativamente, l’ente avvia la pratica di designazione, inserisce i dati richiesti e completa le dichiarazioni previste. Registrazione, verifica e convalida dell’utenza richiedono in media 1–2 giorni lavorativi, per cui consigliamo di avviare la procedura con anticipo, così da avere il tempo necessario per risolvere eventuali richieste di integrazione.

Con la nomina si attiva un canale operativo strutturato con il CSIRT Italia per la gestione e la notifica degli incidenti informatici secondo NIS2.

 

Chi può essere referente CSIRT

Il referente CSIRT deve essere una persona fisica. La figura può essere interna all’organizzazione oppure esterna, purché individuata formalmente e in grado di garantire continuità operativa, reperibilità e competenze adeguate alle attività di comunicazione e coordinamento con il CSIRT Italia.

È inoltre ammessa la designazione di uno o più sostituti, che possono esercitare le stesse funzioni del referente CSIRT. Questa possibilità assicura copertura operativa anche in caso di assenza o indisponibilità del titolare.

La determinazione richiede che referente e sostituti possiedano competenze tecniche di base in sicurezza informatica e gestione degli incidenti, nonché conoscenza approfondita dei sistemi informativi e delle reti dell’organizzazione: requisiti necessari per un’interlocuzione efficace e tempi di risposta adeguati.

Posso nominare un referente CSIRT esterno?

Sì. È possibile nominare un referente CSIRT esterno. In questo caso è necessario predisporre un contratto dedicato che disciplini in modo chiaro:

• responsabilità della funzione e ambito di intervento;
• riservatezza e trattamento delle informazioni;
• coordinamento tecnico con i referenti interni e con il CSIRT Italia;
• tempi di risposta in caso di incidente, incluse reperibilità e modalità di escalation.

Questi elementi contrattuali tutelano l’organizzazione e rendono verificabili ruoli, tempi e procedure, in coerenza con gli obblighi previsti dalla Direttiva NIS2 e con l’obiettivo di arrivare pronti alla verifica del piano di incident response prevista da gennaio 2026.

 

Compiti e responsabilità del referente CSIRT

Il referente CSIRT presidia l’intero ciclo di gestione degli incidenti: a lui spetta l’attivazione della catena di risposta, la notifica degli eventi secondo gli articoli 25 e 26 del D.Lgs. NIS e il raccordo operativo con il CSIRT Italia. In concreto, cura la comunicazione tempestiva verso l’esterno e verso l’interno, coordina i team tecnici perché rilevazione, contenimento, mitigazione e ripristino seguano procedure definite, e garantisce che ogni passaggio sia tracciato e documentato.

Terminata l’emergenza, il referente conduce o coordina i follow-up post-incidente: analisi delle cause, verifica delle misure adottate, reportistica verso il management e aggiornamento delle procedure affinché le lezioni apprese confluiscano nel piano di incident response. In questo modo assicura continuità tra gestione operativa, adempimenti NIS2 e miglioramento continuo dei processi.

Differenze tra Referente CSIRT e Punto di Contatto NIS2

All’interno dell’assetto NIS2, Punto di Contatto e referente CSIRT rispondono a esigenze differenti che si completano. Il PdC presidia la governance: è l’interlocutore con ACN per la registrazione sul Portale, l’aggiornamento periodico e la gestione delle anagrafiche dei soggetti NIS2. Il referente CSIRT è la figura operativa: interviene in caso di incidente informatico, coordina i flussi interni ed esterni e dialoga direttamente con il CSIRT Italia per notifica e gestione degli eventi.

In sintesi: al Punto di Contatto spettano registrazione e adempimenti; al referente CSIRT, incident response e comunicazioni operative.

 

Impatti organizzativi per le aziende

L’introduzione del referente CSIRT richiede un allineamento tra Punto di Contatto e reparto IT, per rendere effettivi i processi di incident response previsti da NIS2. In concreto, è opportuno:

• aggiornare le procedure interne (rilevazione, classificazione, escalation, contenimento, ripristino) e le relative istruzioni operative;
• definire ruoli e responsabilità e stabilire SLA di risposta misurabili;
• rivedere i flussi di comunicazione verso l’interno e verso il CSIRT Italia, assicurando tracciabilità e registri delle segnalazioni;
• coordinare stabilmente PdC e referente CSIRT: il primo per registrazione/adempimenti sul Portale ACN, il secondo per la gestione operativa e la notifica degli incidenti;
• integrare i controlli tecnici (monitoring, logging, ticketing) con i processi organizzativi, così che la designazione del referente CSIRT si traduca in tempi certi e passaggi verificabili;
• pianificare formazione mirata e test periodici (table-top, simulazioni) per validare procedure e tempi.

Queste attività concorrono a dimostrare, da gennaio 2026, l’esistenza di un piano di risposta agli incidenti chiaro e documentato, coerente con gli obblighi NIS2 e con l’operatività quotidiana dell’organizzazione.

 

Il piano di risposta agli incidenti: obbligo entro gennaio 2026

Entro gennaio 2026 i soggetti NIS2 devono poter dimostrare l’esistenza di un piano di incident response adeguato agli indirizzi ACN. Il piano deve rendere chiari, in modo operativo:

• i criteri per riconoscere e classificare un incidente;
• i canali e le tempistiche di comunicazione interna ed esterna (incluso il CSIRT Italia);
• le azioni di contenimento, mitigazione e ripristino dei servizi;
• le attività di revisione post-evento e di aggiornamento periodico.

Questo requisito completa la cornice introdotta dal referente CSIRT: al “chi” della responsabilità operativa si affianca il “come” dell’esecuzione. Operativamente, conviene chiudere entro fine anno la verifica dei processi, formalizzare la documentazione e assicurare la tracciabilità necessaria per le verifiche ACN.

 

Come possiamo supportarti nel percorso NIS2

Accompagniamo le organizzazioni lungo tutto il percorso di adeguamento alla NIS2, lavorando a stretto contatto con professionisti qualificati (legali e tecnici) per garantire indicazioni coerenti con le prescrizioni ACN e una messa a terra realmente operativa. Partiamo da un assessment per mappare ruoli e responsabilità (PdC e referente CSIRT) e individuare i gap, quindi supportiamo l’aggiornamento della documentazione necessaria.

Sul fronte operativo, collaboriamo alla redazione del piano di incident response (ruoli, tempi, procedure verificabili); in parallelo, curiamo la formazione del personale con corsi di cybersecurity per tutti i dipendenti e la dirigenza (e-learning o sessioni dedicate) per migliorare la consapevolezza generale e ridurre gli errori umani, che sono ancora oggi una delle principali cause degli attacchi alle aziende.

All’interno della governance integriamo il lavoro documentale con soluzioni per la sicurezza e l’operatività continuativa: crittografia, controllo accessi e MFA, SOC/NOC, backup e disaster recovery, data center, connettività e sistemi telefonici in cloud. In sintesi, uniamo consulenza organizzativa e soluzioni tecniche per offrire un supporto completo e verificabile all’adeguamento alla NIS2.