Referente CSIRT e NIS2: tra i nuovi obblighi la nomina di un referente CSIRT entro il 31 dicembre 2025

In questo articolo

Quando parliamo di referente CSIRT e NIS2 stiamo rispondendo a un obbligo preciso:

la Determinazione ACN 333017/2025 impone ai soggetti NIS di designare, tramite il Portale ACN, una persona fisica entro il 31 dicembre 2025 (a partire dal 20 novembre).

È il passo concreto che completa l’adeguamento operativo alla NIS2, dove senza un referente CSIRT nominato, la catena di notifica degli incidenti resta monca. Il referente CSIRT diventa l’interlocutore stabile per CSIRT Italia per tutte le comunicazioni previste dagli articoli 25 e 26 sul tema incidenti significativi e informazioni rilevanti.

Quando succede qualcosa di serio sui servizi essenziali o importanti, ACN non vuole “cercare un numero in rubrica” ma vuole sapere subito chi, con nome e cognome, è responsabile della comunicazione con l’autorità e dell’attivazione del flusso di notifica. Dal punto di vista dei requisiti, l’articolo 7 chiede che referente CSIRT e sostituti abbiano almeno competenze di base in tre aree: sicurezza informatica, gestione degli incidenti, conoscenza approfondita dei sistemi e delle reti dell’azienda. Parliamo di requisiti minimi e non dell’obiettivo finale.

Il referente CSIRT deve saper riconoscere quando un evento supera la soglia di “incidente significativo”, raccogliere rapidamente le informazioni tecniche critiche, coordinarsi con CISO, IT, legal, comunicazione e direzione, e strutturare il dialogo con CSIRT Italia in modo chiaro e completo.

L’errore da non fare è quello di pensare che il referente sia un “compilatore di moduli” sul Portale perchè significherebbe sottovalutare di senso della riforma. Il referente CSIRT è una figura che abbraccia area tecnica, processi e responsabilità verso il regolatore.

La risposta è no. La Determinazione chiarisce che deve essere una persona fisica designata dal Punto di Contatto (Il punto di contatto è il rappresentante istituzionale dell’organizzazione nei confronti dell’ACN, l’Agenzia per la Cybersicurezza Nazionale, incaricata di garantire la comunicazione con l’Autorità competente e con CSIRT Italia) ma non impone che sia interna.

Possono essere infatti designati come referenti CSIRT anche professionisti esterni, purché identificati individualmente e inseriti nel processo aziendale. Le opzioni reali sono almeno tre:

• figura interna (CISO, responsabile sicurezza o incident response) nelle organizzazioni più mature
• professionista esterno con mandato formale
• modello misto, con referente interno supportato da consulenti specializzati

La scelta del referente CSIRT non deve essere effettuata solo in base al ruolo ma basarsi sulle capacità di un professionista di gestire sia incidenti informatici complessi che il confronto con un’autorità nazionale in momenti di crisi.

Prima di tutto, verificare la propria posizione sulla piattaforma NIS dell’ACN e assicurarsi che registrazione e dati del Punto di Contatto siano aggiornati, perché è da lì che parte la procedura telematica di designazione del referente CSIRT e dei suoi eventuali sostituti. In parallelo dovrà mappare i servizi essenziali/importanti, i flussi di gestione incidenti già esistenti (SOC, help desk, fornitori), e identificare chi oggi, di fatto, coordina le crisi digitali. A valle di questa analisi sceglierà il referente, formalizzerà il ruolo, le responsabilità e reperibilità, oltre a definire i sostituti. Dovrà poi aggiornare procedure interne e playbook di incident response includendo esplicitamente le tempistiche e i contenuti delle notifiche verso CSIRT Italia.

Va chiarito fin da subito che la nomina del referente CSIRT non è un adempimento “per non prendere sanzioni” ma un’occasione per mettere ordine nella catena decisionale durante un incidente cyber.
La NIS2 introduce tempistiche serrate per pre-notifiche, notifiche e report successivi sugli incidenti significativi, e prevede anche notifiche volontarie su minacce e quasi-incidenti.

In assenza di una figura chiaramente responsabile, il rischio è quello di perdere ore preziose a decidere chi fa cosa, proprio mentre i sistemi sono in crisi.

Lavorare oggi sulla scelta del referente CSIRT, sulla definizione di un piccolo “incident team” e su procedure condivise con la direzione può trasformare un obbligo normativo in un pezzo importante della resilienza operativa dell’organizzazione.

Il referente CSIRT non è una formalità e serve una risorsa dedicata  che conosca procedure, flussi e priorità di intervento.

Con il servizio BeeCyber CSIRT Manager assumiamo noi il ruolo di Referente CSIRT esterno per la tua azienda:

• Presidiamo il rapporto operativo con CSIRT Italia
• Gestiamo le tempistiche di notifica e la preparazione delle informazioni
• Ci interfacciamo con i tuoi team e provider esistenti (SOC, MSP, cloud)

Mentre la tua azienda mantiene il controllo tecnologico e decisionale noi coordiniamo incident reporting e compliance NIS2.

Vuoi capire se BeeCyber CSIRT Manager è la soluzione giusta per la tua organizzazione?

Insieme analizzeremo lo stato attuale di processi, ruoli e strumenti in uso, con l’obiettivo di valutare in modo rapido e concreto se c’è un reale allineamento con il servizio BeeCyber CSIRT Manager. Compila subito il form per essere ricontattato.