Che requisiti devono avere i Sostituti del Referente CSIRT?

I sostituti devono possedere gli stessi requisiti del Referente CSIRT e sono soggetti alle medesime previsioni operative (inclusa la necessità di poter gestire correttamente interlocuzioni e notifiche).

Referente CSIRT e NIS2: tra i nuovi obblighi la nomina di un referente CSIRT entro il 31 dicembre 2025

In questo articolo

Il referente CSIRT diventa il punto di contatto operativo con CSIRT Italia per la gestione degli incidenti
Chi è e cosa fa un referente CSIRT
Una domanda tipica è: il referente CSIRT deve essere per forza un dipendente?
Cosa deve fare concretamente un soggetto NIS2 per arrivare pronto alla scadenza del 31 dicembre per il referente CSIRT?
BeeCyber CSIRT Manager: la soluzione Infor per il referente CSIRT
Call di approfondimento con i nostri specialisti
Le FAQ sul Referente CSIRT e i chiarimenti ACN

Il referente CSIRT diventa il punto di contatto operativo con CSIRT Italia per la gestione degli incidenti

Quando parliamo di referente CSIRT e NIS2 stiamo rispondendo a un obbligo preciso:

la Determinazione ACN 333017/2025 impone ai soggetti NIS di designare, tramite il Portale ACN, una persona fisica entro il 31 dicembre 2025 (a partire dal 20 novembre).

È il passo concreto che completa l’adeguamento operativo alla NIS2, dove senza un referente CSIRT nominato, la catena di notifica degli incidenti resta monca. Il referente CSIRT diventa l’interlocutore stabile per CSIRT Italia per tutte le comunicazioni previste dagli articoli 25 e 26 sul tema incidenti significativi e informazioni rilevanti.

Chi è e cosa fa un referente CSIRT

Quando succede qualcosa di serio sui servizi essenziali o importanti, ACN non vuole “cercare un numero in rubrica” ma vuole sapere subito chi, con nome e cognome, è responsabile della comunicazione con l’autorità e dell’attivazione del flusso di notifica. Dal punto di vista dei requisiti, l’articolo 7 chiede che referente CSIRT e sostituti abbiano almeno competenze di base in tre aree: sicurezza informatica, gestione degli incidenti, conoscenza approfondita dei sistemi e delle reti dell’azienda. Parliamo di requisiti minimi e non dell’obiettivo finale.

Il referente CSIRT deve saper riconoscere quando un evento supera la soglia di “incidente significativo”, raccogliere rapidamente le informazioni tecniche critiche, coordinarsi con CISO, IT, legal, comunicazione e direzione, e strutturare il dialogo con CSIRT Italia in modo chiaro e completo.

L’errore da non fare è quello di pensare che il referente sia un “compilatore di moduli” sul Portale perchè significherebbe sottovalutare di senso della riforma. Il referente CSIRT è una figura che abbraccia area tecnica, processi e responsabilità verso il regolatore.

Una domanda tipica è: il referente CSIRT deve essere per forza un dipendente?

La risposta è no. La Determinazione chiarisce che deve essere una persona fisica designata dal Punto di Contatto (Il punto di contatto è il rappresentante istituzionale dell’organizzazione nei confronti dell’ACN, l’Agenzia per la Cybersicurezza Nazionale, incaricata di garantire la comunicazione con l’Autorità competente e con CSIRT Italia) ma non impone che sia interna.

Possono essere infatti designati come referenti CSIRT anche professionisti esterni, purché identificati individualmente e inseriti nel processo aziendale. Le opzioni reali sono almeno tre:

figura interna (CISO, responsabile sicurezza o incident response) nelle organizzazioni più mature
professionista esterno con mandato formale
modello misto, con referente interno supportato da consulenti specializzati

La scelta del referente CSIRT non deve essere effettuata solo in base al ruolo ma basarsi sulle capacità di un professionista di gestire sia incidenti informatici complessi che il confronto con un’autorità nazionale in momenti di crisi.

Cosa deve fare concretamente un soggetto NIS2 per arrivare pronto alla scadenza del 31 dicembre per il referente CSIRT?

Prima di tutto, verificare la propria posizione sulla piattaforma NIS dell’ACN e assicurarsi che registrazione e dati del Punto di Contatto siano aggiornati, perché è da lì che parte la procedura telematica di designazione del referente CSIRT e dei suoi eventuali sostituti. In parallelo dovrà mappare i servizi essenziali/importanti, i flussi di gestione incidenti già esistenti (SOC, help desk, fornitori), e identificare chi oggi, di fatto, coordina le crisi digitali. A valle di questa analisi sceglierà il referente, formalizzerà il ruolo, le responsabilità e reperibilità, oltre a definire i sostituti. Dovrà poi aggiornare procedure interne e playbook di incident response includendo esplicitamente le tempistiche e i contenuti delle notifiche verso CSIRT Italia.

È sufficiente nominare il referente CSIRT per aumentare il proprio livello di sicurezza informatica in caso di attacco cyber?

Va chiarito fin da subito che la nomina del referente CSIRT non è un adempimento “per non prendere sanzioni” ma un’occasione per mettere ordine nella catena decisionale durante un incidente cyber.
La NIS2 introduce tempistiche serrate per pre-notifiche, notifiche e report successivi sugli incidenti significativi, e prevede anche notifiche volontarie su minacce e quasi-incidenti.

In assenza di una figura chiaramente responsabile, il rischio è quello di perdere ore preziose a decidere chi fa cosa, proprio mentre i sistemi sono in crisi.

Lavorare oggi sulla scelta del referente CSIRT, sulla definizione di un piccolo “incident team” e su procedure condivise con la direzione può trasformare un obbligo normativo in un pezzo importante della resilienza operativa dell’organizzazione.

Il referente CSIRT non è una formalità e serve una risorsa dedicata  che conosca procedure, flussi e priorità di intervento.

BeeCyber CSIRT Manager: la soluzione Infor per il referente CSIRT

Con il servizio BeeCyber CSIRT Manager assumiamo noi il ruolo di Referente CSIRT esterno per la tua azienda:

Presidiamo il rapporto operativo con CSIRT Italia
Gestiamo le tempistiche di notifica e la preparazione delle informazioni
Ci interfacciamo con i tuoi team e provider esistenti (SOC, MSP, cloud)

Mentre la tua azienda mantiene il controllo tecnologico e decisionale noi coordiniamo incident reporting e compliance NIS2.

Call di approfondimento con i nostri specialisti

Vuoi capire se BeeCyber CSIRT Manager è la soluzione giusta per la tua organizzazione?

Insieme analizzeremo lo stato attuale di processi, ruoli e strumenti in uso, con l’obiettivo di valutare in modo rapido e concreto se c’è un reale allineamento con il servizio BeeCyber CSIRT Manager. Compila subito il form per essere ricontattato.

Le FAQ sul Referente CSIRT e i chiarimenti ACN

Sul sito ACN è possibile consultare le FAQ ufficiali sul tema REFERENTE CSIRT, in aggiornamento continuo. Di seguito riportiamo alcune delle domande più frequenti alle quali abbiamo risposto in questi mesi.

Chi è il Referente CSIRT e a cosa serve?

Il Referente CSIRT è la persona fisica designata dall’organizzazione per gestire le comunicazioni operative con il CSIRT Italia e trasmettere le notifiche (incluse quelle relative a incidenti significativi e le eventuali notifiche volontarie di informazioni rilevanti di cybersicurezza).

La designazione del Referente CSIRT è una delega “di responsabilità”?

No. La designazione è qualificata come delega esclusivamente operativa in quanto non comporta trasferimento di responsabilità dagli organi di amministrazione e direzione, che restano i soggetti responsabili per la compliance NIS2.

Quali requisiti deve avere il Referente CSIRT?

Le FAQ ACN chiariscono che può essere qualsiasi persona fisica che disponga di:

competenze di base in materia di cybersicurezza e gestione degli incidenti
adeguata conoscenza di sistemi e reti dell’organizzazione per cui opera

Il Referente CSIRT può essere un professionista esterno (es. SOC/CERT o outsourcer IT)?

Sì. È ammessa anche la designazione di professionisti esterni, ad esempio il responsabile di un SOC/CERT o il gestore di un’infrastruttura IT esternalizzata, purché in possesso dei requisiti minimi richiesti.

Nelle aziende più piccole, il Punto di Contatto e il Referente CSIRT possono coincidere?

Sì. Le FAQ indicano che, limitamente alle organizzazioni di dimensioni contenute, i ruoli di Punto di Contatto e Referente CSIRT possono coincidere.

Ci sono vincoli di cittadinanza? E si può comunicare in inglese con il CSIRT Italia?

Non risultano limitazioni relative alla cittadinanza del Referente CSIRT. Inoltre, il dialogo operativo con il CSIRT Italia può avvenire anche in lingua inglese.

I “Sostituti” del Referente CSIRT sono obbligatori?

Di regola la designazione di uno o più sostituti è una facoltà (non un obbligo), utile per garantire continuità operativa e tempestività, soprattutto rispetto alle scadenze di pre-notifica e follow-up.

Chi può inviare le notifiche di incidente al CSIRT Italia?

Oltre al Referente CSIRT e ai suoi sostituti, le FAQ chiariscono che la notifica può essere effettuata anche dal Punto di Contatto e dal Sostituto Punto di Contatto.

Come funziona, in pratica, la designazione sul Portale ACN? Serve documentazione?

Il Punto di Contatto inserisce nel Portale (Servizi ACN) codice fiscale ed e-mail del Referente CSIRT e degli eventuali sostituti. Il Referente (e i sostituti) accedono con SPID o CIE e completano il censimento/utenza. Non è richiesto il caricamento di documentazione di supporto per completare questo passaggio.

Cosa si intende per “incidenti significativi” da notificare?

Gli “incidenti significativi” sono definiti nelle specifiche ACN sugli obblighi/notifiche. La disciplina tecnica è stata aggiornata a fine 2025 e la Determinazione ACN n. 379907/2025 (applicabile dal 15 gennaio 2026) risulta indicata come sostitutiva della precedente determinazione in materia di “incidenti significativi di base”.

Siamo davvero obbligati a nominare il Referente CSIRT?

Se la tua organizzazione è un soggetto NIS (essenziale o importante), la designazione del Referente CSIRT costituisce un presidio operativo richiesto nell’ambito delle procedure ACN/CSIRT per gestire correttamente comunicazioni e notifiche di incidente. L’adempimento garantisce una persona fisica identificata che possa inviare notifiche e interagire con il CSIRT Italia nei tempi previsti. Per organizzazioni fuori perimetro NIS, l’obbligo NIS2 non si applica, ma un ruolo equivalente aiuta readiness e richieste di supply chain.

Che cosa fa esattamente il Referente CSIRT? Deve essere interno?

Il Referente CSIRT è l’interfaccia operativa con il CSIRT Italia che gestisce comunicazioni e trasmette le notifiche di incidente (obbligatorie e, se del caso, volontarie). La figura può essere interna oppure un professionista esterno (es. SOC/CERT o outsourcer IT), a condizione di competenze base in incident handling e conoscenza adeguata del contesto tecnico. In ogni scenario serve accesso rapido alle informazioni da IT e security per invii completi e coerenti.

Quali sono le scadenze delle finestre di notifica (24h/72h/1 mese) e che reperibilità serve?

Le finestre tipiche sono 24 ore per la pre-notifica, 72 ore per la notifica più completa e 1 mese per la relazione finale, con decorrenza dalla conoscenza dell’incidente significativo. La reperibilità richiesta riguarda soprattutto un processo che prevede triage rapido, escalation, raccolta evidenze e decisioni interne per rispettare le scadenze. In pratica serve un flusso H24 (o presidi equivalenti sugli alert critici) e template pronti per inviare informazioni essenziali anche con analisi in corso.

Come capisco se sono già inquadrato come soggetto NIS e dove inserire il referente?

Per capire se sei soggetto NIS, verifica appartenenza a settori/categorie e criteri previsti, oltre ai passaggi di registrazione/comunicazione verso ACN e alle evidenze ricevute dell’inquadramento. Operativamente, il Referente CSIRT viene inserito nel Portale/Servizi ACN dal Punto di Contatto (codice fiscale ed e-mail) e poi il referente completa l’utenza con SPID/CIE. In caso di dubbi interni, spesso la conferma arriva da compliance/legal o da chi gestisce il Punto di Contatto.

Come si coordina il Referente CSIRT con MDR/SOC e con i connettori esistenti?

Il Referente CSIRT coordina comunicazioni e notifiche, mentre MDR/SOC produce evidenze (scope, timeline, IoC) e IT gestisce contenimento e ripristino. Il coordinamento migliore nasce da un RACI semplice e un runbook che definisca cosa il SOC deve fornire entro poche ore per la pre-notifica e cosa completare entro 72 ore. Con SIEM/EDR/ticketing conviene automatizzare estrazioni (IoC, timeline) e mantenere un controllo umano sulla qualità prima dell’invio.

Quali coperture assicurative e responsabilità sono in gioco?

La designazione del Referente CSIRT costituisce una delega operativa e lascia la responsabilità di compliance agli organi di amministrazione e direzione e alla governance aziendale. Sul piano assicurativo, spesso entrano in gioco cyber insurance (IR/forensics, ripristino, BI, legali) e talvolta D&O per profili di governance, con coperture ed esclusioni definite dalla polizza. Conviene verificare in anticipo obblighi di denuncia del sinistro, vendor “approvati” e tempistiche, perché incidono sulle prime 24–72 ore.

Quali competenze pratiche deve avere il referente?

Il referente deve distinguere evento, incidente e incidente significativo e tradurre un report tecnico in informazioni “notificabili” con impatto sul servizio, gravità, perimetro, timeline, misure adottate e IoC disponibili. Serve conoscenza dell’ambiente (oppure comunicazione rapida con chi la possiede) per evitare errori o ritardi nella comunicazione. Il referente deve rispondere velocemente a “cosa è successo, cosa impatta, cosa stiamo facendo”.

Se non siamo soggetti NIS2, ha senso una nomina formale o è meglio un servizio consulenziale equivalente?

Per organizzazioni fuori perimetro NIS2, un ruolo equivalente può risultare utile per incident readiness, richieste dei clienti e gestione della supply chain. Un servizio consulenziale/MDR risulta spesso più efficiente in assenza di copertura H24 o competenze interne, con SLA e deliverable chiari (triage, raccolta evidenze, supporto comunicazioni). Un modello ibrido (owner interno + supporto esterno) può garantire rapidità e controllo.