Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

ACN

NIS2, nasce il referente CSIRT: ruolo, scadenze e impatti operativi per le aziende

Home Norme e adeguamenti
Indirizzo copiato

Il referente CSIRT, ora introdotto dall’Agenzia cyber (Acn) è la tessera che mancava per saldare compliance e risposta agli incidenti nel modello italiano NIS2. Una nuova figura che dovrà essere designata tra il 20 novembre e il 31 dicembre 2025. Ecco tutto quello che c’è da sapere

Pubblicato il 7 ott 2025
Sandro Sana

Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0

NIS2 Referente CSIRT

Nel solco del V Tavolo NIS, l’Agenzia per la Cybersicurezza Nazionale introduce una figura chiave per mettere a terra il flusso di notifica e l’interlocuzione con lo CSIRT Italia: il Referente CSIRT.

È stata inoltre pubblicata una nuova Determinazione del Direttore che aggiorna e sostituisce il precedente atto di luglio, fissando termini, modalità e procedimenti di utilizzo del Portale ACN e dei Servizi NIS, oltre a regolare in modo più puntuale le informazioni che i soggetti NIS devono fornire ai fini delle funzioni assegnate dal decreto NIS.

Linee guida ACN NIS: cosa cambia per aziende ed enti e perché conviene muoversi subito

Che cos’è il Referente CSIRT

Il Referente CSIRT è la persona fisica, designata dal Punto di Contatto (PdC) tramite procedura telematica sul Portale ACN, che interloquisce con lo CSIRT Italia ed effettua le notifiche di cui agli articoli 25 e 26 del decreto NIS per conto del soggetto NIS.

La finestra di designazione è fissata dal 20 novembre al 31 dicembre 2025 e possono essere nominati uno o più sostituti per garantire la continuità operativa.

Al ruolo sono richieste competenze di base in sicurezza informatica e gestione degli incidenti insieme a una conoscenza approfondita dei sistemi e delle reti dell’organizzazione.

Dettagli chiave della nuova figura del referente CSIRT

  • Designazione: 20 novembre – 31 dicembre 2025
  • Mansioni: interlocuzione con CSIRT Italia e invio delle notifiche incidentali
  • Requisiti: competenze di base in cyber e incident management + conoscenza profonda di sistemi e reti dell’ente

Cosa cambia rispetto al “Punto di Contatto”

Il PdC resta il perno della registrazione/aggiornamento sul Portale ACN e dell’interlocuzione istituzionale con l’Autorità nazionale competente NIS: è la funzione “di tenuta” del perimetro di adempimenti (registrazione, aggiornamento annuale, aggiornamento continuo, gestione anagrafiche).

Il Referente CSIRT è invece una figura operativa: si muove sull’asse incidenti – notifiche – coordinamento tecnico verso CSIRT Italia.

In sintesi: governance & compliance al PdC; incident response & reporting al Referente CSIRT.

Referente CSIRT: scadenze da segnare in agenda

Il nuovo ruolo si innesta su un calendario già scandito dalla Determinazione:

  • Registrazione dei soggetti: 1 gennaio – 28 febbraio
  • Aggiornamento annuale: 15 aprile – 31 maggio
  • Aggiornamento continuo: fino al 14 aprile dell’anno successivo

Queste finestre ordinano il ciclo di vita dei dati “di contatto” e d’assetto gestiti dal PdC sul Portale ACN.

Interno o esterno? La (non) prescrizione che apre al mercato

Il testo non impone che il Referente CSIRT (o i sostituti) siano dipendenti dell’organizzazione.

In assenza di un vincolo espresso, si apre la possibilità di designare anche soggetti esterni in possesso dei requisiti previsti.

Resta inteso che responsabilità e supervisione rimangono in capo agli organi amministrativi e direttivi, così come al PdC per la parte dichiarativa e di flusso sul Portale.

Impatti organizzativi: dove incide davvero

La misura porta chiarezza di canale verso CSIRT Italia e riduzione del time-to-notify sugli incidenti significativi.

Per i soggetti NIS questo significa tradurre in una RACI la linea di comando emergenziale: chi raccoglie gli indicatori, chi valuta la significatività, chi firma la notifica, chi interloquisce con CSIRT, chi aggiorna il board.

Se prima il PdC rischiava di essere un “tuttofare”, oggi l’asse si separa in modo più coerente con le best practice di incident handling.

Referente CSIRT: cosa fare adesso

Con l’orizzonte di designazione fissato nel quarto trimestre 2025, è opportuno muoversi subito su quattro fronti:

  1. Selezione del profilo. Mappare candidati con esperienza concreta in gestione incidenti e architetture di rete/sistemi dell’ente (o del gruppo), insieme a soft skill di crisi (comunicazione, coordinamento interfunzionale). La conoscenza profonda dell’ambiente IT/OT non è un “nice to have”: è un requisito.
  2. Playbook e runbook di notifica. Allineare i playbook di Incident Response ai riferimenti NIS (artt. 25–26) e alle finestre temporali di notifica, con template standard (dati minimi, evidenze tecniche, allegati) e catena di approvazione definita. Il Referente CSIRT deve poter agire in prima battuta senza colli di bottiglia.
  3. Integrazione con il Portale ACN. Verificare che anagrafiche, ruoli e domicili digitali siano corretti; predisporre la procedura interna per la designazione telematica del Referente CSIRT e dei sostituti non appena si aprirà la finestra del 20 novembre. Curare il coordinamento PdC/Referente CSIRT per evitare doppioni e zone grigie.
  4. Esercitazioni “notifica-centriche”. Oltre ai tabletop generici, servono crisis-drill focalizzati su raccolta dati, qualificazione della significatività, stesura e invio notifica al CSIRT, con tempi misurati e lesson learned a chiusura.

Perché è una buona notizia

È una misura di governance operativa: chiarisce “chi alza la mano” verso CSIRT Italia e riduce l’ambiguità nei minuti che contano.

È anche un segnale al mercato: professionalità qualificate (interne o esterne) possono coprire un ruolo a forte responsabilità, lasciando al PdC il perimetro di registrazioni e adempimenti.

Tre attenzioni, però, restano fondamentali: evitare che il Referente CSIRT diventi un single point of failure; garantire sostituti formati e attivi h24; non confondere la firma della notifica con la lead tecnica dell’IR: sono piani che devono dialogare, non sovrapporsi.

NIS2 e referente CSIRT: la tessera che mancava

Il Referente CSIRT è la tessera che mancava per saldare compliance e risposta agli incidenti nel modello italiano NIS2.

Il messaggio ai board è semplice: non è un’etichetta in più, è responsabilità con tempi e interlocutori precisi.

Prepararsi ora significa arrivare al 20 novembre con processi provati, persone giuste e una linea di comunicazione che funziona quando serve: nel mezzo della crisi.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Sandro Sana
Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, lavora nel settore dell’Information Technology dal 1990. Nel corso della sua carriera ha collaborato con realtà molto diverse, dalle piccole imprese agli enti pubblici, fino a grandi aziende nazionali e internazionali. Dal 2003 affianca alle competenze tecnologiche un interesse attivo per la comunicazione, il public speaking e la formazione. A partire dal 2014 si dedica con particolare attenzione alla sicurezza informatica, con un focus sull’innovazione, la ricerca e l’evoluzione delle minacce digitali. È certificato CEH – Certified Ethical Hacker, CIH – Certified Incident Handler e CISSP – Certified Information Systems Security Professional. È stato relatore agli eventi SMAU 2017 e 2018, e docente per SMAU Academy e ITS. È membro del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce allo sviluppo di strategie per la formazione, la ricerca applicata e il trasferimento tecnologico nel campo della cyber security. Divulgatore ed editorialista, promuove la cultura della sicurezza digitale con particolare attenzione agli aspetti sociali, economici e normativi della trasformazione digitale. Si occupa di sensibilizzare imprese e istituzioni su rischi, responsabilità e opportunità connesse alla cybersicurezza.

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • SOC Security Operation Center

  • sponsored story

    Qual è la missione di un SOC nel 2025? Sfide e soluzioni

    15 Ott 2025

    Condividi
  • Phantom Taurus, evolve lo spionaggio cinese all'ombra di Net-Star: nel mirino email e database

  • cyber e geopolitica

    Phantom Taurus, evolve lo spionaggio cinese all'ombra di Net-Star: nel mirino email e database

    08 Ott 2025

    di Gabriele Iuvinale e Nicola Iuvinale

    Condividi
  • Aggiornamenti Android

  • sicurezza mobile

    Aggiornamenti Android gennaio 2025, corrette 38 vulnerabilità: aggiorniamo i dispositivi

    07 Gen 2025

    di Paolo Tarsitano

    Condividi
  • La nuova identità digitale in Cina: una svolta radicale nella sorveglianza - Pechino sventa l'attacco NSA al cuore della tecnologia temporale cinese: l'ombra del sabotaggio, ecco cosa sappiamo

  • privacy e libertà

    La nuova identità digitale in Cina: una svolta radicale nella sorveglianza

    11 Lug 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi