Referente CSIRT

Dal 20 novembre al 31 dicembre 2025 le organizzazioni soggette a NIS2 dovranno indicare sul portale ACN il proprio referente CSIRT e gli eventuali sostituti. Non è un adempimento formale: significa scegliere chi, nei momenti critici, sarà il punto di dialogo con il CSIRT Italia e firmerà le comunicazioni sugli incidenti.
 

Chi è il referente CSIRT
Il referente è una persona fisica, nominata dal Punto di Contatto, che diventa l’interlocutore operativo verso il CSIRT Italia. A lui (o lei) spetta l’invio delle notifiche di incidente e la gestione delle informazioni rilevanti. La possibilità di indicare dei sostituti garantisce continuità anche in caso di assenza del titolare.
 

Competenze necessarie
La normativa richiede competenze minime in sicurezza, incident response e conoscenza dell’infrastruttura interna, ma nella pratica serve una figura che sappia valutare la gravità degli eventi, comprendere l’architettura dei servizi critici, coordinare più funzioni aziendali e comunicare con l’autorità in modo chiaro e completo.
 

Interno o esterno?
Il referente può essere un dipendente, un professionista esterno o una combinazione dei due modelli. L’unico vero criterio è la competenza: affidare il ruolo a persone non adeguatamente preparate può compromettere la gestione dell’incidente nelle prime ore.
 

Quando notificare
La soglia è quella dell’“incidente significativo”: eventi che causano o possono causare impatti rilevanti sulla continuità dei servizi, sulle finanze o su soggetti terzi. La Determinazione ACN 164179/2025 elenca alcune tipologie di incidenti di riferimento (perdita di riservatezza, integrità, livelli di servizio e, per i soggetti essenziali, abuso di privilegi), che diventano notificabili solo se superano i criteri di impatto dell’articolo 25.
 

Tempistiche di comunicazione
Le scadenze sono stringenti:
24 ore per la pre-notifica;
72 ore per la notifica completa;
eventuale relazione intermedia su richiesta;
relazione finale entro un mese, con riepilogo dell’incidente, cause, impatto e misure adottate.
Se l’incidente prosegue, sono previsti aggiornamenti mensili.
Notifiche volontarie
Oltre agli obblighi, le aziende possono segnalare anche minacce rilevanti o eventi che hanno sfiorato un impatto grave. Queste comunicazioni seguono lo stesso percorso procedurale, ma restano facoltative.
Coordinamento dei ruoli
Punto di Contatto, referente CSIRT, CISO e altre funzioni devono lavorare in modo coordinato. La designazione deve essere l’esito di un processo interno chiaro, non una formalità dell’ultimo minuto.

Cosa fare ora
verificare che il Punto di Contatto sia attivo e abbia accesso al portale ACN;
scegliere il referente sulla base dell’esperienza reale, non della posizione in organigramma;
individuare uno o più sostituti preparati;
aggiornare il processo di incident management per assicurare che le informazioni richieste da NIS2 siano disponibili entro le scadenze di legge.
Dal momento in cui si apre la procedura ACN, la figura del referente CSIRT diventa un ruolo operativo a tutti gli effetti. La sua scelta influenzerà la capacità dell’organizzazione di gestire e comunicare correttamente gli incidenti più critici.