Per gli enti soggetti alla Direttiva NIS2, il conto alla rovescia è ormai avviato. Restano infatti tre settimane per comunicare il referente CSIRT tramite il portale dell’Agenzia per la Cybersicurezza Nazionale, completando così uno degli adempimenti più operativi e immediati previsti dal nuovo quadro normativo italiano in materia di sicurezza delle reti e dei sistemi informativi. La finestra temporale fissata da ACN per effettuare la designazione va infatti dal 20 novembre al 31 dicembre 2025 e la scadenza di fine anno segna il passaggio dalla teoria della compliance alla concreta capacità di risposta agli incidenti cyber.​

Questa nuova figura, introdotta dalla Determinazione ACN n. 333017/2025 in attuazione del D.Lgs. 138/2024, si inserisce in un ecosistema regolatorio che punta a rendere realmente operativi gli obblighi di notifica, coordinando gli operatori essenziali e importanti con il CSIRT Italia in modo strutturato, standardizzato e tempestivo. Per molte organizzazioni, soprattutto quelle che hanno finora vissuto NIS2 come un tema prevalentemente documentale, la nomina del referente CSIRT rappresenta il momento in cui la governance della sicurezza deve confrontarsi con processi, ruoli e responsabilità concrete.​

Il referente CSIRT è una persona fisica che diventa il fulcro operativo delle interazioni tra il soggetto NIS e il CSIRT Italia, in particolare nei momenti di crisi generati da incidenti informatici significativi. Si tratta di una figura con una forte connotazione tecnica-organizzativa, chiamata a orchestrare la raccolta delle informazioni sull’incidente, a coordinarsi con il team interno di risposta (IR team) e a garantire che le notifiche obbligatorie e volontarie rispettino tempi e contenuti prescritti dal Decreto NIS.​

Dal punto di vista dei requisiti, ACN richiede almeno competenze di base in sicurezza informatica e gestione degli incidenti, oltre a una conoscenza approfondita dei sistemi informativi e di rete del soggetto per cui opera, siano essi IT, OT o misti. Questo significa che la nomina non può essere puramente formale, visto che designare un referente privo di reale capacità tecnica espone l’organizzazione a un doppio rischio, di non conformità regolatoria e di inefficacia operativa nel momento in cui un incidente serio si verifica davvero.​

Uno degli aspetti centrali del nuovo modello è la distinzione tra Punto di Contatto NIS e referente CSIRT. Il primo rimane l’interfaccia istituzionale e strategica con ACN, mentre il secondo è il delegato tecnico-operativo che in pratica gestisce il ciclo di vita delle notifiche verso il CSIRT Italia. Il referente viene quindi designato dal Punto di Contatto, che mantiene la responsabilità apicale, ma si avvale di questa figura per assicurare rapidità, qualità e completezza dei flussi informativi.​

NIS2 CSIRT

Crediti: Shutterstock

La procedura è interamente telematica e passa dal Portale dei Servizi ACN dedicato ai soggetti NIS. Il Punto di Contatto accede tramite identità digitale (SPID o CIE), seleziona l’organizzazione, indica il referente CSIRT e, nel caso, uno o più sostituti, completando poi la registrazione entro il 31 dicembre 2025. A partire dal 20 novembre è possibile anche la creazione e attivazione dell’account del referente sul portale, passo indispensabile perché la persona designata possa effettivamente operare in prima persona nella gestione delle notifiche.​

L’introduzione del referente CSIRT si collega direttamente alle stringenti tempistiche di notifica previste dal D.Lgs. 138/2024: pre-notifica dell’incidente entro 24 ore, notifica completa entro 72 ore e relazione finale entro un mese, con possibili aggiornamenti intermedi. In questo contesto, chi riveste il ruolo di referente deve conoscere a fondo i sistemi e le procedure interne per raccogliere in poche ore informazioni attendibili su impatti, cause probabili e misure di mitigazione.​

La presenza di uno o più sostituti, nominati con la stessa procedura e dotati di analoghe competenze, rappresenta una misura di resilienza interna che consente di garantire continuità nella gestione degli incidenti, anche in caso di assenza del referente principale. Per i soggetti con perimetri complessi, distribuzione geografica ampia o forte integrazione tra IT e OT, investire su una squadra di riferimento attorno al referente CSIRT diventa una scelta quasi obbligata per evitare colli di bottiglia decisionali e operativi.​

Arrivare a ridosso della scadenza senza aver definito il profilo del referente, verificato i requisiti, chiarito i rapporti con il Punto di Contatto e con il team interno di risposta significa esporsi al rischio concreto di un adempimento frettoloso e puramente formale. Le indicazioni e le FAQ rese disponibili da ACN e dagli esperti del settore insistono proprio sul fatto che la nomina è un tassello di governance e non un semplice caricamento di dati anagrafici.​

Queste tre settimane vanno quindi lette come un margine operativo per chiudere eventuali gap organizzativi, definendo procedure interne di escalation, mappando gli incidenti da notificare, stabilendo i canali di comunicazione con CSIRT Italia e testando, almeno a livello simulato, il flusso di notifica.