Con la recente Determinazione del 19 settembre 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) introduce una nuova figura chiave per la sicurezza informatica delle organizzazioni soggette alla direttiva NIS2: il Referente CSIRT. Questa nomina, prevista entro il 31 dicembre 2025, rappresenta un passaggio cruciale per rafforzare la risposta agli incidenti e migliorare il flusso di comunicazione con lo CSIRT Italia.
Cos’è il Referente CSIRT?
Il Referente CSIRT è una persona fisica designata dal Punto di Contatto (PdC) del soggetto NIS attraverso una procedura telematica sul Portale ACN. Questo ruolo ha il compito operativo di gestire le notifiche degli incidenti informatici significativi, come previsto dagli articoli 25 e 26 del decreto NIS, e di interloquire direttamente con lo CSIRT Italia.
Mentre il Punto di Contatto rimane il fulcro amministrativo e di compliance, responsabile della registrazione e aggiornamento delle informazioni sul Portale ACN, il Referente CSIRT si concentra sull’operatività e sulla tempestività della risposta agli incidenti.
Competenze e requisiti
Il Decreto stabilisce che il Referente CSIRT deve possedere competenze di base in sicurezza informatica e incident management, insieme a una conoscenza approfondita dei sistemi e delle reti dell’organizzazione.
Questo profilo professionale richiede non solo capacità tecniche, ma anche soft skill come comunicazione efficace e coordinamento interfunzionale, fondamentali per agire rapidamente e con precisione in situazioni di crisi.
Designazione e scadenze
La finestra di designazione è fissata dal 20 novembre al 31 dicembre 2025. La nomina avviene tramite il PdC sul Portale ACN e può prevedere anche la designazione di uno o più sostituti, che devono avere gli stessi requisiti del referente principale.
La presenza di sostituti è facoltativa, ma consigliata per garantire la continuità operativa e ridurre il rischio di “single point of failure”.
Referente CSIRT interno o esterno?
A differenza del Punto di Contatto, che deve essere un dipendente interno, non è escluso che il Referente CSIRT possa essere anche un consulente esterno. Questa possibilità apre il mercato a professionisti qualificati esterni, a patto che siano garantiti livelli di servizio adeguati e un’interlocuzione tempestiva ed efficace con lo CSIRT Italia.
Impatti organizzativi
L’introduzione del Referente CSIRT porta chiarezza e specializzazione nel modello di gestione degli incidenti informatici, separando i ruoli di governance e compliance (PdC) da quelli di risposta operativa (Referente CSIRT).
Le aziende dovranno definire chiaramente le responsabilità (tramite una RACI), preparare playbook e runbook aggiornati secondo le tempistiche di notifica previste, e implementare esercitazioni specifiche per testare la capacità di raccolta dati, qualificazione dell’incidente e comunicazione con lo CSIRT.
Cosa fare adesso
In vista della scadenza, è fondamentale:
- Individuare candidati interni o esterni con esperienza concreta in gestione incidenti e profonda conoscenza dei sistemi IT/OT, se del caso tra le figure già coinvolte nei processi aziendali in tema.
- Allineare i playbook di incident response agli articoli 25 e 26 del decreto NIS, con modelli di notifica chiari e processi approvativi definiti.
- Organizzare esercitazioni pratiche focalizzate sulla notifica degli incidenti per garantire prontezza e precisione.
Perché è una buona notizia
La creazione del Referente CSIRT migliora significativamente la governance operativa della sicurezza, mira a ridurre il time-to-notify e ad offrire un canale diretto e dedicato per il CSIRT Italia, elemento fondamentale nei momenti critici.
Conclusioni
Il Referente CSIRT non è un adempimento formale in più, ma una figura strategica che lega la compliance con la risposta attiva agli incidenti informatici, fondamentale nel contesto NIS2 italiano.
