Il referente CSIRT è una figura destinate a divenire il fulcro degli adempimenti operativi relativi alla notifica degli incidenti. L’introduzione di questa nuova figura risponde all’esigenza, sempre più avvertita nella prassi, di assicurare rapidità, competenza e uniformità nella gestione degli incidenti informatici, delineando un canale privilegiato di interlocuzione tra gli operatori essenziali e importanti e il CSIRT Italia.

In tale prospettiva, il referente CSIRT si configura come presidio tecnico-organizzativo, chiamato a interfacciarsi con le strutture nazionali di risposta agli incidenti e a garantire la tempestiva trasmissione delle notifiche obbligatorie e volontarie previste dal D. Lgs. 138/2024.

L’obiettivo di questo articolo è quello di offrire una breve guida sul ruolo del referente CSIRT, illustrando il contenuto delle FAQ e della Determinazione ACN in un’ottica di chiarificazione operativa per imprese e pubbliche amministrazioni.

L’analisi si concentrerà sui presupposti normativi della figura, sulle competenze e sui requisiti richiesti, sulle procedure di designazione tramite il Portale ACN e sulle responsabilità operative che ne derivano. Verrà inoltre esaminata la posizione del referente CSIRT nel più ampio modello di gestione degli incidenti informatici, evidenziando il rapporto con il Punto di Contatto e con gli organi apicali del soggetto NIS.

La base normativa del referente CSIRT nella determinazione ACN

La figura del referente CSIRT trova la propria disciplina positiva nella Determinazione ACN n. 333017/2025, adottata in attuazione del Decreto Legislativo 4 settembre 2024, n. 138. L’articolato di riferimento, in particolare l’articolo 7 della Determinazione, definisce in termini puntuali la natura, le funzioni e i requisiti della figura, delineando un presidio specificamente dedicato alla gestione delle relazioni operative con il CSIRT Italia.

La ratio della previsione risiede nella necessità di garantire un flusso informativo standardizzato ed efficiente tra i soggetti NIS e l’autorità nazionale di risposta agli incidenti, assicurando uniformità procedurale e tempestività nell’adempimento degli obblighi di notifica degli incidenti significativi (articolo 25 del Decreto NIS) e delle comunicazioni volontarie (articolo 26).

La Determinazione ACN prevede inoltre che la designazione del referente CSIRT debba avvenire esclusivamente attraverso il Portale dei Servizi ACN, secondo la procedura telematica resa disponibile a partire dal 20 novembre 2025. La stessa disposizione contempla la possibilità di nominare uno o più sostituti, al fine di assicurare la piena continuità operativa nella gestione degli incidenti.

Un profilo di particolare rilievo operativo riguarda la scadenza fissata al 31 dicembre 2025, entro la quale ogni soggetto NIS è tenuto a completare la designazione del proprio referente CSIRT attraverso il Portale dei Servizi ACN. Tale deadline segna il momento entro cui le organizzazioni dovranno adeguare i propri assetti interni, assicurando la piena operatività della funzione e l’allineamento alle prescrizioni dettate dalla Determinazione ACN.

Requisiti professionali e competenze richieste al referente CSIRT

La disciplina elaborata dall’Agenzia per la Cybersicurezza Nazionale attribuisce particolare rilievo ai requisiti di qualificazione del referente CSIRT, nella consapevolezza che l’efficacia del presidio dipenda, in via primaria, dalla competenza tecnica e dalla conoscenza dell’ecosistema digitale del soggetto NIS.

Le FAQ chiariscono che il referente CSIRT deve possedere almeno competenze di base in materia di sicurezza informatica e di gestione degli incidenti, competenze che costituiscono la soglia minima per interagire con il CSIRT Italia e gestire correttamente il processo di notifica.

Parallelamente, è richiesto un livello di conoscenza approfondita dei sistemi informativi, delle architetture di rete e delle infrastrutture digitali dell’organizzazione, poiché solo una piena consapevolezza delle logiche di funzionamento interne consente di valutare correttamente la portata di un incidente e di fornire informazioni tempestive e coerenti con i requisiti regolatori.

Un ulteriore elemento di flessibilità emerge dalla possibilità, riconosciuta dalle FAQ, di designare un referente CSIRT esterno all’organizzazione, purché tali competenze siano adeguatamente garantite. Questa apertura consente ai soggetti NIS di avvalersi di figure altamente specializzate, quali i responsabili di SOC o CERT esternalizzati, soprattutto quando non sia possibile allocare risorse interne dotate delle competenze richieste.

L’Agenzia, tuttavia, segnala la preferenza per la scelta di un referente interno, in quanto maggiormente integrato nelle dinamiche operative e decisionali dell’ente. Tale impostazione si inserisce in una logica di rafforzamento dei presidi interni di cybersicurezza, valorizzando la conoscenza diretta dei processi e delle infrastrutture.

Nomina, designazione e ruolo del Punto di Contatto nella procedura ACN

Le FAQ precisano che l’individuazione del referente CSIRT e dei suoi eventuali sostituti deve essere effettuata esclusivamente tramite il Portale ACN, mediante la funzionalità di aggiornamento dati accessibile al Punto di Contatto.

Quest’ultimo, quale figura già istituzionalizzata dal quadro NIS, assume un ruolo centrale nella fase genetica dell’incarico, essendo l’unico soggetto abilitato a inserire i dati identificativi del referente CSIRT, in particolare il codice fiscale e l’indirizzo di posta elettronica. La procedura è congegnata affinché la designazione produca effetti solo a seguito della successiva attività di censimento da parte dell’interessato, il quale è tenuto ad accedere personalmente al Portale tramite identità digitale (SPID o CIE) e a confermare la propria iscrizione come referente CSIRT. La procedura non richiede alcun caricamento documentale, rendendo il processo snello pur mantenendo un elevato livello di tracciabilità.

Responsabilità operative del referente CSIRT e delega di funzioni

Il ruolo attribuito al referente CSIRT si caratterizza per una marcata dimensione operativa, che si esprime principalmente nella gestione delle notifiche di incidenti significativi ai sensi dell’articolo 25 del Decreto NIS e delle comunicazioni volontarie previste dall’articolo 26.

Le FAQ chiariscono in modo inequivoco che la designazione del referente CSIRT non integra una delega di responsabilità in senso proprio, ma esclusivamente una delega funzionale e operativa. Le responsabilità giuridiche, anche in caso di omissione o inesattezza nella gestione dell’incidente, sembrerebbero restare in capo agli organi di amministrazione e direzione dell’ente, conformemente all’impianto normativo delineato dall’articolo 23 del D. Lgs. 138/2024.

Il referente CSIRT svolge dunque un ruolo tecnico di raccordo, essenziale per assicurare la tempestività e la qualità delle comunicazioni, ma non subentra nelle responsabilità apicali previste dalla normativa NIS.

Cionondimeno, il referente CSIRT deve essere inserito in un sistema organizzativo che preveda ruoli e procedure chiaramente definite, idonee a garantire la circolazione delle informazioni verso le strutture tecniche, le funzioni aziendali competenti e gli organi apicali chiamati ad assumere le decisioni di maggiore rilievo.

Il ruolo dei sostituti del referente CSIRT e la continuità della funzione

La disciplina delineata dall’Agenzia per la Cybersicurezza Nazionale attribuisce particolare rilievo anche alla figura dei sostituti del referente CSIRT, i quali costituiscono un presidio importante per garantire la continuità operativa nella gestione degli incidenti informatici.

Le FAQ chiariscono che i sostituti partecipano attivamente all’esercizio delle funzioni attribuite al referente, potendo operare in sua vece nei casi di impedimento temporaneo o di necessità connessa alla tempestività della comunicazione verso il CSIRT Italia.

Tale previsione risponde alla logica, sottesa alla normativa NIS, di evitare interruzioni o ritardi nella gestione degli eventi di sicurezza, considerato che la tempestività delle notifiche rappresenta un elemento essenziale per la mitigazione degli impatti e la protezione dell’integrità delle infrastrutture digitali.

I sostituti del referente CSIRT devono essere in possesso degli stessi requisiti richiesti per il referente principale, inclusi la competenza di base in materia di cybersicurezza, la capacità di gestione degli incidenti e la conoscenza approfondita dei sistemi informativi dell’organizzazione.

Questa equiparazione dei requisiti garantisce che il livello di qualità delle interlocuzioni con il CSIRT Italia rimanga invariato, indipendentemente dalla persona fisica che effettua la comunicazione. L’ACN ribadisce inoltre che sia il referente CSIRT sia i suoi sostituti devono completare personalmente il censimento sul Portale dei Servizi ACN, condizione necessaria per l’effettiva abilitazione all’esercizio delle funzioni.

Assistenza legale  e supporto operativo nella gestione degli adempimenti NIS 2. Referente CSIRT e piano per la Cybersicurezza.

La disciplina del referente CSIRT, così come delineata dalla Determinazione ACN,  introduce un presidio tecnico-organizzativo destinato a incidere in modo significativo sull’assetto interno dei soggetti NIS.

In tale contesto, lo Studio Legale D’Agostino offre supporto specialistico nella configurazione e nell’implementazione degli adempimenti relativi al referente CSIRT, mettendo a disposizione una consolidata expertise in materia di cybersicurezza. Grazie alla collaborazione con Transizione Digitale e all’utilizzo della piattaforma ScuDoc, lo Studio assiste imprese e pubbliche amministrazioni nella definizione dei processi, nella predisposizione della documentazione necessaria e nella corretta attuazione degli obblighi previsti dalla normativa NIS.

 

Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.