Lo scorso 3 ottobre, l’Autorità per la Cybersicurezza Nazionale (“ACN”) ha pubblicato la Determinazione n. 333017/2025 (la “Determinazione”), che aggiorna e sostituisce la precedente Determinazione 283727/2025. La novità principale è l’introduzione della figura del “Referente CSIRT”.
Chi è del Referente CSIRT
La Determinazione introduce, nel contesto di ogni organizzazione soggetta al Decreto NIS 2, la figura del Referente CSIRT. Si tratta di una persona fisica designata dal punto di contatto, ossia da quel soggetto espressamente designato come tale dai Soggetti NIS, con il compito di procedere alla registrazione dell’organizzazione sul portale dell’ACN e a interloquire con l’Autorità.
Le competenze
Le funzioni di Referente CSISRT possono essere svolte da qualsiasi persona fisica designata dal Punto di contatto per conto del soggetto NIS, purché possieda almeno competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto NIS per conto del quale opera.
Il Referente CSIRT ha il compito di interloquire con lo CSIRT Italia ed effettuare le notifiche obbligatorie degli incidenti significativi (ex articolo 25 del Decreto NIS e articolo 2, comma 3, della Determinazione ACN 164179/2025 ), nonché di quelle volontarie (ex articolo 26 del medesimo Decreto NIS) per conto del soggetto per cui opera.
Figura interna o esterna?
Per quanto sia auspicabile che il Referente CSIRT sia interno all’organizzazione, contrariamente al Punto di contatto, la citata determinazione non vieta l’esternalizzazione di tale figura. Pertanto, è possibile designare quale Referente CSIRT personale esterno come, ad esempio, un responsabile del SOC/CERT o della gestione dell’infrastruttura IT esternalizzato.
Scadenza della designazione
Attraverso il portale dell’ACN dal 20 novembre al 31 dicembre 2025, le imprese rientranti nel perimetro di applicazione del Decreto NIS2, dovranno procedere alla designazione del Referente CSIRT.
Nel caso in cui i Soggetti NIS decidano di affidare il ruolo a un soggetto esterno, dovranno regolare l’incarico con un apposito contratto di outsourcing, che definisca in modo chiaro responsabilità, obblighi di riservatezza, modalità di accesso ai sistemi informatici aziendali e tempi di risposta in caso di incidente.
Sarà importante, inoltre, chiarire i ruoli privacy delle parti e la titolarità delle comunicazioni trasmesse al CSIRT Italia.
Potrebbe interessarti:
NIS 2 cosa bisogna sapere
NIS 2: proroga al 31 luglio