Con la Determinazione n. 333017 (la “Determinazione“) l’Agenzia per la Cybersicurezza Nazionale (“ACN“) ha introdotto una nuova figura all’interno del quadro regolamentare del NIS2: il Referente CSIRT.
Sebbene tale figura non sia espressamente prevista né dalla Direttiva NIS2 né dal Decreto Legislativo n. 138 del 4 settembre 2024 (“Decreto NIS2”), tutti i soggetti rientranti nell’ambito di applicazione del Decreto NIS2 e registrati sul portale ACN sono tenuti a nominare un Referente CSIRT e a comunicarne la nomina ad ACN tramite il portale entro il 31 dicembre 2025.
Chi è il Referente CSIRT e quali sono le sue funzioni
Ai sensi dell’articolo 7 della Determinazione, il Referente CSIRT è una persona fisica designata dal Punto di Contatto dell’organizzazione, con i seguenti compiti principali:
- mantenere i rapporti con CSIRT Italia, l’autorità nazionale responsabile della gestione operativa degli incidenti di cybersicurezza;
- trasmettere le notifiche di incidenti significativi ai sensi degli articoli 25 e 26 del Decreto NIS2.
Il Referente CSIRT è dunque una figura tecnica e specializzata, responsabile della gestione operativa degli aspetti legati alla conformità al Decreto NIS2 con riferimento alle disposizioni in materia di notifica degli incidenti significativi.
In particolare, è incaricato di inviare le notifiche e di mantenere la comunicazione con CSIRT Italia, sia nella fase successiva alla notifica (ad esempio, per rispondere a richieste di chiarimenti o informazioni aggiuntive), sia nell’ambito di comunicazioni più ampie con il CSIRT durante la normale attività aziendale.
Il ruolo è complementare a quello del Punto di Contatto, che conserva la responsabilità generale delle comunicazioni con ACN e dell’attuazione delle disposizioni del Decreto NIS2. Il Referente CSIRT, invece, si concentra esclusivamente sugli aspetti operativi e tecnici connessi alla gestione e alla notifica degli incidenti, senza coinvolgimento negli altri obblighi di conformità previsti dal Decreto NIS2.
Chi può essere nominato
L’articolo 7 della Determinazione prevede che il Referente CSIRT debba essere una persona fisica in possesso di:
- conoscenze di base in materia di cybersicurezza e gestione degli incidenti; e
- approfondita conoscenza dei sistemi informativi e delle reti dell’organizzazione.
A differenza del Punto di Contatto – che non è tenuto a possedere competenze tecniche – il Referente CSIRT deve soddisfare requisiti specifici di competenza tecnica e conoscenza operativa.
Emergono due principali questioni interpretative riguardanti tale ruolo.
- Il livello di competenza richiesto: La Determinazione fa riferimento a competenze “di base” in materia di cybersicurezza, il che lascia intendere che, sebbene non la funzione non possa essere assegnata a soggetti privi di qualsiasi formazione o esperienza nel settore, non sia necessario un profilo altamente specialistico. Tuttavia, considerata la natura critica del ruolo e la sensibilità dei temi trattati, è consigliabile affidare l’incarico a un professionista adeguatamente formato ed esperto, in grado di gestire eventuali incidenti significativi in modo efficace.
- La possibilità di nominare un soggetto esterno all’organizzazione: La Determinazione non specifica se il Referente CSIRT debba necessariamente essere un dipendente dell’organizzazione o possa essere un consulente esterno. In assenza di divieti espliciti, si può ragionevolmente ritenere che la funzione possa essere affidata anche a un consulente o collaboratore esterno, a condizione che:
- possieda una conoscenza approfondita dei sistemi informativi dell’organizzazione, e
- dimostri una familiarità e capacità operativa concreta con tali sistemi.
Pertanto, qualora il ruolo venga assegnato a un fornitore esterno di servizi di cybersicurezza, è essenziale che questi abbia già una conoscenza approfondita dell’infrastruttura dell’organizzazione. L’incarico non può essere attribuito “da zero” a un soggetto terzo privo di familiarità pregressa con l’ambiente IT aziendale.
Sostituto del Referente CSIRT
La Determinazione prevede inoltre la possibilità di designare uno o più sostituti, per garantire continuità operativa e tempestività nelle comunicazioni in caso di indisponibilità del referente principale.
Considerata l’imprevedibilità degli incidenti informatici, è fortemente raccomandato nominare più Referenti CSIRT, organizzando turni di lavoro e periodi di assenza in modo da assicurare che vi sia sempre almeno un referente disponibile a svolgere le proprie funzioni.
Prossimi Passi
L’introduzione del Referente CSIRT rappresenta un nuovo elemento organizzativo all’interno del sistema di conformità NIS2, che si affianca al ruolo del Punto di Contatto.
Le organizzazioni devono ora:
- Valutare attentamente a chi assegnare il ruolo, assicurandosi che la persona designata soddisfi i requisiti tecnici previsti dalla Determinazione;
- Formalizzare la nomina del Referente CSIRT, definendone le funzioni e integrando il ruolo nella governance aziendale della cybersicurezza;
- Garantire la disponibilità continuativa della persona designata, elemento essenziale per una corretta gestione e notifica degli incidenti.
A partire dal 20 novembre, sarà possibile creare l’account utente del Referente CSIRT direttamente tramite il portale ACN. Tale operazione dovrà essere effettuata dal Punto di Contatto, responsabile dell’inserimento dei dati richiesti e del completamento della procedura di creazione dell’account.
Conclusione
L’introduzione del Referente CSIRT segna un passo significativo verso una governance della cybersicurezza più strutturata ed efficiente nell’ambito del quadro normativo NIS2.
Le organizzazioni dovrebbero considerare questa novità non solo come un adempimento normativo, ma come un’opportunità per potenziare le proprie capacità di risposta agli incidenti e rafforzare la resilienza complessiva dei propri sistemi informativi.
