Nomina entro il 31/12/2025: Obbligo o Opportunità?

Con l’attuazione della Direttiva (UE) 2022/2555 – NIS2  sono state introdotte nuove regole per rafforzare la sicurezza informatica in Europa.
In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha chiarito uno degli obblighi più importanti per enti pubblici e aziende coinvolte: la designazione del Referente CSIRT.

Il Referente CSIRT è la persona fisica designata dall’organizzazione per interfacciarsi con CSIRT Italia, struttura operativa nazionale per la risposta agli incidenti di sicurezza informatica.

La sua funzione è garantire tempestività, accuratezza e continuità nelle comunicazioni relative agli incidenti cyber che coinvolgono l’ente o l’azienda.

In altre parole, non è un ruolo burocratico da “mettere sulla carta”, ma la persona che opera concretamente nella gestione e comunicazione degli incidenti cyber con le autorità competenti.

Secondo le disposizioni ACN, il Referente CSIRT deve essere una persona fisica, ovvero un individuo concreto identificato per nome e cognome.

Qualsiasi persona fisica con i requisiti adeguati può essere nominata, inclusi:

un dipendente interno dell’organizzazione (es. CISO, IT Manager, Security Officer)

un professionista esterno qualificato (es. consulente, responsabile SOC/CERT esterno)

Quindi non è obbligatorio che sia dipendente: la normativa consente anche referenti esterni, purché abbiano competenze adeguate.

Sebbene la normativa non imponga certificazioni specifiche formali, le determinazioni ACN e le FAQ indicano chiaramente che il Referente CSIRT deve possedere competenze e conoscenze tecniche per poter operare efficacemente.

Le competenze richieste (almeno di base) riguardano la:

– Sicurezza informatica. Ovvero la capacità di comprendere concetti e strumenti di sicurezza.
– Gestione degli incidenti. Ovvero il saper riconoscere incidenti significativi e attivare processi di risposta.
– Conoscenza dei sistemi e delle reti dell’organizzazione. Ovvero capire l’impatto tecnico di un evento di sicurezza.

In pratica, non serve una certificazione obbligatoria, ma una competenza concreta e verificabile in questi ambiti.

La designazione del Referente CSIRT è obbligatoria per tutti i soggetti obbligati alla Direttiva NIS2 in Italia, ovvero organizzazioni considerate “essenziali” o “importanti” ai sensi del D.Lgs. 138/2024 (attuazione italiana della NIS2).

La nomina deve essere effettuata entro il 31 dicembre 2025 tramite la procedura telematica sul Portale ACN. Questo obbligo completa l’adeguamento operativo alla NIS2: senza Referente CSIRT nominato, l’organizzazione non è pienamente conforme ai requisiti di gestione degli incidenti.

Perché è importante questa figura?

– Perché dal 2026 rappresenta il canale ufficiale per le notifiche di incidenti significativi verso il CSIRT;
– Perché coordina la raccolta di informazioni tecniche in caso di attacco ( quindi deve garantire una reperibilità continua)
– Perché permette ACN e al CSIRT nazionale di avere un interlocutore rapido, competente  e responsabile in caso di crisi cyber.

Ambito di applicazione NIS La nuova normativa NIS amplia il campo di applicazione della normativa a 18 settori di cui 11 altamente critici (originariamente 8) e 7 critici (di nuova introduzione) per oltre 80 tipologie di soggetti, distinguendo i soggetti in essenziali e importanti. Scarica il dettaglio degli ambiti di applicazione

Per ulteriori dettagli consulta gli allegati I, II, III e IV del Decreto legislativo 4 settembre 2024, n. 138

La designazione del Referente CSIRT non deve essere vista solo come un obbligo imposto dalla Direttiva NIS2, ma come un’opportunità per rafforzare in modo concreto la gestione della sicurezza informatica all’interno dell’organizzazione. Avere una figura chiaramente identificata, competente e riconosciuta anche a livello istituzionale consente alle aziende di affrontare gli incidenti cyber con maggiore ordine, rapidità e consapevolezza.

La presenza di un Referente CSIRT interno migliora innanzitutto il coordinamento nelle situazioni di emergenza. In caso di incidente informatico, sapere esattamente chi è responsabile delle comunicazioni e delle decisioni operative riduce i tempi di reazione, evita sovrapposizioni e limita il rischio di errori o ritardi nelle notifiche. Questo aspetto è fondamentale non solo per la compliance normativa, ma anche per contenere gli impatti economici, reputazionali e operativi di un attacco.

Dal punto di vista organizzativo, il Referente CSIRT diventa un punto di riferimento stabile per i temi di sicurezza, favorendo una maggiore integrazione tra IT, management e funzioni di controllo. Questo contribuisce a far crescere una cultura interna della cybersicurezza, rendendo l’azienda più consapevole dei propri rischi digitali e più preparata a gestirli nel tempo.

Infine, il rapporto diretto e strutturato con CSIRT Italia permette alle organizzazioni di inserirsi in un sistema nazionale di cooperazione e supporto, migliorando l’accesso alle informazioni sugli incidenti, sulle minacce emergenti e sulle buone pratiche di risposta. In questo senso, il Referente CSIRT non è solo un obbligo formale, ma una figura chiave per aumentare la resilienza digitale complessiva dell’impresa.

Investire per tempo nella scelta della persona giusta e nel rafforzamento delle sue competenze significa quindi trasformare un adempimento normativo in un reale vantaggio competitivo e organizzativo.

Agenzia per la Cybersicurezza Nazionale (ACN) – Direttiva NIS2 e indicazioni operative
https://www.acn.gov.it

ACN – Portale NIS / CSIRT
https://www.acn.gov.it/portale/nis