Direttiva NIS2: Il ruolo centrale dei CSIRT

Le fonti evidenziano il ruolo essenziale dei Computer Security Incident Response Teams (CSIRT) nel contesto della segnalazione e risposta agli incidenti di cybersecurity all’interno dell’Unione Europea (UE) secondo quanto stabilito dalla Direttiva NIS2. I CSIRTs operano come entità specializzate, responsabili della gestione e mitigazione degli incidenti informatici, fungendo da punti di contatto fondamentali per le entità essenziali e importanti che affrontano tali incidenti.

I CSIRTs come principali destinatari delle segnalazioni di incidenti

• Punto di segnalazione designato: La Direttiva NIS2 richiede che le entità essenziali e importanti segnalino gli incidenti significativi di sicurezza informatica al proprio CSIRT designato o, se applicabile, all’autorità nazionale competente. Questa designazione sottolinea la posizione centrale dei CSIRTs nell’ecosistema della segnalazione degli incidenti.
• Processo di segnalazione a fasi: Il processo di segnalazione prevede un approccio a più fasi, che richiede l’invio di un avviso preliminare, di una notifica formale dell’incidente e di un rapporto finale. I CSIRTs sono i principali destinatari di queste segnalazioni, permettendo loro di monitorare e valutare la gravità e il potenziale impatto degli incidenti informatici.
• Segnalazione volontaria: La Direttiva incoraggia anche la segnalazione volontaria di incidenti, minacce informatiche e mancati attacchi da parte di entità sia all’interno che al di fuori dell’ambito di segnalazione obbligatoria. Questo ambito di segnalazione ampliato rafforza ulteriormente il ruolo dei CSIRTs nella raccolta di informazioni sulla sicurezza informatica e nella promozione di una cultura di sicurezza proattiva.
• Centro di informazione: I CSIRTs fungono da hub informativo, ricevendo segnalazioni di incidenti, analizzando i dati e diffondendo informazioni pertinenti ad altri soggetti interessati, tra cui le autorità nazionali competenti, altri CSIRTs e entità a livello UE come ENISA.

Direttiva NIS2: Le responsabilità dei CSIRTs

• Orientamento e supporto: Una volta ricevuto un avviso preliminare, il CSIRT ha l’obbligo di fornire un primo feedback all’entità che segnala l’incidente e, su richiesta, offrire orientamento o consulenza operativa sull’implementazione di misure di mitigazione.
• Risposta coordinata: I CSIRTs svolgono un ruolo chiave nel facilitare una risposta coordinata agli incidenti significativi, in particolare quelli con un potenziale impatto transfrontaliero. Collaborano con altri CSIRTs, autorità nazionali competenti e organismi a livello UE per contenere l’incidente, mitigarne gli effetti e prevenirne la diffusione.
• Gestione delle vulnerabilità e divulgazione: La Direttiva NIS2 designa un CSIRT in ciascuno Stato Membro come coordinatore per la divulgazione delle vulnerabilità. Questo CSIRT designato funge da intermediario di fiducia tra le entità che scoprono le vulnerabilità e i fornitori o prestatori di servizi responsabili di affrontarle.
• Competenze tecniche: I CSIRTs possiedono competenze tecniche specialistiche per analizzare gli incidenti, identificare le vulnerabilità e fornire raccomandazioni personalizzate per la loro risoluzione. Contribuiscono inoltre allo sviluppo e alla manutenzione di piattaforme e strumenti per la condivisione sicura delle informazioni.
• Collaborazione con le Forze dell’Ordine: In caso di incidenti significativi che si sospettano di natura criminale, il CSIRT fornisce all’entità che segnala l’incidente indicazioni su come riferire l’incidente alle autorità di polizia.

Rafforzamento delle capacità dei CSIRTs

• Allocazione delle risorse: Gli Stati Membri sono tenuti a garantire che ciascun CSIRT disponga di risorse adeguate, incluse risorse finanziarie, tecniche e umane, per svolgere efficacemente le proprie responsabilità. Ciò include disporre di personale sufficiente per garantire la disponibilità 24/7 e fornire opportunità di formazione appropriate, nonché partecipare a reti di cooperazione internazionale.
• Requisiti infrastrutturali: La Direttiva NIS2 impone ai CSIRTs di mantenere un’infrastruttura di comunicazione sicura, resiliente e ridondante per facilitare lo scambio di informazioni con entità essenziali e importanti e altri soggetti rilevanti. Questo include l’evitare punti di vulnerabilità unici nei loro canali di comunicazione per garantire un’alta disponibilità.
• Valutazioni tra pari: Per garantire un elevato livello di capacità e coerenza tra gli Stati Membri, la Direttiva introduce valutazioni tra pari per esaminare l’efficacia operativa dei CSIRTs. Queste valutazioni sono condotte da esperti di cybersecurity di altri Stati Membri, fornendo preziose informazioni e raccomandazioni per il miglioramento.

Importanza dei CSIRTs nell’ecosistema della Direttiva NIS2

• Miglioramento della resilienza cibernetica: Facilitando una segnalazione e una risposta efficace agli incidenti, i CSIRTs svolgono un ruolo cruciale nel miglioramento della resilienza complessiva delle entità essenziali e importanti in tutta l’UE.
• Promozione di una cultura di sicurezza: La natura collaborativa del lavoro dei CSIRTs e il loro coinvolgimento attivo nella condivisione di informazioni promuovono una cultura della sicurezza e incoraggiano pratiche di cybersecurity proattive.
• Supporto agli obiettivi di cybersecurity dell’UE: I CSIRTs sono fondamentali per il raggiungimento degli obiettivi più ampi della Direttiva NIS2 in materia di sicurezza informatica, contribuendo a un elevato livello di sicurezza in tutta l’UE e a un Mercato Unico Digitale più resiliente.

Dotare i CSIRTs delle risorse necessarie e promuovere una cultura di collaborazione sono due pilastri su cui la Direttiva NIS2 costruisce un ecosistema di cybersecurity robusto ed efficace. Per le organizzazioni che rientrano nel perimetro della direttiva, comprendere il ruolo dei CSIRTs è il primo passo: il secondo è strutturare un percorso concreto di adeguamento alla NIS2 che copra governance, misure tecniche e obblighi di segnalazione. Per approfondire gli obblighi specifici legati alla figura del referente, è utile leggere anche la designazione del referente CSIRT per i soggetti NIS e la distinzione tra punto di contatto e referente CSIRT nella Determinazione ACN n. 333017/2025. Il testo integrale della normativa è disponibile nel documento ufficiale della Direttiva NIS2.

Domande frequenti sui CSIRTs e la Direttiva NIS2

• Chi è obbligato a segnalare gli incidenti al CSIRT?
• Le entità essenziali e importanti rientranti nel perimetro della Direttiva NIS2 sono tenute a segnalare gli incidenti significativi al CSIRT designato del proprio Stato Membro o, dove previsto, all’autorità nazionale competente. Le entità al di fuori di questo perimetro possono farlo su base volontaria.
• Cosa succede dopo che un’entità invia l’avviso preliminare al CSIRT?
• Il CSIRT è tenuto a fornire un primo feedback tempestivo e, su richiesta, orientamento operativo sulle misure di mitigazione da adottare. Nei casi in cui l’incidente abbia natura criminale, il CSIRT indica anche come coinvolgere le autorità di polizia competenti.
• Come vengono garantite le capacità operative dei CSIRTs?
• Gli Stati Membri devono assicurare a ciascun CSIRT risorse finanziarie, tecniche e umane adeguate, disponibilità operativa 24/7 e infrastrutture di comunicazione sicure e ridondanti. La Direttiva prevede inoltre valutazioni tra pari condotte da esperti di altri Stati Membri per verificare e migliorare l’efficacia operativa.