Un nostro cliente ha richiesto chiarimenti in merito all’obbligo di comunicazione del referente CSIRT, domandando se tale adempimento sia previsto solo per i soggetti pubblici individuati dall’art. 1, comma 1, della Legge n. 90/2024, o se riguardi l’intera platea dei soggetti NIS. La risposta fornisce un inquadramento normativo preciso, basato sulla Determinazione ACN n. 333017/2025 e sul D. Lgs. 138/2024, che attua la direttiva NIS2.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.La comunicazione del referente CSIRT è richiesta a tutti i soggetti
NIS o solo a quelli di cui all’Art. 1, comma 1, della Legge 90/2024?
Di seguito la risposta di Francesco Ongaro, fondatore di ISGroup:
La designazione del referente CSIRT è richiesta a tutti i soggetti NIS, indipendentemente dalla loro inclusione tra quelli individuati all’art. 1, comma 1, della Legge n. 90/2024.
Questo obbligo è previsto all’art. 7, comma 1 della Determinazione ACN n. 333017/2025, dove si stabilisce che il referente CSIRT è una persona fisica designata dal punto di contatto tramite procedura telematica sul Portale ACN a partire dal 20 novembre ed entro il 31 dicembre 2025.
Non è previsto alcun riferimento che limiti tale obbligo ai soli soggetti menzionati dalla Legge 90/2024, che riguarda principalmente l’adempimento della nomina del referente per la cybersicurezza in ambito pubblico. La designazione del referente CSIRT è invece un adempimento previsto dalla disciplina NIS2 (D. Lgs. 138/2024), applicabile a tutti i soggetti NIS registrati.
La frase:
La designazione del punto di contatto da parte dei soggetti di cui all’articolo 1, comma 1, della legge 28 giugno 2024, n. 90, che rientrano nell’ambito di applicazione del decreto NIS, può soddisfare l’obbligo di nomina e comunicazione del referente per la cybersicurezza di cui all’articolo 8, comma 2, della medesima legge.
significa che i soggetti pubblici (indicati all’art. 1, comma 1 della Legge 90/2024) che sono anche soggetti NIS possono evitare una doppia nomina, ovvero:
- se hanno già designato il punto di contatto NIS,
- e questo soggetto pubblico ricade nell’ambito della Legge 90/2024,
allora la designazione del punto di contatto vale anche come adempimento dell’obbligo di nominare un referente per la cybersicurezza ai sensi della Legge 90/2024.
Questo chiarimento consente ai soggetti NIS di adempiere correttamente agli obblighi di designazione del referente CSIRT, evitando duplicazioni e garantendo la conformità alle disposizioni ACN e alla normativa NIS2.
Vuoi avviare un percorso concreto verso la compliance NIS2?
Affidati a ISGroup per:
- Implementazione NIS2 conforme e allineata alle normative
- Valutazione completa dei requisiti di compliance
- Supporto operativo in ogni fase, dalla pianificazione alla messa in opera
In ISGroup supportiamo i soggetti NIS nella corretta applicazione degli obblighi previsti dalla normativa NIS2, fornendo assistenza tecnica e consulenziale per la designazione e la comunicazione del referente CSIRT.