Un cliente ha chiesto di individuare, nella Determinazione del Direttore ACN n. 333017/2025, il punto in cui sarebbe esplicitato che il referente CSIRT non può coincidere con il punto di contatto né con il suo sostituto. L’analisi normativa mostra che la Determinazione non contiene un divieto espresso, ma introduce elementi che implicano una separazione funzionale tra i due ruoli, coerente con le finalità operative e organizzative previste dalla disciplina NIS2.
Qual è il punto preciso nella Determinazione del Direttore ACN
333017 in cui si afferma esplicitamente che che il referente CSIRT
non può coincidere con il punto di contatto? e neppure con il suo
sostituto?
Di seguito la risposta di Francesco Ongaro, fondatore di ISGroup:
La Determinazione non contiene un divieto esplicito in tal senso.
Tuttavia:
L’art. 7, comma 1, stabilisce che il referente CSIRT è designato dal punto di contatto. Questa formulazione implica una distinzione funzionale tra i due ruoli.
Il referente CSIRT deve possedere almeno competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici (art. 7, comma 5), mentre nessun requisito tecnico è richiesto per il punto di contatto.
In virtù di questi elementi, pur non essendoci un’espressa incompatibilità normativa, si ritiene fortemente consigliata la separazione dei ruoli, soprattutto per garantire l’efficacia operativa e la conformità sostanziale ai principi della governance NIS2, in particolare in tema di gestione degli incidenti significativi e tempestività delle notifiche (entro 24 ore).
Questa esigenza di separazione è particolarmente evidente nelle realtà medio-piccole, dove l’unico esperto IT interno è già stato nominato punto di contatto: in tali casi, il ruolo di referente CSIRT sarà verosimilmente affidato a un CISO esterno.
Questo chiarimento consente ai soggetti NIS di adempiere correttamente agli obblighi di designazione del referente CSIRT, evitando duplicazioni e garantendo la conformità alle disposizioni ACN e alla normativa NIS2.
Per i soggetti che stanno strutturando il proprio percorso di conformità alla NIS2, la corretta attribuzione di questi ruoli è uno dei passaggi operativi da affrontare fin dalle prime fasi, insieme agli altri adempimenti previsti dall’iscrizione all’elenco ACN.
Vuoi avviare un percorso concreto verso la compliance NIS2?
Affidati a ISGroup per:
- Implementazione NIS2 conforme e allineata alle normative
- Valutazione completa dei requisiti di compliance
- Supporto operativo in ogni fase, dalla pianificazione alla messa in opera
4 risposte
[…] Per approfondire la distinzione tra le due figure, si veda anche l’analisi sulla distinzione tra punto di contatto e referente CSIRT nella Determinazione ACN n. 333017/2025. […]
[…] di designazione del referente CSIRT per i soggetti NIS; vale la pena chiarire anche la distinzione tra punto di contatto e referente CSIRT introdotta dalla Determinazione ACN n. […]
[…] inoltre tra le diverse figure di riferimento verso il CSIRT: per approfondire, è utile leggere la distinzione tra punto di contatto e referente CSIRT secondo la Determinazione ACN n. 333017/2025. Questo processo mira ad affrontare tempestivamente le vulnerabilità e a minimizzare il loro […]
[…] Deve inoltre fungere da punto di riferimento nei rapporti con le autorità competenti, gestendo la comunicazione in caso di incidenti rilevanti e garantendo il rispetto delle tempistiche di notifica previste dalla normativa. La direttiva prevede anche l’obbligo di designazione del referente CSIRT per i soggetti NIS, un adempimento distinto che riguarda il canale di comunicazione con il CSIRT nazionale. Per i dettagli su come si distingue questa figura dal punto di contatto, è utile consultare la distinzione tra punto di contatto e referente CSIRT nella Determinazione ACN n. 333017/2025. […]