Referente CSIRT e obblighi NIS2 Decreto Legislativo 138 2024

Referente CSIRT e obblighi NIS2 Decreto Legislativo 138 2024

L’istituzionalizzazione del Referente CSIRT nasce dalla necessità di garantire la resilienza operativa ai soggetti pubblici e privati considerati critici secondo la Direttiva NIS2 e il recepimento nazionale con il D.Lgs. 138/2024. Non si tratta di un adempimento burocratico, ma di un presidio tecnico-operativo ufficiale tra le organizzazioni e lo CSIRT Italia, nell’ambito dell’Agenzia per la Cybersicurezza Nazionale.

🔴 Decreto NIS2: hai definito il Referente CSIRT e l’Incident Response Team? Evita sanzioni e ritardi. Scopri come il servizio Virtual CISO (vCISO) di ISGroup garantisce conformità e gestione efficace degli incidenti.

Contesto normativo e atti attuativi

Il Referente CSIRT è stato introdotto con il Decreto Legislativo 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024, che recepisce la Direttiva (UE) 2022/2555 (NIS2). Riguarda i soggetti definiti “essenziali” e “importanti”, imponendo specifici obblighi di sicurezza e notifica.

  • Determinazione ACN n. 250916/2025 (19 settembre 2025): definisce la procedura di designazione del Referente CSIRT.
  • Determinazione ACN n. 333017/2025: aggiorna la disciplina relativa al Referente e ai suoi sostituti.
  • Determinazione ACN n. 164179/2025: stabilisce i criteri per la definizione di “incidente significativo” e le tipologie IS-1, IS-2, IS-3, IS-4 soggette a notifica.

L’obbligo di nomina è fissato entro il 31 dicembre 2025.

Identikit e requisiti del Referente CSIRT

Il Referente CSIRT deve essere una persona fisica, non una struttura o società. Deve essere identificato con nome, cognome, codice fiscale e indirizzo e-mail. La nomina non è efficace fino al completamento personale della registrazione tramite SPID o CIE sul Portale dei Servizi ACN.

Competenze minime richieste

  • Sicurezza informatica: comprensione di minacce digitali.
  • Gestione degli incidenti: esperienza operativa nel trattamento di crisi digitali.
  • Conoscenza dell’organizzazione: padronanza di sistemi informativi, architetture di rete e infrastrutture digitali del soggetto presso cui opera.

Il referente deve saper analizzare i log, dialogare con sistemi di monitoraggio e valutare la significatività degli eventi secondo l’art. 25 del decreto.

Nomina e modalità operative

La nomina deve avvenire tra il 20 novembre e il 31 dicembre 2025 e si articola in due fasi:

  1. Il Punto di Contatto (PdC) inserisce i dati del referente sul portale ACN.
  2. Il referente accede personalmente al portale per completare il censimento.

In assenza di questa seconda fase, la designazione resta inefficace per la normativa.

Mansioni operative del Referente CSIRT

Il Referente CSIRT svolge un ruolo di presidio tecnico e organizzativo per la gestione degli incidenti informatici.

  • Rilevazione e analisi delle anomalie e validazione tecnica delle segnalazioni.
  • Coordinamento interno tra ufficio IT, CISO, reparto legale, DPO e direzione aziendale.
  • Comunicazioni tecniche e invio notifiche obbligatorie allo CSIRT Italia.

Si garantisce così un’informazione tempestiva e autorevole verso l’autorità nazionale nei momenti di crisi.

Gestione delle notifiche

  1. Pre-notifica entro 24 ore: segnalazione iniziale con dettagli sulla natura e eventuale impatto transfrontaliero.
  2. Notifica entro 72 ore: aggiornamento con valutazione della gravità, dell’impatto e con indicatori di compromissione (IoC).
  3. Relazione finale entro 1 mese: dettagli su cause, misure di mitigazione adottate e impatto complessivo.

Il referente può anche occuparsi di notifiche volontarie su minacce o quasi-incidenti secondo l’art. 26, senza oneri aggiuntivi per il segnalante.

Punto di contatto e Referente CSIRT: differenze

  • Punto di Contatto (PdC) – Ruolo istituzionale manageriale: gestisce registrazione, aggiornamento dati, riceve comunicazioni ufficiali. È sempre interno all’organizzazione.
  • Referente CSIRT – Ruolo tecnico operativo: gestisce incidenti, invia notifiche tecniche, interagisce con lo CSIRT Italia. Può essere interno o esterno.

Nelle realtà di dimensioni ridotte i due ruoli possono coincidere, mantenendo comunque distinte le funzioni nelle procedure interne.

Deleghe, sostituti e responsabilità

La designazione del Referente CSIRT costituisce delega operativa e funzionale per la gestione delle notifiche. L’esecuzione materiale è compito del referente, mentre la responsabilità giuridica finale sulle misure di sicurezza e sugli obblighi NIS2 resta agli organi di amministrazione e direzione, come previsto dall’art. 23 del decreto.

È possibile nominare uno o più sostituti, con i medesimi requisiti tecnici e obbligo di completamento personale del censimento. La mancata nomina di sostituti può compromettere la reperibilità H24 e la continuità operativa.

Conseguenze della mancata designazione

  • Sanzioni amministrative secondo art. 38 D.Lgs. 138/2024.
  • Impossibilità di gestire notifiche obbligatorie dal 1° gennaio 2026.
  • Danno reputazionale ed esposizione a ispezioni da parte dell’ACN.

Il Referente CSIRT rappresenta la figura operativa centrale per la cybersicurezza aziendale in ambito NIS2: funge da trait d’union tra tecnici, direzione e autorità nazionale, assicurando continuità, tempestività e qualità nella gestione degli incidenti informatici.

Vuoi essere conforme al Decreto NIS2?

Con ISGroup puoi ottenere:

  • Referente CSIRT e Incident Response Team conforme NIS2
  • Gestione strutturata degli incidenti di sicurezza
  • Coordinamento con le autorità competenti e obblighi di notifica
  • Governance della sicurezza tramite servizio Virtual CISO (vCISO)
Attiva il servizio vCISO

Non perderti il meglio della cybersecurity.

Ogni settimana, analisi esperte, attacchi reali e soluzioni concrete: tutto in un’unica newsletter.

Iscriviti alla newsletter Cyber Weekly

In

, , ,