Referente CSIRT obbligatorio per NIS2 e Decreto 138 2024

L’individuazione del Referente CSIRT incide sulla capacità di un’organizzazione di rispondere alle crisi cibernetiche e di rispettare il D.Lgs. 138/2024. Con la Determinazione ACN n. 333017/2025, i soggetti essenziali e importanti devono designare questa figura tra il 20 novembre e il 31 dicembre 2025. La scelta tra risorsa interna o esterna richiede un’analisi delle competenze tecniche, dei processi aziendali e delle responsabilità legali previste dal quadro normativo nazionale.

Requisiti minimi obbligatori per il referente CSIRT

L’articolo 7 della Determinazione 333017/2025 stabilisce che il Referente CSIRT e i suoi eventuali sostituti devono possedere requisiti multidisciplinari indispensabili per operare e interagire con lo CSIRT Italia. Questi criteri sono sostanziali e non possono essere trascurati.

• Competenze in sicurezza informatica: È richiesta almeno una competenza di base che consenta di comprendere la natura delle minacce e di interloquire tecnicamente con l’autorità nazionale. Serve capacità di analisi dei log e dialogo con chi gestisce il monitoraggio (SOC).
• Gestione degli incidenti (Incident management): È necessaria esperienza pratica nel trattamento di crisi digitali. Il referente deve distinguere tra anomalia di routine e “incidente significativo” secondo l’articolo 25 del Decreto NIS2 e la Determinazione ACN n. 164179/2025.
• Conoscenza delle reti e dei sistemi: Serve padronanza dell’architettura IT/OT del soggetto NIS per gestire notifiche tempestive e complete nelle finestre temporali di 24 e 72 ore.

Questa figura si avvicina al profilo del “Cyber Incident Responder” secondo ENISA, con compiti di reportistica tecnica e collaborazione con funzioni legali e tecniche.

Opzione interna: CISO e IT manager

Molte organizzazioni selezionano il Referente CSIRT internamente. I ruoli più indicati sono CISO, Responsabile IT, CTO o Cybersecurity Manager.

Vantaggi della figura interna

• Integrazione nei processi: una risorsa interna conosce dinamiche decisionali, sistemi informativi e figure chiave (legale, comunicazione, direzione).
• Preferenza dell’Autorità: le FAQ ACN evidenziano una preferenza per il referente interno.
• Controllo diretto: permette una risposta immediata senza necessità di escalation contrattuali.

Svantaggi e rischi

• Sovraccarico operativo: in contesti medi il CISO o l’IT Manager potrebbero non avere tempo sufficiente per presidiare le notifiche H24, soprattutto durante incidenti complessi.
• Single Point of Failure: senza sostituti il referente interno può diventare un collo di bottiglia durante assenze.

Opzione outsourcing: professionisti e SOC esterni

La Determinazione ACN prevede che il Referente CSIRT possa essere esterno: responsabile di un SOC, CERT esternalizzato o gestore IT in outsourcing.

Vantaggi dell’outsourcing

• Presidio H24/7: i partner specializzati garantiscono copertura continua, fondamentale per rispettare la pre-notifica entro 24 ore.
• Competenze verticali: accesso a esperti certificati aggiornati sulle minacce.
• Riduzione costi fissi: per PMI o realtà senza team cyber interno, evita l’assunzione diretta di specialisti.

Vincoli contrattuali obbligatori

• Responsabilità operative e obblighi di riservatezza.
• Modalità di accesso ai sistemi informatici aziendali per raccolta log ed evidenze.
• Tempi di risposta garantiti (SLA) in caso di incidente.
• Titolarità delle comunicazioni verso lo CSIRT Italia e ruoli privacy (GDPR).

Società come Infor (BeeCyber), Argo Cyber, Axitea e Axera offrono servizi “Referente CSIRT as a Service”, con l’obbligo di assessment preliminare e gap analysis.

Criteri strategici per la scelta

• Organizzazioni grandi/essenziali: dispongono di CISO interno, affiancato da SOC interno o esterno per il rilevamento.
• Organizzazioni medie/importanti: spesso utilizzano un modello misto con referente interno e supporto di consulenti esterni.
• PMI e piccoli enti: ricorrono maggiormente all’outsourcing o unificano PdC e Referente CSIRT, possibile solo se la figura resta interna.

I sostituti: continuità operativa

L’articolo 7, comma 3, della Determinazione 333017/2025 consente la nomina di uno o più sostituti del Referente CSIRT. Questa scelta è una best practice essenziale.

• Devono possedere identici requisiti tecnici e di conoscenza dei sistemi del referente principale.
• Possono operare sul Portale ACN e inviare notifiche in caso di assenza del titolare.
• Ciascun sostituto deve autenticarsi individualmente sul portale tramite SPID o CIE.

L’assenza di sostituti può impedire la pre-notifica entro 24 ore e portare a violazioni dell’articolo 25 del Decreto NIS2.

Deleghe operative e responsabilità legale

• Il Referente CSIRT agisce tramite delega tecnico-operativa.
• La responsabilità finale per obblighi NIS2 e misure di sicurezza rimane agli organi di amministrazione e direzione, secondo l’articolo 23 del D.Lgs. 138/2024.
• I vertici aziendali devono approvare il piano di gestione degli incidenti e garantire risorse adeguate.

Organigramma NIS2 di base

1. Organi di direzione: responsabilità sanzionatoria e approvazione delle politiche.
2. Punto di Contatto (PdC): rappresentante istituzionale verso ACN per conformità amministrativa.
3. Referente CSIRT: interfaccia tecnica verso lo CSIRT Italia.
4. Funzioni di supporto: IT, legale, DPO, comunicazione.

La selezione del Referente CSIRT va vissuta come la creazione di uno snodo vitale tra componente tecnologica e decisionale. L’efficacia dipende dalla capacità di operare sotto pressione e dall’integrazione con il piano di risposta agli incidenti dell’organizzazione.