Un nostro cliente ha richiesto chiarimenti in merito all’obbligo di comunicazione del referente CSIRT, domandando se tale adempimento sia previsto solo per i soggetti pubblici individuati dall’art. 1, comma 1, della Legge n. 90/2024, o se riguardi l’intera platea dei soggetti NIS. La risposta fornisce un inquadramento normativo preciso, basato sulla Determinazione ACN n. 333017/2025 e sul D. Lgs. 138/2024, che attua la direttiva NIS2.
La comunicazione del referente CSIRT è richiesta a tutti i soggetti
NIS o solo a quelli di cui all’Art. 1, comma 1, della Legge 90/2024?
Di seguito la risposta di Francesco Ongaro, fondatore di ISGroup:
La designazione del referente CSIRT è richiesta a tutti i soggetti NIS, indipendentemente dalla loro inclusione tra quelli individuati all’art. 1, comma 1, della Legge n. 90/2024.
Questo obbligo è previsto all’art. 7, comma 1 della Determinazione ACN n. 333017/2025, dove si stabilisce che il referente CSIRT è una persona fisica designata dal punto di contatto tramite procedura telematica sul Portale ACN a partire dal 20 novembre ed entro il 31 dicembre 2025.
Non è previsto alcun riferimento che limiti tale obbligo ai soli soggetti menzionati dalla Legge 90/2024, che riguarda principalmente l’adempimento della nomina del referente per la cybersicurezza in ambito pubblico. La designazione del referente CSIRT è invece un adempimento previsto dalla disciplina NIS2 (D. Lgs. 138/2024), applicabile a tutti i soggetti NIS registrati.
La frase:
La designazione del punto di contatto da parte dei soggetti di cui all’articolo 1, comma 1, della legge 28 giugno 2024, n. 90, che rientrano nell’ambito di applicazione del decreto NIS, può soddisfare l’obbligo di nomina e comunicazione del referente per la cybersicurezza di cui all’articolo 8, comma 2, della medesima legge.
significa che i soggetti pubblici (indicati all’art. 1, comma 1 della Legge 90/2024) che sono anche soggetti NIS possono evitare una doppia nomina, ovvero:
- se hanno già designato il punto di contatto NIS,
- e questo soggetto pubblico ricade nell’ambito della Legge 90/2024,
allora la designazione del punto di contatto vale anche come adempimento dell’obbligo di nominare un referente per la cybersicurezza ai sensi della Legge 90/2024.
Per approfondire la distinzione tra le due figure, si veda anche l’analisi sulla distinzione tra punto di contatto e referente CSIRT nella Determinazione ACN n. 333017/2025.
Questo chiarimento consente ai soggetti NIS di adempiere correttamente agli obblighi di designazione del referente CSIRT, evitando duplicazioni e garantendo la conformità alle disposizioni ACN e alla normativa NIS2. Per i soggetti che devono ancora completare la registrazione o verificare il proprio perimetro, è utile consultare anche la guida su ACN e l’elenco NIS2: conformità entro il 31 marzo.
In ISGroup supportiamo i soggetti NIS nella corretta applicazione degli obblighi previsti dalla normativa NIS2, dalla verifica del perimetro fino alla definizione di un percorso strutturato di conformità alla NIS2, con assistenza tecnica e consulenziale per la designazione e la comunicazione del referente CSIRT.
Vuoi avviare un percorso concreto verso la compliance NIS2?
Affidati a ISGroup per:
- Implementazione NIS2 conforme e allineata alle normative
- Valutazione completa dei requisiti di compliance
- Supporto operativo in ogni fase, dalla pianificazione alla messa in opera
14 risposte
[…] chiarimento consente ai soggetti NIS di adempiere correttamente agli obblighi di designazione del referente CSIRT, evitando duplicazioni e garantendo la conformità alle disposizioni ACN e alla normativa […]
[…] dettagli sugli obblighi di designazione verso i CSIRT sono disponibili nell’articolo sulla designazione del referente CSIRT per i soggetti NIS e in quello sulla distinzione tra punto di contatto e referente CSIRT nella Determinazione ACN n. […]
[…] Le entità classificate come essenziali o importanti sono obbligate a segnalare gli incidenti significativi al loro Computer Security Incident Response Team (CSIRT) designato o, ove appropriato, alla competente autorità nazionale. Questo meccanismo di segnalazione mira a garantire una risposta rapida e coordinata agli incidenti di sicurezza informatica in tutta l’UE. Per approfondire gli obblighi legati alla figura del referente, è utile leggere anche l’obbligo di designazione del referente CSIRT per i soggetti NIS. […]
[…] sostanziale nella fornitura di un servizio essenziale”. Per i soggetti NIS, la designazione del referente CSIRT è uno degli adempimenti operativi da non […]
[…] se soddisfano i criteri di “significativo”. Tra questi processi rientra anche la designazione del referente CSIRT, figura prevista dalla normativa per gestire il flusso di notifica verso le autorità […]
[…] Per approfondire gli obblighi specifici legati alla figura del referente, è utile leggere anche la designazione del referente CSIRT per i soggetti NIS e la distinzione tra punto di contatto e referente CSIRT nella Determinazione ACN n. 333017/2025. […]
[…] Rete CSIRT: La direttiva migliora la cooperazione operativa all’interno della rete CSIRT esistente, incoraggiando lo scambio rapido ed efficiente di informazioni e migliori pratiche tra i CSIRT nazionali per rafforzare le capacità di risposta agli incidenti. Tra gli obblighi operativi correlati figura anche l’obbligo di designazione del referente CSIRT per i soggetti NIS. […]
[…] conoscenza di un incidente significativo, le entità devono inviare un allarme preliminare al loro CSIRT o all’autorità nazionale competente, permettendo un’intervento precoce e potenziale […]
[…] ed efficace agli incidenti di cybersecurity. Per i soggetti NIS, la Direttiva prevede anche l’obbligo di designazione del referente CSIRT, figura distinta dal punto di contatto […]
[…] Attivazione: Un’entità essenziale o importante deve inviare un’allerta preliminare al proprio Computer Security Incident Response Team (CSIRT) nazionale o all’autorità nazionale competente “senza indebito ritardo, e in ogni caso entro 24 ore” dal momento in cui diventa consapevole di un “incidente significativo”. Per i soggetti NIS è utile conoscere anche gli obblighi relativi alla designazione del referente CSIRT. […]
[…] rispetto delle tempistiche di notifica previste dalla normativa. La direttiva prevede anche l’obbligo di designazione del referente CSIRT per i soggetti NIS, un adempimento distinto che riguarda il canale di comunicazione con il CSIRT […]
[…] soggetti che devono anche adempiere agli obblighi di notifica, è utile verificare le regole sulla designazione del referente CSIRT prevista dalla […]
[…] Articolo 11, paragrafo 1(b): Stabilisce che “i locali e i sistemi informatici che supportano i CSIRT devono essere situati in siti sicuri”. Questo suggerisce che la sicurezza fisica è fondamentale per garantire la cybersecurity. Per approfondire gli obblighi legati ai CSIRT, vedi anche l’obbligo di designazione del referente CSIRT per i soggetti NIS. […]
[…] La Direttiva NIS2 crea un ambiente sicuro e favorevole alla condivisione delle informazioni: chiarisce i percorsi di segnalazione, garantisce la riservatezza e sottolinea i benefici collettivi derivanti dall’affrontare proattivamente le sfide della cybersecurity. Per le organizzazioni che devono valutare il proprio perimetro di applicazione o strutturare un piano di adeguamento, il percorso di conformità alla Direttiva NIS2 offre un supporto strutturato dalla valutazione iniziale fino all’implementazione delle misure richieste. Per gli aspetti legati alla designazione dei referenti verso il CSIRT nazionale, è utile anche la guida sull’obbligo di designazione del referente CSIRT per i soggetti NIS. […]