Un cliente ha chiesto di individuare, nella Determinazione del Direttore ACN n. 333017/2025, il punto in cui sarebbe esplicitato che il referente CSIRT non può coincidere con il punto di contatto né con il suo sostituto. L’analisi normativa mostra che la Determinazione non contiene un divieto espresso, ma introduce elementi che implicano una separazione funzionale tra i due ruoli, coerente con le finalità operative e organizzative previste dalla disciplina NIS2.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.Qual è il punto preciso nella Determinazione del Direttore ACN
333017 in cui si afferma esplicitamente che che il referente CSIRT
non può coincidere con il punto di contatto? e neppure con il suo
sostituto?
Di seguito la risposta di Francesco Ongaro, fondatore di ISGroup:
La Determinazione non contiene un divieto esplicito in tal senso.
Tuttavia:
L’art. 7, comma 1, stabilisce che il referente CSIRT è designato dal punto di contatto. Questa formulazione implica una distinzione funzionale tra i due ruoli.
Il referente CSIRT deve possedere “almeno competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici” (art. 7, comma 5), mentre nessun requisito tecnico è richiesto per il punto di contatto.
In virtù di questi elementi, pur non essendoci un’espressa incompatibilità normativa, si ritiene fortemente consigliata la separazione dei ruoli, soprattutto per garantire l’efficacia operativa e la conformità sostanziale ai principi della governance NIS2, in particolare in tema di gestione degli incidenti significativi e tempestività delle notifiche (entro 24 ore).
Questa esigenza di separazione è particolarmente evidente nelle realtà medio-piccole, dove l’unico esperto IT interno è già stato nominato punto di contatto: in tali casi, il ruolo di referente CSIRT sarà verosimilmente affidato a un CISO esterno.
Questo chiarimento consente ai soggetti NIS di adempiere correttamente agli obblighi di designazione del referente CSIRT, evitando duplicazioni e garantendo la conformità alle disposizioni ACN e alla normativa NIS2.
Vuoi avviare un percorso concreto verso la compliance NIS2?
Affidati a ISGroup per:
- Implementazione NIS2 conforme e allineata alle normative
- Valutazione completa dei requisiti di compliance
- Supporto operativo in ogni fase, dalla pianificazione alla messa in opera
In ISGroup supportiamo i soggetti NIS nella corretta applicazione degli obblighi previsti dalla normativa NIS2, fornendo assistenza tecnica e consulenziale per la designazione e la comunicazione del referente CSIRT.