Nomina Referente CSIRT obbligatoria Portale ACN 2025

L’istituzionalizzazione del Referente CSIRT, formalizzata dall’Agenzia per la Cybersicurezza Nazionale attraverso la Determinazione n. 333017/2025, fissa un percorso obbligatorio e tempistiche precise per tutti i soggetti inclusi nel perimetro della Direttiva NIS2. Tutta la procedura si svolge sul Portale dei Servizi ACN con fasi definite, responsabilità tecniche e verifiche basate su autenticazione digitale robusta.

Scadenze e cronoprogramma sul portale ACN

• 20 novembre 2025: Si apre la procedura telematica di designazione del Referente CSIRT e dei suoi eventuali sostituti nel Portale ACN.
• 31 dicembre 2025: Termine ultimo per completare la procedura di nomina. Oltre questa data, il soggetto NIS risulta non conforme ed è soggetto a sanzioni secondo l’articolo 38 del Decreto NIS2.
• Dicembre 2025: Mese di sospensione della trasmissione dichiarazioni per consentire la transizione ai sistemi del 2026.
• 1° gennaio – 28 febbraio 2026: Apertura della Registrazione 2026 per la Dichiarazione annuale. Tutti i soggetti devono confermare o modificare i dati del Referente CSIRT e dei sostituti.
• 15 aprile – 31 maggio: Finestra annuale per aggiornare le informazioni ed assicurare la reperibilità costante.

Verifica preliminare: ruolo e dati del Punto di Contatto (PdC)

1. Il Punto di Contatto è l’unico abilitato ad avviare la procedura di designazione.
2. Verifica che il PdC sia registrato sulla piattaforma NIS e che i dati siano aggiornati.
3. Il PdC accede al Portale ACN tramite identità digitale (SPID o CIE).
4. La mappatura dei servizi essenziali/importanti deve risultare completata, con individuazione della persona incaricata come Referente CSIRT.

Procedura telematica di designazione

• Il PdC accede alla sezione “Aggiornamento dati” all’interno del Portale ACN.
• Inserisce obbligatoriamente il codice fiscale e l’e-mail del Referente CSIRT.
• Può inserire i dati di uno o più sostituti (codice fiscale ed e-mail), fortemente raccomandato per garantire la reperibilità H24.
• Il sistema genera una notifica automatica agli interessati dopo l’invio.

Completamento della nomina: azioni di Referente e Sostituti

• Il Referente CSIRT (e ciascun sostituto) accede personalmente al portale tramite SPID o CIE personale.
• Completa il profilo anagrafico inserendo i dati richiesti.
• Conferma l’iscrizione come Referente CSIRT o Sostituto per il soggetto NIS.
• Non è richiesto il caricamento di alcun documento: la nomina avviene tramite autenticazione forte.

Sostituti e continuità operativa

• La designazione dei sostituti non è obbligatoria ma evita il rischio di “single point of failure”.
• I sostituti devono possedere le stesse competenze del referente principale e possono operare in sua assenza.
• La procedura di designazione è identica a quella del referente.

Dichiarazione annuale e aggiornamento dati

• Dal 1° gennaio al 28 febbraio 2026 tutti i soggetti devono presentare la Dichiarazione 2026 confermando o modificando i dati del Referente CSIRT e dei sostituti.
• Dopo il 31 dicembre 2025, in caso di errori o urgenze, può essere inserito temporaneamente il nominativo del PdC, aggiornando poi il referente tramite verifica delle competenze.
• Finestra di aggiornamento ordinaria dal 15 aprile al 31 maggio.

Requisiti tecnici di accesso al portale

• L’accesso è consentito esclusivamente tramite SPID o CIE personale, senza credenziali semplici.
• I ruoli di Referente CSIRT e sostituti sono censiti nella categoria “utenti” con permessi legati alla gestione delle notifiche incidenti.
• Il portale supporta il dialogo anche in lingua inglese e non pone limiti di cittadinanza se si dispone degli strumenti di autenticazione.

Sanzioni e rischi in caso di inadempienza

• Il mancato completamento della procedura entro il 31 dicembre 2025 comporta sanzioni amministrative pecuniarie come da articolo 38 del D.Lgs. 138/2024.
• Senza un referente censito, non è possibile inviare pre-notifiche entro 24 ore né notifiche entro 72 ore tramite portale, aggravando la posizione in caso di incidente reale.
• L’assenza del referente segnala carenze nella governance della cybersicurezza e può portare a ispezioni da parte dell’ACN.

Checklist operativa

1. Entro il 20/11/2025: Individua Referente e Sostituti, verifica i requisiti tecnici.
2. Dal 20/11 al 31/12/2025: Il PdC inserisce dati nella sezione “Aggiornamento dati” del portale.
3. Contestualmente: Referente e Sostituti accedono con SPID/CIE e completano il censimento.
4. Verifica dello stato “completato” o “attivo” della designazione.
5. Gennaio-Febbraio 2026: Presentazione della dichiarazione annuale.

La procedura realizza una delega funzionale e operativa: il Referente agisce sul portale, ma la responsabilità giuridica su correttezza e tempestività delle informazioni resta agli organi di amministrazione del soggetto NIS.