Referente CSIRT e Incident Response Team nel Decreto NIS2

L’istituzionalizzazione del Referente CSIRT, prevista dalla Determinazione ACN n. 333017/2025, consolida una struttura di cyber governance solida. Il Referente CSIRT rappresenta il punto di collegamento tecnico e operativo tra il soggetto NIS (essenziale o importante) e lo CSIRT Italia. L’integrazione di questa figura nel team di risposta è fondamentale per costruire una resilienza effettiva contro gli incidenti cyber.

Incident response team: ruoli e funzionamento

Il Referente CSIRT opera come nodo centrale nell’Incident Response Team (IRT), garantendo un coordinamento multidisciplinare continuo tra diversi dipartimenti aziendali:

• Ufficio IT e Sistemisti: gestiscono le reti, i sistemi e le applicazioni. Supportano l’isolamento dei sistemi compromessi, applicano patch di emergenza e si occupano del ripristino dei servizi. Collaborano con il Referente CSIRT per raccogliere log e indicatori di compromissione (IoC) necessari alla notifica.
• Security Operations Center (SOC): se presente, monitora gli eventi e segnala possibili incidenti. Il Referente CSIRT valida tecnicamente queste segnalazioni per stabilire se l’evento sia un incidente significativo secondo l’art. 25 del Decreto NIS2.
• Funzione Legale e DPO: valuta gli obblighi di notifica, i contenuti minimi verso lo CSIRT Italia e le altre autorità, inclusa la gestione di clausole di cybersecurity nei contratti ICT. Il supporto legale è necessario anche per notifiche al Garante Privacy in caso di violazione di dati personali.
• Comunicazione Aziendale: gestisce la comunicazione verso clienti, utenti e media durante incidenti significativi, prevenendo panico e disinformazione, allineandosi regolarmente con il Referente CSIRT.
• Direzione e Organi di Amministrazione: approvano i piani di gestione degli incidenti e le politiche di sicurezza. Il Referente CSIRT riferisce agli organi decisionali circa impatti e criticità per agevolare scelte tempestive sulla continuità operativa.

Delega operativa e responsabilità giuridica

La designazione del Referente CSIRT rappresenta una delega operativa e funzionale. Il Referente è l’esecutore degli obblighi di notifica e costituisce l’interfaccia tecnica con le autorità. Tuttavia, la responsabilità finale relativa all’inosservanza degli obblighi NIS2 rimane in capo agli organi di amministrazione e direzione secondo l’art. 23 del Decreto Legislativo 138/2024. Questi devono fornire risorse e supporti adeguati, assicurando che la catena decisionale sia efficace e rapida per garantire la tempestività delle notifiche (entro 24 o 72 ore). In caso di violazione degli obblighi, la responsabilità e le sanzioni amministrative pecuniarie spettano esclusivamente ai vertici aziendali.

Strumenti pratici per la resilienza

• Playbook: ACN consiglia l’adozione di playbook specifici per tipologia di attacco (ad esempio ransomware, DDoS, spear-phishing). Ogni fase della risposta è associata ad attività e ruoli precisi, riducendo la dipendenza dalle singole persone e facilitando la gestione anche in assenza di figure dedicate.
• Table-top exercises: simulazioni di incidenti significativi che permettono di testare il funzionamento della catena di comando e i canali di comunicazione interni. Queste esercitazioni aiutano anche i membri non tecnici dell’IRT a comprendere le procedure di emergenza e le richieste informative dello CSIRT Italia.
• Standard di riferimento: il processo di gestione degli incidenti deve essere coerente con il Framework Nazionale per la Cybersecurity, con il NIST SP 800-61r3 e con le Linee Guida CAD, articolandosi nelle fasi di preparazione, rilevamento, risposta, ripristino e miglioramento.

Riepilogo

Il Referente CSIRT svolge un ruolo operativo all’interno di un Incident Response Team strutturato e multidisciplinare, in un ecosistema governato da responsabilità chiare e strumenti pratici. Il modello delineato dal Decreto NIS2 richiede risorse adeguate, procedure formalizzate e una governance fluida per garantire una risposta resiliente e conforme alle normative.