LET’S TALK & CONNECT

La Agenzia per la Cybersicurezza Nazionale (ACN) con la Determinazione n. 333017/2025 ha introdotto la figura del Referente CSIRT (art. 7) per i soggetti obbligati ai sensi del D.Lgs. 4 settembre 2024, n. 138 (attuativo della direttiva Direttiva (UE) 2022/2555 “NIS2”). La nomina dovrà avvenire obbligatoriamente tra il 20 novembre 2025 ed il 31 dicembre 2025, con caricamento del nominativo sulla piattaforma a cura del punto di contatto.
il referente CSIRT dovrà necessariamente essere persona fisica.

Ma cosa prevede la determinazione e perché questa novità che non trae origine dalla Direttiva?
In sostanza il  Referente CSIRT dovrà fare da interfaccia operativa tra il soggetto obbligato e il CSIRT stesso. Ricordiamo che il CISRT SIRT è l’acronimo di Computer Security Incident Response Team ovvero il Team che opera in risposta agli incidenti di sicurezza informatica. Infatti, il CISRT ha il compito di prevenire, rilevare e gestire gli incidenti informatici, coordinando le attività di risposta e mitigazione ed è di fatto, l’entità nazionale in prima linea per affrontare minacce e attacchi informatici. Proprio perché deve interfacciarsi a questa struttura, il Referente (ed il suo sostituto) debbono avere competenze di base in materia di sicurezza informatica e gestione degli incidenti informatici oltre ad una conoscenza approfondita dei sistemi informativi e delle reti dell’organizzazione per cui operano.

Si aprono ovviamente degli scenari rispetto a questa nuova figura. Innanzi tutto, si ritiene possa essere sia interna che esterna visto che nessuna precisazione sul tema è emersa in sede di pubblicazione della Determinazione da ACN.
Altro aspetto riguarda la possibilità che possa coincidere con il punto di contatto o il suo sostituto: questa ipotesi è decisamente prospettabile considerato che molto spesso è proprio un soggetto con capacità tecniche, a ricoprire il ruolo di punto di contatto.

Ciò che invece rappresenta un vero e proprio cambio di rotta rispetto a quanto precedente individuato, è quanto stabilito nel seguente passaggio della determinazione: “Il referente CSIRT ha il compito di interloquire con lo CSIRT Italia, di cui all’articolo 2, comma 1, lettera i) del decreto NIS, ed effettuare le notifiche di cui agli articoli 25 e 26 del medesimo decreto per conto del soggetto NIS.” Pertanto, non sarà più il punto di contatto il soggetto addetto alle notifiche, ma il Referente CSIRT. Questo comporterà quindi che il punto di contatto mantenga un ruolo formale connesso all’inserimento delle informazioni in piattaforma, ma la parte operativa passa così al Referente CSIRT. 
Sulla base di queste considerazioni, non solo enti ed aziende dovranno rivalutare le nomine interne dei punti di contatto, andando a detrarre gli obblighi correlati alla notifica, ma dovranno anche rivalutare chi nominare. Infatti, uno dei temi cardini ad oggi è stato quello della nomina a punto di contatto del referente dei sistemi informatici aziendali. E proprio un tema piuttosto dibattuto, è stato quello correlato al dover gestire aspetti formali e connessi all’intera struttura, da parte di un soggetto con competenze appartenenti all’area della cybersicurezza. Adesso dovrà essere riragionata la nomina del punto di contatto (se inserire un soggetto fuori dall’alveo dei sistemi informatici) e riportare sugli stessi le nomine connesse al CSIRT. Aspetti che incideranno ovviamente anche sulle procedure organizzative. Dovrà sussistere la procedura interna per la nomina del referente CSIRT (e dei sostituti), che contenga i criteri di selezione e le competenze richieste oltre a consentire a questa figura, di finalizzare tutte le notifiche necessarie (quindi passando attraverso anche formazione, designazione formale e riconoscimento del ruolo anche verso gli altri attori aziendali).

Possiamo davvero dire che sulla NIS2 siamo WORK IN PROGRESS!