Ai sensi dell’articolo 7 della Determinazione ACN 333017/2025, le funzioni di Referente CSISRT possono essere svolte da qualsiasi persona fisica designata dal Punto di contatto per conto del soggetto NIS, purché possieda almeno competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto NIS per conto del quale opera.
Per quanto sia auspicabile che il Referente CSIRT sia interno all’organizzazione, contrariamente al Punto di contatto, la citata determinazione non vieta l’esternalizzazione di tale figura. Pertanto, è possibile designare quale Referente CSIRT personale esterno come, ad esempio, un responsabile del SOC/CERT o della gestione dell’infrastruttura IT esternalizzato.
Analogamente, per quanto sia auspicabile che i ruoli di Punto di contatto e Referente CSIRT siano svolte da persone fisiche distinte, con riguardo alle organizzazioni di dimensioni contenute, la citata determinazione non vieta la sovrapposizione di tali ruoli sulla medesima persona fisica che, in questo caso, deve necessariamente essere interna all’organizzazione.
Quali sono le responsabilità e il ruolo del Referente CSIRT?
Ai sensi dell’articolo 7, comma 2, della Determinazione ACN 333017/2025, il Referente CSIRT ha il compito di interloquire con lo CSIRT Italia ed effettuare le notifiche obbligatorie degli incidenti significativi (ex articolo 25 del Decreto NIS e articolo 2, comma 3, della Determinazione ACN 164179/2025 ), nonché di quelle volontarie (ex articolo 26 del medesimo Decreto NIS) per conto del soggetto per cui opera.
Si evidenzia che la designazione del referente CSIRT è una delega “operativa” e non costituisce una delega di responsabilità, in quanto ai sensi dell’articolo 23 del Decreto NIS, in prima battuta, la responsabilità delle violazioni è posta in capo ai vertici (organi di amministrazione e direttivi), ovvero ai componenti del Consiglio di amministrazione [(CDA) e /o assimilabili)].
Al fine di assicurare che le informazioni siano tempestivamente veicolate alle strutture e figure competenti è necessario che il soggetto NIS definisca ruoli, responsabilità, processi e procedure per l’assunzione delle relative decisioni che, nei casi più gravi, rientrano nelle competenze degli organi di amministrazione e direttivi.
In tale contesto, viene in rilievo la misura RS.MA-01 “Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente” di cui agli allegati 1 e 2 della Determinazione ACN 164179/2025 relativa alle specifiche di base che i soggetti NIS sono tenuti ad adottare. La piena attuazione di tale misura consente al soggetto di poter assicurare la tempestiva circolarità informativa tra le figure necessarie per la gestione di un incidente sul piano tecnico (ad esempio, personale dell’IT e del SOC/CERT), di business e manageriale/apicale, nonché un efficace processo decisionale.
Ai sensi dell’articolo 7 della Determinazione ACN 333017/2025, le funzioni di Referente CSIRT possono essere svolte da qualsiasi persona fisica designata dal Punto di contatto per conto del soggetto NIS, purché possieda almeno competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto NIS per conto del quale opera.
Per quanto sia auspicabile che il Referente CSIRT sia interno all’organizzazione, contrariamente al Punto di contatto, la citata determinazione non vieta l’esternalizzazione di tale figura. Pertanto, è possibile designare quale Referente CSIRT personale esterno come, ad esempio, un responsabile del SOC/CERT o della gestione dell’infrastruttura IT esternalizzato.
Si segnala, inoltre che, non sono previste limitazioni in termini di cittadinanza del referente CSIRT. Infine, si rappresenta che, fermo restando che la lingua delle comunicazioni ufficiali è l’italiano, è possibile interloquire con lo CSIRT Italia anche in lingua inglese.
Ai sensi dell’articolo 7 della Determinazione ACN 333017/2025, il Referente CSIRT e i suoi sostituti sono designati dal Punto di contatto tramite la funzionalità di Aggiornamento dati disponibile tra i Servizi NIS del Portale dei Servizi ACN.
In particolare, dal 20 novembre, il Punto di Contatto, accedendo al Portale dei Servizi, troverà all’interno della funzionalità di Aggiornamento dati una nuova sezione per l’inserimento dei dati del referente CSIRT (codice fiscale e indirizzo di posta elettronica) e di eventuali suoi Sostituti.
Per completare la procedura, il Referente CSIRT (e i suoi sostituti) dovranno accedere sul Portale dei Servizi e completare il censimento della propria utenza. Si segnala che non è quindi necessario caricare alcuna documentazione a tal fine.
Chi può effettuare la notifica (obbligatoria) degli incidenti significativi?
Ai sensi della Determinazione ACN 333017/2025 i principali interlocutori dello CSIRT Italia sono il Referente CSIRT e i suoi sostituti che, pertanto, sono preposti alla notifica degli incidenti. Oltre a tali interlocutori, la notifica degli incidenti può anche essere effettuata dal Punto di contatto e dal Sostituto Punto di Contatto.
Digital Hub – Team NIS2