Indice degli argomenti

• Una nuova figura per garantire una risposta più efficace agli incidenti
• Le altre scadenze da conoscere
• Un’apertura al mercato: il referente può essere anche esterno
• Impatto organizzativo e vantaggi concreti
• Come prepararsi alla designazione

Una nuova figura per garantire una risposta più efficace agli incidenti

Il Referente CSIRT è la persona fisica, individuata e designata dal Punto di Contatto (PdC) tramite procedura telematica sul Portale ACN. È incaricato di interfacciarsi con lo CSIRT Italia e di effettuare, per conto del soggetto NIS, le notifiche in caso di incidenti significativi.

La designazione potrà essere effettuata tra il 20 novembre e il 31 dicembre 2025, secondo quanto stabilito dalla Determinazione del Direttore dell’ACN.

Tra le competenze richieste figurano:

• conoscenze di base in sicurezza informatica e incident management;
• conoscenza approfondita dei sistemi e delle reti dell’organizzazione;
• capacità di comunicazione e coordinamento in situazioni di crisi.

Per garantire la continuità operativa, sarà inoltre possibile nominare uno o più sostituti del referente principale.

L’introduzione del Referente CSIRT rappresenta un’evoluzione significativa rispetto alla precedente struttura basata unicamente sul Punto di Contatto. Il PdC rimane il soggetto di riferimento per quanto riguarda governance e compliance, occupandosi degli adempimenti formali e dell’interlocuzione istituzionale con l’Autorità nazionale competente NIS, come la registrazione, l’aggiornamento e la gestione delle anagrafiche sul Portale ACN. Mentre il Referente CSIRT assume un ruolo operativo e tecnico occupandosi di incident response e notifiche.

Le altre scadenze da conoscere

Il nuovo ruolo del Referente CSIRT si inserisce in un calendario operativo scandito dalle Determinazioni del Direttore dell’ACN, che definiscono anche le principali finestre per gli adempimenti dei soggetti NIS.

Tra queste:

• Gestione notifiche di incidente (incident management): gennaio 2026 – è necessario allestire idonee procedure operative per la notifica degli incidenti al CSIRT.
• Registrazione dei soggetti NIS: in genere tra il 1° gennaio e il 28 febbraio;
• Aggiornamento annuale: solitamente tra il 15 aprile e il 31 maggio;
• Aggiornamento continuo: fino al 14 aprile dell’anno successivo.

N.B. Le finestre operative possono essere aggiornate da ACN con nuove determinazioni. È consigliabile consultare la sezione ufficiale ACN – Servizi NIS o le FAQ aggiornate per verificare eventuali modifiche sopravvenute rispetto al momento della stesura di questo articolo.

Il referente può essere anche esterno

Una delle novità più rilevanti è che la normativa non impone che il Referente CSIRT sia un dipendente interno dell’organizzazione.
In assenza di un vincolo esplicito, le aziende e gli enti possono designare anche figure esterne in possesso delle competenze richieste, nel rispetto delle responsabilità che restano in capo agli organi amministrativi e al PdC.

Impatto organizzativo e vantaggi concreti

L’introduzione del Referente CSIRT porta maggiore chiarezza nei rapporti con lo CSIRT Italia e riduce il tempo necessario per la notifica degli incidenti significativi.
Si tratta di una misura di governance operativa che chiarisce ruoli e responsabilità nei momenti di crisi. Per i soggetti NIS questo significa definire in modo chiaro: chi raccoglie gli indicatori di compromissione; chi valuta la significatività dell’incidente; chi approva e invia la notifica; chi mantiene il contatto tecnico con CSIRT Italia.

Come prepararsi alla designazione

Anche se la finestra di nomina si aprirà il 20 novembre 2025, è opportuno avviare fin da ora la preparazione. In coerenza con la documentazione ACN e con le prassi di incident management, proponiamo quattro cantieri organizzativi utili per arrivare pronti alla scadenza:

1) Selezione del profilo – individuare candidati con esperienza in gestione incidenti e conoscenza dell’ambiente IT/OT dell’organizzazione o esterni.
2) Procedure e playbook – allineare i processi di risposta (incluse le notifiche) e definire template e catene di approvazione chiare.
3) Integrazione con il Portale ACN – verificare anagrafiche/ruoli e predisporre la procedura interna per la designazione del referente e dei sostituti.
4) Esercitazioni operative – simulare raccolta dati, qualificazione dell’incidente e invio della notifica verso CSIRT Italia, misurando tempi e “lesson learned”.

La designazione del Referente CSIRT non è un mero adempimento formale, ma una responsabilità strategica.
Arrivare pronti alla scadenza del 31 dicembre 2025 significa avere persone formate, processi testati e canali di comunicazione interni efficaci.
Solo così sarà possibile rispondere in modo tempestivo ed efficace agli incidenti informatici, rafforzando la conformità alla direttiva NIS2.

SI.net può mettere a disposizione professionalità qualificate e presidi organizzativi adeguati per supportare enti e aziende nella designazione e nella gestione del ruolo di Referente CSIRT, garantendo competenza, continuità operativa e conformità alle disposizioni della Direttiva NIS2. Contattaci: saremo al tuo fianco per trasformare un obbligo normativo in un’occasione di crescita e sicurezza digitale.

---

Leggi anche: ACN pubblica le Linee Guida NIS: misure di sicurezza e obblighi per aziende e PA

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale e alla data protection, scrivi a sinet@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su LinkedIn, Facebook, X, YouTube, Instagram, Telegram