La procedura di nomina del referente CSIRT sul portale ACN sarà attiva fino  al 31 dicembre 2025. In questo periodo, le aziende dovranno designare il referente e gli eventuali sostituti secondo quanto previsto dalla determina di ACN.

Chi è davvero il referente CSIRT

Ma chi è esattamente il referente CSIRT? E’ quel soggetto che , in pratica, si prenderà la responsabilità operativa e formale di gestire il rapporto con l’autorità quando i sistemi sono in crisi. Infatti in base all’art. 7 della determina ACN il referente CSIRT è una persona fisica, designata dal Punto di Contatto attraverso la procedura telematica  e che diventerà l’interlocutore stabile dello CSIRT Italia, ed effettuerà le notifiche degli incidenti significativi e delle informazioni rilevanti previste dagli articoli 25 e 26 della NIS2.

Quali competenze son necessarie

L’articolo 7 richiede che referente CSIRT e sostituti abbiano almeno competenze di base in tre aree: sicurezza informatica, gestione degli incidenti, conoscenza dei sistemi e delle reti dell’organizzazione per cui operano.

Il referente deve saper riconoscere un incidente significativo, raccogliere rapidamente le informazioni corrette, coordinarsi con CISO, IT, legale, comunicazione e direzione, e comunicare in modo chiaro con il CSIRT Italia. Non basta una preparazione superficiale: servono esperienza concreta nella gestione di servizi critici, incidenti e crisi digitali, oltre a una comprensione delle implicazioni legali e reputazionali. Ridurre questo ruolo a semplice compilazione di moduli svilisce l'importanza della funzione nel sistema NIS2.

Interno o esterno? L'importante è la competenza

La norma non specifica se il referente debba appartenere o meno all’organizzazione. Stabilisce soltanto che deve essere una persona fisica nominata dal Punto di Contatto e messa nelle condizioni di svolgere le proprie funzioni, con idonee competenze.

Questo apre tre scenari:

• figura interna, tipicamente il CISO, il responsabile sicurezza informatica, il responsabile incident response o continuità operativa, nelle aziende che hanno già una struttura di sicurezza matura;
• professionista esterno, pienamente legittimo, purché si tratti di una persona (non della società in quanto tale) con un mandato formale, contrattualizzato, integrato nel processo di gestione incidenti dell’organizzazione;
• modello misto, con referente interno affiancato da consulenti esterni specializzati che lo supportano nel raccogliere le informazioni e nel predisporre le comunicazioni verso il CSIRT Italia.

La notifica degli incidenti significativi 

Il ruolo del referente CSIRT si basa sulla capacità di identificare se un “incidente è da classificarsi significativo”, come previsto dall’articolo 25 del decreto NIS2. Secondo la normativa, i soggetti essenziali e importanti sono infatti tenuti a notificare, senza ingiustificato ritardo (24 ore) , qualsiasi incidente che abbia un impatto significativo sulla continuità dei servizi. La soglia di rilevanza è elevata: un incidente è considerato significativo se determina o può determinare una grave perturbazione operativa, perdite finanziarie rilevanti, oppure se comporta – o potrebbe comportare – conseguenze materiali o immateriali considerevoli per altre persone fisiche o giuridiche (art. 25).

Non si tratta di eventi ordinari quali la manutenzione di singoli server o brevi interruzioni del servizio, ma di situazioni che, per entità o impatto, possono compromettere seriamente la continuità operativa o la protezione dei dati e dei diritti di clienti, utenti e cittadini.

La valutazione della gravità di un incidente richiede l’acquisizione di informazioni tecniche dettagliate, una solida capacità di analisi del rischio e una buona sensibilità giuridica; non può essere effettuata superficialmente.

Per rendere meno teorica questa nozione interviene la Determinazione ACN n. 164179/2025, che per soggetti NIS importanti ed essenziali individua, negli allegati, una serie di “incidenti significativi di base”, che comportano:

• perdita di riservatezza verso l’esterno di dati digitali dell’organizzazione o di soggetti su cui essa esercita il controllo (anche parziale);
• perdita di integrità dei dati con impatto verso l’esterno;
• violazione dei livelli di servizio attesi dei servizi e/o delle attività, misurata rispetto ai service level.

Per i soggetti importanti si aggiunge anche il caso di accesso non autorizzato o abuso di privilegi su dati digitali di proprietà del soggetto NIS o di soggetti da esso controllati, anche in modo parziale.

Per il referente CSIRT, queste costituiscono una griglia di riferimento pratica: quando si verifica una perdita di riservatezza, integrità, livello di servizio oppure un abuso di privilegi nel perimetro NIS, la domanda successiva è "quale è l'impatto generato?" e quindi decidere se procedere con la notifica. Infatti non sempre l’incidente rientrante in una di queste categorie, va notificato, ma deve prima essere valutato sulla base del suo impatto . In pratica il percorso è a due step:

1. l’evento rientra in una delle categorie di incidente informatico individuate dagli allegati;
2. l’impatto è tale da soddisfare i requisiti di significatività dell’articolo 25 citato sopra.

Solo quando entrambe le condizioni sono vere si entra nel perimetro della notifica obbligatoria. 

Le tempistiche: 24 ore, 72 ore, rapporto intermedio e relazione finale

Lo stesso articolo 25 fissa una vera e propria tabella di marcia per le comunicazioni verso il CSIRT Italia e le tempistiche son assolutamente da rispettare :

• Entro 24 ore dal momento in cui l’organizzazione viene a conoscenza dell’incidente significativo deve partire una pre-notifica. Quando possibile, dovrebbe già indicare se l’evento può avere origine in atti illeciti o malevoli e se è ipotizzabile un impatto transfrontaliero.
• Entro 72 ore dalla stessa conoscenza deve essere trasmessa la notifica vera e propria, con una prima valutazione della gravità e dell’impatto, oltre agli eventuali indicatori di compromissione disponibili.
• Su richiesta del CSIRT Italia può essere inviata una relazione intermedia, con aggiornamenti sulla gestione della situazione.
• Entro un mese dalla notifica va predisposta una relazione finale, che descrive nel dettaglio l’incidente, il suo impatto, la minaccia o la causa originaria che lo ha innescato e le misure di mitigazione adottate o ancora in corso, includendo, se noto, l’eventuale impatto transfrontaliero.

È evidente che il referente CSIRT dovrà collaborare con più interlocutori per poter raccogliere tutte queste informazioni, ma sicuramente a lui spetta gestire il canale di comunicazione con il CSIRT.

Oltre poi alla gestione degli incidenti di base che prevede le sue comunicazioni obbligatorie, è lasciata facoltà al referente CSIRT di decidere se segnalare anche incidenti e minacce che non rientrano negli incidenti significativi  ma che, in un’ottica di collaborazione e condivisione delle informazioni, possono rappresentare utili indicazioni per la difesa collettiva   (notifiche volontarie)   .

 I passaggi nell’immediato

Entro dicembre è necessario che il punto di contatto selezioni  con cura la persona che diventerà referente CSIRT, sulla base dell’ esperienza in incident response, capacità di lettura del rischio, attitudine al coordinamento tra livelli tecnico e direzionale, lucidità nella gestione di situazioni critiche.

Dovrà poi selezionare uno o più sostituti che conoscano dossier, infrastrutture e processi quasi quanto il referente, per evitare un “single point of failure umano” nei momenti critici.

Infine, è necessario definire con chiarezza il processo interno di gestione incidenti, verificando che sia effettivamente in grado di produrre in 24 e 72 ore le informazioni che gli articoli 25 e 26 richiedono: descrizione degli eventi, impatto, gravità, indicatori di compromissione, misure di contenimento e mitigazione.