Nuovo obbligo per le organizzazioni soggette alla Direttiva NIS 2

La nuova Determinazione dell’ACN (Agenzia per la cybersicurezza nazionale), ha introdotto la figura del referente CSIRT (Computer Security Incident Response Team), una persona fisica designata dal Punto di Contatto con il ruolo di gestire le comunicazioni con il CSIRT Italia – il team nazionale di risposta agli incidenti informatici – e di trasmettere le notifiche di incidenti significativi o volontarie relative alla cybersicurezza.

La designazione del Referente CSIRT (e dei suoi eventuali sostituti) è obbligatoria per i soggetti NIS entro il 31 dicembre 2025. La sua nomina dovrà avvenire infatti nel periodo compreso tra il 20 novembre e il 31 dicembre 2025, con la possibilità di indicare uno o più sostituti, per garantire continuità operativa e tempestività nelle comunicazioni.

La nomina viene fatta dal Punto di Contatto tramite la procedura telematica resa disponibile dal Portale ACN.

Chi è il Referente CSIRT — requisiti e peculiarità

• Il Referente CSIRT è una figura incaricata del dialogo con il CSIRT ITALIA, facente parte dell’ACN.
• Può essere nominato anche un soggetto esterno all’organizzazione (ad esempio un consulente IT), a differenza del Punto di Contatto che deve essere interno.
• È richiesto che chi riveste la funzione possieda:
  1. competenze di base in sicurezza informatica e gestione degli incidenti,
  2. conoscenza approfondita dei sistemi informativi e delle reti del soggetto NIS per cui opera.
• È consentita la nomina di uno o più sostituti, che possano intervenire in caso di assenza o impedimento del referente principale.

Compiti

In conformità all’art. 25 del D.lgs. 138/2024, i soggetti NIS2 sono obbligati a notificare, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi. Il Referente CSIRT è il soggetto responsabile della notifica tempestiva degli incidenti significativi.

Gli incidenti significativi per i soggetti importanti sono riportati nell’ALLEGATO 3 della determinazione ACN 164179 del 14 aprile 2025; mentre gli incidenti significativi per i soggetti essenziali sono riportati nell’ALLEGATO 4 della medesima determina.

L’obbligo di notifica degli incidenti entrerà in vigore a gennaio 2026. Pertanto, entro tale data, i soggetti NIS2 dovranno dotarsi di una procedura per la gestione degli incidenti significativi. Tale procedura dovrà definire un processo strutturato e standardizzato per l’identificazione, la segnalazione, l’analisi, la risposta e la risoluzione degli incidenti, nonché descrivere in dettaglio le modalità con cui il Referente CSIRT dovrà effettuare la notifica al CSIRT Italia.

Come possiamo aiutarti

Per una consulenza sulla Direttiva NIS2 e relativi obblighi, siamo disponibili ai seguenti contatti:  

Sede di Borgo San Dalmazzo (CN)

📧 commerciale@studioquality.it  |  📞 0171 260239

Sede di Alba (CN)

📧 commerciale@studioquality.it  |  📞 0173 1950692

Consulta il testo integrale della :

🔗 Determinazione Agenzia per la cybersicurezza nazionale 

🔗 Allegato 3 – Incidenti significativi di base per i soggetti importanti