L’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha pubblicato in data 21 novembre 2025 alcune FAQ che forniscono chiarimenti sul ruolo, i requisiti e le modalità di designazione del Referente CSIRT.
Il Referente CSIRT, la cui designazione è prevista dalla Determinazione ACN n. 250916 del 19 settembre 2025, è colui o colei che ha il compito di gestire le interlocuzioni con il CSIRT Italia (Computer Security Incident Response Team nazionale) e di trasmettere le notifiche di incidenti significativi (come definiti dalla Determinazione ACN n. 164179) e le notifiche volontarie di informazioni rilevanti sulla cybersicurezza.
Le FAQ precisano che il Referente CSIRT può essere qualsiasi persona fisica che disponga di competenze di base in materia di cybersicurezza e gestione degli incidenti informatici, nonché di un’adeguata conoscenza dei sistemi e delle reti dell’organizzazione.
In tale prospettiva, è ammessa anche la designazione di professionisti esterni, quali il responsabile di un SOC/CERT o il gestore di un’infrastruttura IT esternalizzata.
È inoltre previsto che, limitatamente alle organizzazioni di dimensioni contenute, i ruoli di Punto di Contatto e Referente CSIRT possano coincidere.
Le FAQ chiariscono anche che non esistono limitazioni relative alla cittadinanza del Referente CSIRT e che il dialogo con lo CSIRT Italia può avvenire anche in lingua inglese.
Un ulteriore chiarimento riguarda la natura della designazione: essa configura una delega esclusivamente operativa e non implica alcun trasferimento di responsabilità, che restano in capo agli organi di amministrazione e direzione del soggetto NIS.
Inoltre, viene specificato che i Sostituti del Referente CSIRT devono essere in possesso dei medesimi requisiti del Referente CSIRT e sono soggetti alle medesime previsioni operative.
Le FAQ indicano poi che la notifica degli incidenti può essere effettuata, oltre che dal Referente CSIRT e dai suoi sostituti, anche dal Punto di Contatto e dal Sostituto Punto di Contatto.
Infine, con riferimento alla procedura di designazione, viene specificato che il Punto di Contatto deve inserire nel Portale dei Servizi ACN il codice fiscale e l’indirizzo e-mail del Referente CSIRT e degli eventuali sostituti. Successivamente, il Referente CSIRT (e i suoi sostituti) devono accedere al Portale tramite SPID o CIE e completare il censimento della propria utenza, senza necessità di caricare alcuna documentazione di supporto.
