Lo scorso 19 settembre, l’ACN ha adottato la Determinazione ACN n. 333017, che aggiorna e sostituisce la precedente Determinazione ACN n. 283727 del 22 luglio 2025.
La novità più rilevante è l’introduzione della figura del Referente CSIRT.
Ma chi è il Referente CSIRT?
Il Referente CSIRT è colui o colei che ha il compito di gestire le interlocuzioni con il CSIRT Italia (Computer Security Incident Response Team nazionale) e di trasmettere le notifiche di incidenti significativi (come definiti dalla Determinazione ACN n. 164179) e le notifiche volontarie di informazioni rilevanti sulla cybersicurezza.
Per assicurare tempestività e continuità alle comunicazioni con il CSIRT, la normativa prevede la possibilità di nominare uno o più sostituti del Referente CSIRT, che lo affiancano nello svolgimento delle sue funzioni e che possono operare in sua vece in caso di assenza o impedimento.
A differenza del Punto di Contatto e del Sostituto Punto di Contatto, può essere designata quale Referente CSIRT (e come suo sostituto) anche una persona fisica esterna all’organizzazione (un consulente, ad esempio).
In ogni caso, è richiesto che le persone designate possiedano competenze di base in materia di sicurezza informatica e gestione degli incidenti e una conoscenza approfondita dei sistemi informativi e delle reti del soggetto NIS per il quale operano.
La designazione deve essere effettuata dal Punto di Contatto tramite una procedura apposita. La procedura di designazione sarà attiva dal 20 novembre 2025 e dovrà essere completata entro il 31 dicembre 2025, attraverso il portale dei servizi accessibile tramite il sito web dell’ACN.
A prima vista, l’introduzione della figura del Referente CSIRT rappresenta per i soggetti NIS un importante strumento di supporto, in quanto consente di affidare la gestione delle notifiche di incidenti anche a persone esterne all’organizzazione, dispensando i soggetti NIS da attività particolarmente gravose, time consuming e per cui è preferibile ricorrere alle competenze di consulenti esterni.
Ciò risulta utile, in particolare, per:
quei soggetti NIS che non dispongono di strutture o risorse interne adeguate per fare fronte agli adempimenti connessi alla notifica degli incidenti;
le organizzazioni estere soggette alla giurisdizione nazionale (ad esempio, i fornitori di reti pubbliche di comunicazione elettronica e i servizi di comunicazione elettronica accessibili al pubblico) che possono incontrare difficoltà legate a barriere linguistiche o differenze di fuso orario.
Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi previsti dalla disciplina NIS clicca qui
