NIS2 – nasce il referente CSIRT
Qualche giorno fa l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato una nuova determinazione – Determinazione ACN 333017/2025 – che aggiorna e sostituisce la determinazione ACN n. 283727 del 22 luglio 2025 e stabilisce termini, modalità e procedimenti di utilizzo e accesso al Portale ACN ed ai Servizi NIS, nonché le ulteriori informazioni che i soggetti NIS devono fornire all’Autorità nazionale competente NIS.
Il Referente CSIRT
Una nuova figura viene inserita con l’art.7 ed è il Referente CSIRT, che viene nominato dal Punto di Contatto rispetto al quale ha un ruolo più operativo, in merito all’attuazione delle disposizioni NIS: il suo compito infatti è quello di interloquire con lo CSIRT Italia ed effettuare le notifiche di cui agli articoli 25 e 26 del medesimo decreto per conto del soggetto NIS.
Per garantire la continuità e la tempestività delle comunicazioni, il Punto di Contatto può designare, all’interno dell’organizzazione, uno o più sostituti del Referente CSIRT.
Le competenze richieste per il Referente CSIRT e i suoi sostituti sono: la conoscenza di base in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale operano.
La determinazione non specifica l’appartenenza del Referente CSIRT all’organizzazione e sembra quindi aperta la possibilità di assegnare il ruolo anche a soggetti esterni, purché in possesso dei requisiti richiesti.
La designazione del Referente CSIRT deve essere comunicata dal Punto di Contatto, tramite procedura telematica sul Portale ACN, tra il 20 novembre e il 31 dicembre di quest’anno.
Chi-fa-cosa in merito alla Normativa NIS
L’inserimento di questa nuova figura serve per dare maggiore chiarezza su ciò che l’ACN si aspetta dalle varie figure all’interno dei soggetti NIS:
- responsabilità diretta per i vertici gerarchici nonché degli organi di amministrazione e direttivi del soggetto,
- governance e compliance da parte del Punto di Contatto, che accede al Portale ACN e ai Servizi NIS, effettua la registrazione di cui all’articolo 7 del decreto NIS, e interloquisce con l’Autorità nazionale competente NIS,
- segnalazione degli incidenti e reporting in capo al Referente CSIRT.
Scadenziario
Scorrendo il testo della Determinazione, è possibile riassumere le principali scadenze per gli adempimenti della Normativa NIS:
Dal 1° gennaio al 28 febbraio di ogni anno, gli utenti compilano, tramite il Servizio NIS/Registrazione, la dichiarazione per il soggetto per cui operano ai fini della sua registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate. (art. 11)
Dal 15 aprile al 31 maggio di ogni anno, gli utenti aggiornano, tramite il Servizio NIS/Aggiornamento annuale, le informazioni per conto del soggetto per cui operano, assicurandone la correttezza. (art. 16)
Fino al 14 aprile di ogni anno, tramite il servizio NIS/Aggiornamento continuo, gli utenti forniscono le informazioni aggiornate per conto del soggetto per cui operano, assicurandone la correttezza, laddove siano sopravvenute modifiche alle informazioni trasmesse ai sensi dell’articolo 16 (art. 18)
Tra il 20 novembre e il 31 dicembre 2025 va fata la designazione del Referente CSIRT sul portale ACN.