NIS2 – Designazione del referente CSIRT

Designazione del referente CSIRT entro il 31 dicembre 2025: cosa prevede la determina ACN 333017/2025

L’Agenzia per la cybersicurezza nazionale ha pubblicato la determinazione n. 333017/2025 del 15 settembre 2025, efficace dal 1° ottobre 2025, che aggiorna termini e modalità di utilizzo della piattaforma ACN NIS e introduce un nuovo adempimento per i soggetti NIS ai sensi del d.lgs. 138/2024: la designazione del referente CSIRT entro il 31 dicembre 2025.

La determinazione sostituisce integralmente la precedente determinazione ACN n. 283727 del 22 luglio 2025 e ridefinisce il quadro operativo relativo a registrazione, aggiornamento delle informazioni e ruoli abilitati all’interlocuzione con ACN e con lo CSIRT Italia, nel contesto degli adempimenti NIS2 in Italia.

 

Chi è il referente CSIRT

Il referente CSIRT è una persona fisica, interna o esterna all’organizzazione, designata dal punto di contatto NIS tramite la piattaforma ACN.

Il referente CSIRT ha il compito di:

• interfacciarsi con lo CSIRT Italia per conto del soggetto NIS;
• effettuare le notifiche degli incidenti significativi ai sensi degli articoli 25 e 26 del d.lgs. 138/2024;
• supportare l’organizzazione nella gestione operativa degli eventi di sicurezza informatica.

È possibile designare uno o più sostituti del referente CSIRT.

Per le organizzazioni di dimensioni contenute il referente CSIRT può coincidere con il punto di contatto.

 

Requisiti minimi del referente CSIRT

La determinazione ACN prevede che il referente CSIRT e gli eventuali sostituti possiedano almeno:

• competenze di base in materia di sicurezza informatica e gestione degli incidenti cyber;
• conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale operano.

Questi requisiti sono essenziali per garantire che il referente sia in grado di comprendere l’impatto degli incidenti significativi NIS e di interagire efficacemente con lo CSIRT Italia.

 

Designazione del referente CSIRT: scadenze e procedura

La designazione del referente CSIRT deve avvenire obbligatoriamente tramite la piattaforma ACN, utilizzando la procedura telematica prevista per i soggetti NIS.

La finestra temporale stabilita da ACN è la seguente:

• periodo di designazione: dal 20 novembre 2025 al 31 dicembre 2025.

La procedura di nomina del referente CSIRT avviene in modo analogo a quella utilizzata per la nomina del sostituto del punto di contatto.

Il mancato rispetto dei termini può esporre l’organizzazione a rischi di non conformità rispetto agli obblighi NIS2 e al d.lgs. 138/2024.

 

Altri adempimenti sulla piattaforma ACN: registrazione e aggiornamenti

La determinazione ACN 333017/2025 conferma e dettaglia anche le finestre annuali per la gestione del ciclo informativo NIS sulla piattaforma ACN.

In particolare:

• registrazione del soggetto NIS: dal 1 gennaio al 28 febbraio di ogni anno;
• aggiornamento annuale delle informazioni: dal 15 aprile al 31 maggio di ogni anno;
• aggiornamento continuo: fino al 14 aprile di ogni anno, da effettuare entro 14 giorni dalla modifica delle informazioni trasmesse in fase di registrazione o aggiornamento.

Questi adempimenti riguardano, tra l’altro:

• i dati identificativi del soggetto NIS;
• le informazioni sugli organi direttivi;
• le informazioni tecniche rilevanti ai fini NIS (sistemi, reti, indirizzi IP, domini);
• le figure chiave per l’interlocuzione con ACN, incluso il referente CSIRT.

Responsabilità degli organi direttivi

Come previsto dal d.lgs. 138/2024, la responsabilità del rispetto degli obblighi NIS2 e degli adempimenti sulla piattaforma ACN ricade sugli organi di amministrazione e sugli organi direttivi del soggetto NIS;

questi organi:

• sovrintendono alle attività di registrazione, comunicazione e aggiornamento;
• rispondono di eventuali omissioni o ritardi;
• sono esposti a un regime sanzionatorio rafforzato in caso di gravi inadempienze.

La corretta designazione del referente CSIRT rientra quindi a pieno titolo tra le attività di governance della cybersicurezza richieste agli enti essenziali e importanti.

 

Cosa devono fare ora i soggetti NIS

Alla luce della nuova determinazione ACN, i soggetti NIS devono in particolare:

• verificare che il punto di contatto sia correttamente registrato sulla piattaforma ACN;
• individuare il referente CSIRT e gli eventuali sostituti, valutandone competenze tecniche e conoscenza dell’ambiente IT;
• procedere alla designazione del referente CSIRT tramite la piattaforma ACN entro il 31 dicembre 2025;
• verificare la coerenza delle procedure interne di gestione degli incidenti significativi con il ruolo del referente CSIRT;
• pianificare il rispetto delle finestre annuali di registrazione, aggiornamento e aggiornamento continuo previste dalla determinazione ACN.

Queste attività costituiscono un tassello fondamentale del percorso di compliance NIS2 e contribuiscono a rendere più efficace la gestione degli incidenti cyber a livello nazionale.

 

Approfondimenti ufficiali ACN

ACN ha pubblicato:

• un aggiornamento delle FAQ dedicate al ruolo del referente CSIRT (FAQ RCS 1–6):
  https://www.acn.gov.it/portale/faq/nis/aggiornamento-continuo;
• un comunicato di approfondimento sul tema:
  https://www.acn.gov.it/portale/w/v-tavolo-nis-al-via-il-referente-csirt.

Si tratta di risorse utili per comprendere meglio il perimetro operativo del referente CSIRT e le aspettative dell’Agenzia.

 

Come iSimply e Gruppo 2G possono supportare gli adempimenti NIS2

iSimply e Gruppo 2G affiancano enti pubblici e imprese nella gestione degli adempimenti NIS2 e nell’utilizzo della piattaforma ACN NIS, in particolare per

• analisi del perimetro NIS2 e verifica dell’applicabilità degli obblighi;
• supporto nella designazione del referente CSIRT e dei sostituti;
• assistenza operativa per la registrazione e l’aggiornamento delle informazioni sulla piattaforma ACN;
• predisposizione e aggiornamento delle procedure di gestione degli incidenti significativi;
• formazione mirata per organi direttivi, punto di contatto e referente CSIRT.

Per ulteriori informazioni o per valutare un percorso di supporto personalizzato è possibile contattarci tramite i consueti canali aziendali.

L’Agenzia per la cybersicurezza nazionale ha pubblicato la determinazione n. 333017/2025 del 15 settembre 2025, efficace dal 1° ottobre 2025, che aggiorna termini e modalità di utilizzo della piattaforma ACN NIS e introduce un nuovo adempimento per i soggetti NIS ai sensi del d.lgs. 138/2024: la designazione del referente CSIRT entro il 31 dicembre 2025.

La determinazione sostituisce integralmente la precedente determinazione ACN n. 283727 del 22 luglio 2025 e ridefinisce il quadro operativo relativo a registrazione, aggiornamento delle informazioni e ruoli abilitati all’interlocuzione con ACN e con lo CSIRT Italia, nel contesto degli adempimenti NIS2 in Italia.

 

Per ulteriori informazioni o per valutare un percorso di supporto personalizzato è possibile contattarci alla email info@isimply.it oppure al numero di telefono 01251899500.