Entro dicembre 2025 l’obbligo di designare il Referente CSIRT
Le imprese e gli enti considerati “essenziali” o “importanti” ai sensi del Decreto Legislativo 4 settembre 2024, n. 138 — che recepisce la direttiva NIS2 — si trovano oggi ad affrontare nuove responsabilità in materia di cybersicurezza.
In questo contesto, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha emanato la recente Determinazione n. 333017/2025, che sostituisce la precedente n. 283727/2025, definendo punti operativi e tempistiche per l’adeguamento.
Il nodo centrale della normativa: la figura del “Referente CSIRT”.
Il ruolo del Referente CSIRT assume ora una funzione chiave per la resilienza digitale delle organizzazioni. Come stabilito dall’articolo 7 della Determinazione, la designazione — da effettuare sul portale ACN — individua la persona fisica incaricata di mantenere il contatto diretto con il CSIRT Italia e di garantire una gestione tempestiva e coordinata degli incidenti informatici.
Tempistiche e modalità operative
Le organizzazioni soggette dovranno completare la nomina del Referente CSIRT nell’intervallo temporale compreso tra il 20 novembre e il 31 dicembre 2025, utilizzando la procedura dedicata all’interno del portale ACN.
La normativa richiede inoltre che sia individuato un referente principale e almeno un sostituto, con l’obiettivo di garantire reperibilità h24 e una continuità operativa effettiva nelle comunicazioni con i soggetti istituzionali competenti.
Requisiti e possibilità di nomina
Con l’entrata in vigore della NIS2 – vigente dal 16 ottobre 2024 in Italia – si introduce un paradigma che non riguarda soltanto la compliance normativa, ma la capacità dell’intero sistema Paese di rispondere efficacemente a incidenti cyber in un contesto fortemente interconnesso.
Il Referente CSIRT funge da punto nodale tra l’organizzazione e il sistema nazionale di cybersicurezza, rendendo più rapido e strutturato il flusso informativo: dall’individuazione dell’incidente alla notifica, fino alle azioni correttive.
Cosa devono fare le organizzazioni?
- Verificare tempestivamente se si rientra nel perimetro soggettivo della NIS2 (operatori essenziali/importanti).
- Procedere alla nomina del Referente CSIRT e del suo sostituto entro la scadenza del 31 dicembre 2025.
- Se si opta per un soggetto esterno per svolgere il ruolo, predisporre e formalizzare un contratto che definisca chiaramente responsabilità, tempi di risposta, modalità di accesso ai sistemi, riservatezza e tracciabilità.
- Aggiornare le procedure interne di gestione incidenti e assicurarsi che il Referente CSIRT sia integrato nel flusso operativo (notifiche pre-evento, evento, post-evento).
Quali sono i rischi nel caso in cui non venga nominato un responsabile?
La mancata nomina del referente CSIRT comporta sanzioni amministrative, oltre a possibili sanzioni accessorie come la sospensione di autorizzazioni o il divieto di svolgere funzioni dirigenziali.
Oltre alle conseguenze economiche, l’assenza di un referente può compromettere la capacità di risposta agli incidenti, con il rischio di interruzioni lavorative prolungate, danni reputazionali e perdita di fiducia.
