L’Agenzia per la cybersicurezza nazionale (ACN) ha istituzionalizzato la figura del referente CSIRT, aggiornando nel contempo l’elenco dei soggetti NIS nella nuova Determinazione n. 333017/2025.
Referente CSIRT, un nuovo presidio operativo
Secondo la disciplina, la figura del referente CSIRT è una persona fisica designata dal Punto di Contatto, il cui compito è interfacciarsi direttamente con lo CSIRT Italia.Il referente, in possesso di competenze tecniche così come i suoi sostituti, sarà responsabile della notifica tempestiva degli incidenti.
Ai sensi dell’articolo 7 della Determinazione (Referente CSIRT e sostituti):
- Il referente CSIRT è una persona fisica designata dal Punto di Contatto, a partire dal 20 novembre ed entro il 31 dicembre 2025, tramite la dedicata procedura telematica resa disponibile dal Portale ACN.
- Il referente CSIRT ha il compito di interloquire con lo CSIRT Italia, di cui all’articolo 2, comma 1, lettera i) del decreto NIS, ed effettuare le notifiche di cui agli articoli 25 e 26 del medesimo decreto per conto del soggetto NIS.
I sostituti referente CSIRT, ove designati, supportano il referente CSIRT nell’esercizio delle funzioni di cui al comma 2 e possono svolgerle per suo conto.
Il referente CSIRT e i suoi sostituti, ove designati, possiedono almeno competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale operano.
Si evidenzia come non ci siano delle specificazioni relative al fatto che il Referente CSIRT e i suoi eventuali sostituti debbano essere obbligatoriamente dei dipendenti del soggetto NIS.
Aggiornato l’elenco dei soggetti NIS
Durante il Tavolo si è proceduto ad adottare il secondo aggiornamento dell’elenco dei soggetti NIS.In questo senso si è integrato l’esito di numerose revisioni, alle quali si aggiungeranno le centinaia di registrazioni tardive effettuate entro la fine del mese di giugno.
Sono attualmente in valutazione le ulteriori registrazioni tardive pervenute nei mesi successivi, con i relativi esiti che verranno integrati nel prossimo aggiornamento dell’elenco dei soggetti NIS.
Questo aggiornamento sarà oggetto di implementazione entro la fine dell’anno.
Tale attività garantisce un quadro costantemente aggiornato dei soggetti NIS, nella misura in cui realizza un presidio efficace del tessuto produttivo del Paese.
Cybersicurezza e NIS, maggiore coordinamento europeo
Infine, c’è stato l’annuncio dell’avvio di un progetto pilota di peer review tra le Autorità competenti NIS di diversi Stati membri dell’Unione Europea, cui ha aderito anche ACN.Questa iniziativa rappresenta un’importante occasione, affinchè ci siano l’unione di un continuo confronto con la collaborazione sistemica.
L’obiettivo è quello di armonizzare i requisiti di sicurezza e rafforzare il coordinamento europeo in materia, a beneficio della protezione comune delle infrastrutture digitali.
La Determinazione rendendo più chiaro e coerente il flusso di comunicazione tra soggetti NIS, CSIRT Italia.
Da solo, in effetti, era molto difficile pensare che il Punto di Contatto potesse avere la responsabilità anche di questo adempimento. (Fonte: Lorenzo Proietti, https://www.cybersecitalia.it/)