NIS2 e gestione degli incidenti: l’ACN introduce il Referente CSIRT

13 Ottobre 2025
, , ,

Inizia ad avvicinarsi la scadenza, prevista per gennaio 2026, per il rispetto da parte delle imprese qualificate come “soggetti essenziali” o “soggetti importanti” (i “Soggetti NIS”) degli obblighi in materia di incidenti di sicurezza di cui al D.Lgs. 138/2024 (“Decreto NIS2”).

In questo contesto, lo scorso 3 ottobre, l’Autorità per la Cybersicurezza Nazionale (“ACN”) ha pubblicato la Determinazione n. 333017/2025 (la “Determinazione”), che aggiorna e sostituisce la precedente Determinazione 283727/2025.

La novità principale è l’introduzione della figura del “Referente CSIRT”.

Chi è il Referente CSIRT?

Il CSIRT Italia (Computer Security Incident Response Team) è l’organismo tecnico nazionale, che opera presso l’ACN, con il compito di prevenire, analizzare e gestire gli incidenti informatici che colpiscono reti e infrastrutture strategiche. I principali compiti del CSIRT includono il monitoraggio e l’intervento in caso di incidenti a livello nazionale, la pubblicazione di campagne di sensibilizzazione, nonché l’emissione di preallarmi o alert alle parti interessate in merito ai rischi e agli incidenti.

La Determinazione introduce, nel contesto di ogni organizzazione soggetta al Decreto NIS2, la figura del Referente CSIRT. Si tratta di una persona fisica designata dal punto di contatto, ossia da quel soggetto espressamente designato come tale dai Soggetti NIS[1], con il compito di procedere alla registrazione dell’organizzazione sul portale dell’ACN e a interloquire con l’Autorità.

A differenza del punto di contatto, il Referente CSIRT non deve necessariamente far parte dell’organizzazione. La Determinazione, infatti, non prescrive nulla sul punto, limitandosi a richiedere che il referente sia dotato di specifiche competenze in materia di sicurezza informatica e di gestione degli incidenti, e formalmente autorizzato ad agire in nome e per conto del Soggetto NIS. La Determinazione consente anche la nomina di uno o più sostituti, che dovranno possedere le stesse competenze tecniche e conoscenza dei sistemi informavi del Soggetto NIS per cui operano.

Quali sono i compiti del Referente CSIRT?

Il Referente CSIRT è il punto di collegamento operativo con il CSIRT Italia per tutte le notifiche relative agli incidenti di sicurezza (artt. 25 e 26 del Decreto NIS2). In particolare, i Soggetti NIS dovranno:

  1. inviare una pre-notifica entro 24 ore dalla conoscenza dell’incidente significativo, indicando, se possibile, la natura dell’incidente (malevola o meno) e l’eventuale impatto transfrontaliero;
  2. trasmettere una notifica completa entro 72 ore (o 24 ore per i prestatori di servizi fiduciari). Attraverso questa notifica, se possibile, occorrerà aggiornare le informazioni trasmesse con la pre-notifica e indicare una valutazione iniziale dell’incidente, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
  3. inviare una relazione finale entro un mese dalla trasmissione della notifica di incidente.

In fase di prima applicazione del Decreto NIS2, i Soggetti NIS “importanti” dovranno notificare al CSIRT Italia le tipologie di incidenti significativi riportate nell’allegato 3 della Determinazione dell’ACN n. 164179/2025, mentre i Soggetti NIS “essenziali” seguiranno l’elenco dell’allegato 4.

Inoltre, su base volontaria, i Soggetti NIS potranno notificare al CSIRT Italia anche le minacce informatiche[2] e i quasi-incidenti (c.d. near-miss), ossia quegli eventi che avrebbero potuto sfociare in un incidente ma che, tuttavia, non si è verificato, inclusi i casi in cui l’incidente sia stato efficacemente evitato.

Cosa devono fare i Soggetti NIS?

Dal 20 novembre al 31 dicembre 2025, sempre attraverso il portale dell’ACN, le imprese rientranti nel perimetro di applicazione del Decreto NIS2 dovranno procedere alla designazione del Referente CSIRT.

Nel caso in cui i Soggetti NIS decidano di affidare il ruolo a un soggetto esterno, dovranno regolare l’incarico con un apposito contratto di outsourcing, che definisca in modo chiaro responsabilità, obblighi di riservatezza, modalità di accesso ai sistemi informatici aziendali e tempi di risposta in caso di incidente. Sarà importante, inoltre, chiarire i ruoli privacy delle parti e la titolarità delle comunicazioni trasmesse al CSIRT Italia.

[1] Il ruolo di punto di contatto può essere ricoperto dal rappresentante legale del Soggetto NIS, da uno dei suoi procuratori generali censiti sul registro delle imprese, oppure da un suo dipendente (o un dipendente di un’altra impresa del gruppo che rientra nell’ambito di applicazione del Decreto NIS2) appositamente delegato dal rappresentante legale.

[2] Il Decreto NIS2 definisce “minacce informatiche” quelle circostanze, eventi o azioni che potrebbero danneggiare, perturbare o avere un impatto negativo sui sistemi informativi e di rete, sugli utenti di tali sistemi e altre persone.

2026 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.


Morri Rossetti S.t.p. S.r.l.

Sede legale: Piazza Eleonora Duse, 2 - 20122 Milano
Codice Fiscale/Partita IVA 04110250968
Registro delle Imprese di Milano n. 04110250968
Capitale Sociale 100.000,00 i.v.
cross