Referente CSIRT NIS2: obblighi, ruoli e tempi di notifica

da | Dic 19, 2025 | NIS2 | 0 commenti

Il Referente CSIRT NIS2 è una figura centrale nella gestione degli incidenti di sicurezza e nel rispetto degli obblighi di notifica previsti dalla direttiva NIS2. La sua nomina non è una formalità, ma un elemento essenziale di governance, responsabilità e tempestività operativa.

Caro Cliente,
ti spiego perché il Referente CSIRT non è una formalità (e perché la notifica NIS è un processo a tempo).

Con l’entrata a regime della Direttiva NIS2, molti soggetti stanno scoprendo che il vero cambiamento non è semplicemente “più sicurezza”, ma più responsabilità operative.

Tra queste, ce n’è una spesso sottovalutata: la nomina del Referente CSIRT e la gestione corretta dell’obbligo di notifica degli incidenti.

Spoiler: non è burocrazia. È governance.

Chi è davvero il Referente CSIRT

Il Referente CSIRT è la persona fisica che dialoga con lo CSIRT Italia quando qualcosa va storto.

Non è una casella e-mail, un ruolo simbolico, un nominativo “di facciata”.

È il punto operativo che:

  • riceve e valuta le evidenze dell’incidente;
  • comprende se l’evento rientra nelle fattispecie NIS;
  • attiva la pre-notifica entro 24 ore;
  • completa la notifica entro 72 ore.

Il Punto di Contatto NIS governa.
Il Referente CSIRT agisce.

Cosa fa quando l’incidente accade

Quando emerge un evento anomalo – segnalazione interna, alert di sicurezza o comunicazione esterna – il tempo inizia a scorrere.

Il Referente CSIRT:

  1. coordina una valutazione tecnica, anche sommaria;
  2. verifica se ricorrono le fattispecie di incidente significativo definite da ACN;
  3. decide se e quando notificare, senza attendere analisi forensi complete;
  4. diventa l’interfaccia unica con lo CSIRT Italia.

Qui cade il primo equivoco diffuso:

La notifica non richiede certezze, richiede tempestività.

Entro quando va nominato il Referente CSIRT

La designazione del Referente CSIRT deve essere completata entro il 31 dicembre 2025, tramite il Portale dei Servizi ACN.

È possibile nominare anche dei sostituti, ma l’assenza di una figura formalizzata rende fragile l’intero processo di risposta agli incidenti.

In altre parole: se l’incidente arriva prima dell’organizzazione, il problema non è l’attacco. È la struttura.

Quali incidenti vanno notificati davvero

Le FAQ ACN chiariscono un punto essenziale: vanno notificati gli incidenti significativi, non “tutti gli incidenti”.

Per evitare interpretazioni soggettive, ACN ha definito fattispecie oggettive:

  • tre valide per tutti i soggetti NIS;
  • una ulteriore per i soggetti essenziali.

Se l’evento rientra in queste fattispecie, la notifica è obbligatoria.

Il resto – incidenti minori, quasi-incidenti, minacce – può essere notificato su base volontaria.

La causa non conta (e questo cambia tutto)

Un aspetto spesso ignorato è che la causa dell’incidente è irrilevante.

Vanno notificati anche:

  • eventi naturali (alluvioni, incendi);
  • guasti tecnici;
  • errori umani.

La NIS2 adotta un approccio multi-rischio: ciò che conta non è “chi ha sbagliato”, ma l’impatto sui servizi e sulle attività.

Le tempistiche: il cuore della NIS2

Qui la norma è chiara e poco negoziabile:

  • pre-notifica entro 24 ore da quando si è consapevoli dell’incidente significativo;
  • notifica completa entro 72 ore.

La consapevolezza può nascere anche da:

  • segnalazioni del CSIRT Italia;
  • segnalazioni interne (help desk, utenti);
  • sistemi di monitoraggio.

Aspettare “di capire meglio” è spesso il modo più rapido per essere fuori tempo massimo.

Clienti, fornitori e cloud: chi deve notificare

Le FAQ ACN chiariscono anche un tema delicato:

  • se l’incidente avviene sui sistemi del cliente, notifica il cliente;
  • se avviene sul fornitore, notifica il fornitore;
  • se l’impatto riguarda entrambi, notificano entrambi.

Nel cloud:

  • doppia notifica;
  • tranne nei casi di IaaS o hosting dell’infrastruttura del cliente, dove l’obbligo resta solo in capo al cliente.

La responsabilità non si delega con il contratto.

Il punto vero

La NIS2 non chiede di essere perfetti. Chiede di essere organizzati, tempestivi e tracciabili.

Senza un Referente CSIRT nominato, formato e integrato nei processi:

  • la notifica diventa caotica;
  • le 24 ore diventano un rischio;
  • l’incidente tecnico si trasforma in problema di governance.

E questo, per ACN, fa tutta la differenza.

Invia commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *