Nuova Determinazione ACN 333017/2025: istituito il Referente CSIRT

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la Determinazione n. 333017/2025, firmata dal Direttore Generale, Bruno Frattasi, che aggiorna e sostituisce la precedente n. 283727 del 22 luglio 2025.

Il provvedimento, adottato ai sensi dell’art. 7, comma 6, e dell’art. 40, comma 5, del D.lgs. 138/2024, definisce termini, modalità e procedimenti di utilizzo e accesso al Portale ACN e ai Servizi NIS, oltre a disciplinare le ulteriori informazioni che i soggetti NIS devono fornire all’Agenzia per l’attuazione della direttiva NIS2.

La Determinazione introduce un nuovo quadro regolatorio per la gestione dei rapporti telematici tra i soggetti NIS e l’Autorità nazionale competente.

Vengono dettagliati:

• i processi di registrazione e aggiornamento annuale o continuo delle informazioni sul Portale ACN;
• le modalità di designazione del Punto di Contatto e del Sostituto Punto di Contatto;
• il procedimento di censimento e associazione delle utenze per l’accesso ai Servizi NIS;
• e, soprattutto, la formale istituzione della figura del Referente CSIRT.

La Determinazione introduce ufficialmente, all’articolo 7, la figura del Referente CSIRT, definito come “una persona fisica designata dal Punto di Contatto, a partire dal 20 novembre ed entro il 31 dicembre 2025, tramite la procedura telematica resa disponibile sul Portale ACN”.

Il Referente CSIRT è incaricato di interfacciarsi con lo CSIRT Italia e di effettuare le notifiche di incidenti significativi o gravi previste dagli articoli 25 e 26 del D.lgs. 138/2024.

Potrà essere interno o esterno all’organizzazione, a seconda della struttura e delle esigenze operative del soggetto NIS, e potrà essere affiancato da uno o più sostituti per garantire la continuità operativa.

I principali compiti includono:

• Notificare tempestivamente gli incidenti significativi o gravi (artt. 25 e 26 del D.lgs. 138/2024);
• Ricevere e coordinare le comunicazioni operative con lo CSIRT Italia;
• Supportare l’organizzazione nella gestione tecnica e comunicativa degli incidenti;
• Garantire la continuità operativa, anche tramite eventuali sostituti designati.

Competenze minime richieste:

Secondo l’art. 7, comma 5, il Referente CSIRT e i suoi eventuali sostituti devono possedere:

• competenze di base in sicurezza informatica e Incident Management;
• padronanza dei sistemi informativi e di rete del soggetto NIS rappresentato;
• Capacità di coordinamento con il Punto di Contatto e lo CSIRT nazionale.

La Determinazione 333017/2025 non si limita a introdurre nuove figure operative: essa consolida un ecosistema digitale di compliance basato sul Portale ACN e sui Servizi NIS/Registrazione, Aggiornamento annuale e Aggiornamento continuo.

Ogni soggetto NIS è chiamato a mantenere aggiornate le informazioni anagrafiche, organizzative e tecniche, secondo scadenze precise:

• registrazione: dal 1° gennaio al 28 febbraio di ogni anno;
• aggiornamento annuale: dal 15 aprile al 31 maggio;
• aggiornamento continuo: entro 14 giorni da ogni modifica rilevante.

La responsabilità della correttezza e tempestività delle comunicazioni ricade sugli organi di amministrazione e direzione, come previsto dall’art. 23 del decreto NIS2, con sanzioni previste dall’art. 38 in caso di omissioni o dichiarazioni mendaci.

Con questa Determinazione, l’ACN consolida il sistema nazionale di gestione degli incidenti informatici, rendendo più chiaro e strutturato il flusso di comunicazione tra i soggetti NIS e lo CSIRT Italia.

L’introduzione del Referente CSIRT rappresenta un passo decisivo verso una struttura di risposta più tempestiva, coordinata e trasparente, allineata agli standard europei di NIS2.

Il testo integrale della Determinazione, con le disposizioni attuative e le istruzioni operative per i soggetti NIS, è disponibile sul portale dell’Agenzia per la Cybersicurezza Nazionale.