Con il D. Lgs. 4 settembre 2024, n. 138 (“Decreto NIS”), l’Italia ha recepito la direttiva (UE) 2022/2555 (“NIS 2”), individuando l’Agenzia per la Cybersicurezza Nazionale (“ACN”) quale autorità competente e il CSIRT Italia quale struttura nazionale incaricata di ricevere e gestire le notifiche di incidente. La determinazione ACN n. 333017/2025 ha quindi disciplinato la figura del “Referente CSIRT”, imponendo ai soggetti NIS l’obbligo di procedere alla sua designazione tramite il Portale dei Servizi ACN entro il 31 dicembre 2025.
Il Referente CSIRT è una persona fisica individuata dal soggetto NIS quale principale interlocutore operativo del CSIRT Italia. Tale figura è incaricata di interloquire con il CSIRT Italia ed effettuare, per conto del soggetto per cui opera, le notifiche obbligatorie degli incidenti significativi previste dall’art. 25 del Decreto NIS, oltre alle notifiche volontarie di cui all’art. 26.
La sua designazione è effettuata dal Punto di Contatto NIS tramite la funzionalità di aggiornamento dati del Portale ACN, inserendo il codice fiscale e l’indirizzo e-mail del Referente e degli eventuali sostituti, questi ultimi devono poi accedere al Portale (SPID/CIE) per completare il censimento della propria utenza.
La determinazione ACN e le FAQ del 21 novembre 2025 precisano ulteriori profili:
- sebbene il Referente CSIRT e i suoi sostituti siano i principali interlocutori del CSIRT Italia per la notifica degli incidenti, anche il Punto di Contatto e il Sostituto Punto di Contatto possono effettuare le notifiche dovute. Ai sostituti si applicano le medesime previsioni del Referente, sia quanto alle qualifiche richieste dalla disciplina NIS sia quanto a compiti ad esso assegnati, in un’ottica di continuità operativa nella gestione degli incidenti;
- il Referente CSIRT deve possedere almeno le competenze base in materia di sicurezza informatica e gestione di incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto NIS per conto del quale opera. Pur essendo auspicabile che il Referente sia interno all’organizzazione, è ammessa la designazione di personale esterno. Non sono, inoltre, previste limitazioni in termini di cittadinanza del Referente e, fermo restando che la lingua ufficiale delle comunicazioni è la lingua italiana, è possibile interloquire con il CSIRT Italia anche in lingua inglese;
- la designazione del Referente CSIRT integra una delega esclusivamente operativa e non determina alcun trasferimento di responsabilità: ai sensi dell’art. 23 del Decreto NIS, la responsabilità per le violazioni degli obblighi NIS 2 resta in capo ai vertici del soggetto NIS (organi di amministrazione e direttivi).