NIS2: arriva la figura del Referente CSIRT. Cosa cambia (e perché è importante muoversi subito)

Il recente quinto Tavolo NIS, convocato dall’Agenzia per la Cybersicurezza Nazionale (ACN), ha introdotto importanti novità per i soggetti essenziali e importanti, confermando che la Direttiva NIS2 sta entrando nella fase più operativa della sua applicazione.

La novità principale: il Referente CSIRT

Con la Determinazione ACN n. 250916 del 16 settembre 2025, disponibile integralmente a questo link, viene istituita la figura del Referente CSIRT.
Si tratta di una persona fisica designata dal Punto di Contatto per interfacciarsi direttamente con lo CSIRT Italia (Computer Security Incident Response Team), con l’obiettivo di garantire una comunicazione tempestiva e strutturata in caso di incidenti di sicurezza informatica.

Tempistiche e requisiti

La nomina del Referente CSIRT dovrà avvenire tra il 20 novembre e il 31 dicembre 2025, con la possibilità per ciascun soggetto NIS di indicare uno o più sostituti, in modo da garantire continuità operativa anche in caso di assenza o indisponibilità del referente principale.

Il referente – e i suoi eventuali sostituti – dovranno possedere competenze tecniche adeguate, non solo per comprendere la gravità e la natura degli incidenti, ma anche per gestire in modo corretto e documentato la notifica tempestiva al CSIRT Italia.

Un segnale chiaro: la NIS2 entra nella fase di attuazione reale

Come ha osservato il nostro team NIS2, questa determinazione è interessante per più motivi:

• Definisce una nuova figura chiave, la cui nomina richiede decisioni rapide: le aziende avranno poco più di un mese per individuare e designare il proprio referente.
• Mostra che la normativa si sta evolvendo in tempo reale: l’ACN sta rilasciando indicazioni operative graduali, ma sempre più stringenti.

Aggiornato anche l’elenco dei soggetti NIS

Durante il Tavolo è stato inoltre annunciato il secondo aggiornamento dell’elenco dei soggetti NIS, che include:

• Le revisioni già effettuate dall’ACN;
• Le registrazioni tardive pervenute entro giugno 2025;
• Le ulteriori iscrizioni ancora in valutazione, che saranno integrate nel prossimo aggiornamento previsto entro la fine dell’anno.

Con questa nuova determinazione, viene aggiornata e sostituita la precedente n. 283727 del 22 luglio 2025, con applicazione dal 30 settembre 2025.

Cosa devono fare le aziende

1. Si rientra tra i soggetti NIS2? (essenziali o importanti) Arriva una PEC da ACN.
2. Identificare un referente CSIRT interno o esterno, con adeguate competenze tecniche e disponibilità operativa.
3. Predisporre le procedure interne per la gestione e la notifica degli incidenti informatici.
4. Aggiornare la governance documentale per garantire tracciabilità e conformità alle nuove disposizioni ACN.

La Direttiva NIS2 è giàun sistema operativo concreto.
Ogni nuova determinazione dell’ACN aggiunge chiarezza e rappresenta un prezioso supporto per chi ha già avviato il percorso di adeguamento: c’è ancora tempo per conformarsi, ma iniziare subito è la scelta più saggia.