Ottobre 6, 2025
Negli anni ’90 la sicurezza informatica era poco più di un capitolo tecnico nei manuali IT.Le imprese stavano digitalizzando processi e infrastrutture, le reti aziendali iniziavano […]
Le organizzazioni classificate come essenziali o importanti ai sensi della Direttiva NIS2 dovranno designare il proprio Referente CSIRT tra il 20 novembre e il 31 dicembre 2025.
La nomina, da effettuarsi tramite il portale ACN, deve prevedere un referente titolare e almeno un sostituto, assicurando reperibilità h24 e continuità operativa.
Non è necessario che la figura sia interna: la normativa consente di affidare la funzione anche a fornitori esterni o Managed Security Service Provider (MSSP) qualificati, purché siano rispettati criteri di competenza, disponibilità e accountability.
Questa flessibilità organizzativa consente alle imprese di adeguarsi al nuovo obbligo in modo agile, ma impone accordi contrattuali rigorosi sui tempi di risposta, gli obblighi di notifica e la tracciabilità delle attività.
Con l’attuazione della Direttiva (UE) 2022/2555, nota come NIS2, l’Europa compie un salto di maturità nella gestione del rischio cyber.
La sicurezza informatica non è più un’attività di difesa preventiva, ma una funzione strategica di resilienza organizzativa.
All’interno di questo nuovo modello, emerge una figura chiave: il Referente CSIRT, elemento operativo del sistema di risposta e coordinamento nazionale.
In Italia, il ruolo è stato formalizzato con la Determinazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) n. 333017/2025, che ne stabilisce funzioni, requisiti e modalità di designazione.
L’obiettivo è creare un ecosistema coordinato tra enti pubblici, operatori essenziali e CSIRT nazionali, capace di garantire una gestione tempestiva e coerente degli incidenti informatici.
Il Referente CSIRT è il punto di contatto operativo tra l’organizzazione e il CSIRT Italia. È la figura che, in caso di incidente, assicura che ogni evento di sicurezza sia gestito e comunicato in conformità con i protocolli nazionali. Non è un ruolo formale o meramente burocratico, ma rappresenta il cuore decisionale della risposta, capace di coniugare la componente tecnica con quella regolatoria nelle ore critiche di un attacco.Il Referente CSIRT è la controparte tecnica del Punto di contatto NIS2, altra figura chiave che mantiene, invece, la responsabilità istituzionale delle comunicazioni con ACN.
Importante sottolineare che i ruoli di Referente CSIRT e di Punto di contatto NIS2 non possono essere ricoperti dalla stessa figura.
La distinzione dei due ruoli, introdotta per la prima volta in modo esplicito dal quadro normativo italiano, chiarisce la catena di comando nei momenti di crisi, riducendo ambiguità e i ritardi decisionali.
Competenze richieste: tecnica, governance e prontezza operativa
Il Referente CSIRT deve combinare competenze tecniche avanzate con una profonda consapevolezza organizzativa.
È richiesta esperienza in incident response, digital forensics, threat intelligence e gestione SOC, insieme alla conoscenza degli standard internazionali come:
Gestione degli incidenti secondo NIS2: una timeline precisa
La NIS2 stabilisce una procedura a tre fasi per la notifica degli incidenti significativi:
Il Referente CSIRT è il regista di questo processo: riceve e classifica l’evento, coordina le squadre tecniche, comunica con il CISO, il DPO e il management, e supervisiona le azioni di contenimento.
Opera in sinergia con il SOC, interno o esterno, e con piattaforme di telemetria e correlazione (SIEM, SOAR, MISP), assicurando la coerenza informativa lungo tutta la catena decisionale.
All’interno dell’organigramma aziendale, il Referente CSIRT risponde al CISO, ma mantiene un canale diretto con il punto di contatto NIS2 e il CSIRT Italia.
Nelle PMI, la funzione può coincidere con quella del CISO; nelle realtà più complesse, la separazione dei ruoli è preferibile per garantire segregazione delle responsabilità e maggiore efficienza.
È fondamentale definire ruoli e flussi di comunicazione attraverso matrici RACI, procedure di escalation e protocolli interni che rendano la risposta agli incidenti un processo strutturato e non emergenziale.
Oltre alla gestione operativa, il Referente CSIRT contribuisce in modo determinante alla misurazione della resilienza cyber dell’organizzazione.
I suoi dati alimentano KPI e KRI fondamentali come:
Questi indicatori non sono solo strumenti di controllo, ma diventano metriche di maturità per audit interni, processi di miglioramento continuo e reportistica NIS2.
La figura del Referente CSIRT rappresenta uno dei cambiamenti più tangibili introdotti dalla NIS2.
È il simbolo di una sicurezza che non è più solo difesa, ma governo operativo del rischio.
L’obbligo di nomina, la tracciabilità delle azioni e la codifica dei tempi di risposta trasformano la gestione degli incidenti da attività reattiva a funzione permanente di resilienza organizzativa.
In definitiva, il Referente CSIRT è il custode della resilienza digitale: un professionista che garantisce che ogni minaccia venga gestita con metodo, che ogni notifica arrivi in tempo e che ogni crisi diventi occasione di apprendimento.
In un contesto dove la velocità degli attacchi cresce più rapidamente della capacità normativa di seguirli, è questa figura, operativa, competente e coordinata, a fare la differenza tra un rischio gestito e un rischio subito.
ai.esra SpA – strada del Lionetto 6 Torino, Italia, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Questo sito si impegna a garantire l’accessibilità digitale secondo la normativa europea (EAA). Per segnalare problemi di accessibilità, scrivi a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Tutti i diritti riservati
