L’Agenzia per la Cybersicurezza Nazionale (ACN) ha imposto un’accelerazione decisiva per la sicurezza informatica italiana. Con la Determinazione n. 333017/2025, ha formalizzato la figura del Referente CSIRT, il punto di contatto obbligatorio con il CSIRT Italia nell’ambito della Direttiva NIS2.

La finestra temporale è ristretta: dal 20 novembre al 31 dicembre 2025. Questa scadenza non è un mero adempimento, ma un test concreto di resilienza per tutte le organizzazioni NIS2.

In un contesto di minacce in aumento, la capacità di reagire in modo rapido e coordinato è il fattore discriminante tra contenimento del danno e caos operativo.

L’OBBLIGO NIS2: DALLA NOMINA FORMALE ALLA REALTÀ OPERATIVA

Il Referente CSIRT è la figura responsabile della gestione e notifica degli incidenti significativi. La sfida principale non è nominare una persona, ma garantire che questo ruolo sia integrato in un processo di Incident Response (IR) funzionante.

Il Rischio della Conformità Fittizia

La Determina ACN definisce l’obbligo, ma molti aspetti operativi restano in ombra. Il rischio più evidente è la nomina puramente formale, priva di reali capacità operative.

Secondo Riccardo Margarito, Cyber Security Expert in Nais: «La paper compliance è una falsa conformità che nasconde gravi gap operativi. L’obbligo di notifica all’ACN scatta entro le 24 ore dal momento in cui l’incidente è noto. Senza un vero processo IR e di “contenimento dell’incidente” (eradication) a seguito di un’analisi preliminare svolta da un SOC L2-L3, la notifica sarà inevitabilmente tardiva.»

Questo problema è aggravato dall’approccio ancora largamente reattivo e non preventivo in Italia: oltre il 50% delle organizzazioni interviene sulla propria superficie d’attacco solo dopo aver subito un incidente, un’inerzia incompatibile con le tempistiche NIS2.

IL CONTO ALLA ROVESCIA TECNICO: PRONTEZZA NELLE PRIME ORE

La crescente domanda di un Referente CSIRT realmente competente non è un vezzo normativo, ma la risposta diretta a un panorama di minacce sempre più mirato. L‘ACN, ENISA e il CSIRT Italia delineano un ecosistema ad altissima pressione: oltre la metà degli incidenti registrati (53,7%) ha colpito le “entità essenziali” definite dalla NIS2, dimostrando che la criticità normativa funge ormai da vero e proprio faro per gli attaccanti. La PA rimane il bersaglio primario, seguita dal settore sanitario che registra un inquietante +40% di attacchi nel 2025 e il manifatturiero assediato da un aumento del 71% nell’attività criminale.

Sul fronte della prontezza operativa, la vera battaglia non si combatte sulla quantità di notifiche, ma sulla loro qualità. L’esperto Riccardo Margarito sposta il focus dall’evento in sé alla comprensione profonda dell’intrusione: «Il vero ostacolo non è la notifica, ma la qualità del dato che la alimenta. La risposta iniziale non può limitarsi a constatare il danno, ma deve fondarsi su una triade operativa irrinunciabile: Deep Visibility, Automation & Threat Intelligence.»

La figura del Referente CSIRT non deve limitarsi a gestire un allarme, ma deve interpretare l’intera Kill Chain, distinguendo un falso positivo dall’azione mirata di un noto gruppo Ransomware. Margarito definisce la gestione dell’attacco come una vera e propria “Golden Hour”: il momento cruciale in cui si gioca la partita tra la detection del SOC e l’effettivo dispiegamento delle procedure di Incident Response. Se in quell’ora l’azienda non ha la capacità di correlare i segnali o identificare i primi accessi, la notifica all’ACN rischia di essere tardiva o priva dei fondamentali IoC (Indicators of Compromise) e IoA (Indicators of Attack) richiesti. Il dato più allarmante è che in Italia e in Europa, il 74% delle violazioni viene rilevato da terze parti (come il law enforcement) e non dai team interni, un indicatore inequivocabile di una profonda carenza di Self-Detection.

IL LABIRINTO GIURIDICO: REFERENTE CSIRT VS. DPO

La sovrapposizione tra NIS2 e GDPR è una delle criticità maggiori in caso di attacco. In presenza di dati personali, si attivano due figure con mandati distinti: il Referente CSIRT, responsabile verso ACN, il DPO, responsabile verso il Garante Privacy.

Ivana Genestrone, Avvocato e DPO, consulente legale per Nais, evidenzia il doppio binario normativo: «Il Referente tutela la resilienza dei servizi essenziali e notifica gli incidenti significativi secondo NIS2. Il DPO valuta l’impatto sui dati personali e supporta il soggetto nella fase di valutazione dell’evento/incidente, della sua qualificazione come Data Breach e della eventuale necessità di procedere anche con la comunicazione agli interessati.

La categorizzazione dell’incidente: lo snodo critico

Nelle prime ore è essenziale classificare correttamente l’evento come: incidente NIS2, data breach GDPR, oppure entrambi (caso frequente nei ransomware).

Il problema è che senza competenze integrate, molte aziende non riescono a categorizzare correttamente l’incidente, ritardando una delle due notifiche.

Sulla gestione della crisi, Genestrone è netta: «L’analisi tecnica del Referente – IoC , impatto, categorizzazione – deve alimentare immediatamente la valutazione legale del DPO. Senza un flusso decisionale chiaro, il rischio è una doppia sanzione: per mancata conformità NIS2 e per gestione errata del data breach.»

LA FUGA DI COMPETENZE E IL TREND DELL’OUTSOURCING

Dal confronto quotidiano con le imprese, Nais – specializzata in servizi gestiti cyber e IT – registra una costante: la criticità non è solo normativa o tecnologica, ma soprattutto umana.
La carenza di competenze cyber è strutturale: le aziende faticano a trovare profili qualificati e i team interni assorbono nuove responsabilità senza adeguata formazione, anche in vista della NIS2. Ne deriva un divario crescente tra richieste normative e capacità operative.

In assenza di figure ibride capaci di unire competenze legali e tecniche, l’esternalizzazione emerge come risposta pragmatica per garantire la conformità.

«Il mercato italiano è molto eterogeneo: accanto alle realtà più strutturate c’è un ampio tessuto di PMI che si confronta con la NIS2 senza risorse dedicate», osserva Bianca Amico di Meane, Head of Marketing & Business Development di Nais. «La difficoltà è sempre la stessa: trovare una figura che unisca aspetti legali e tecnici. Per molte aziende questa combinazione non è costruibile internamente. L’esternalizzazione a un Referente CSIRT As-a-Service non significa acquistare una persona, ma un ecosistema: playbook, competenze integrate, SOC e Incident Response».

CONCLUSIONE: L’ORA DELLA VERITÀ OPERATIVA

La scadenza di fine dicembre 2025 non è negoziabile. La nomina del Referente CSIRT è la formalizzazione del punto nevralgico della risposta cyber nazionale. Le aziende soggette alla NIS2 devono comprendere che trattare questa figura come una semplice incombenza amministrativa espone l’organizzazione a un rischio inaccettabile, specialmente in un contesto di minacce incessanti (ACN, ENISA).

La vera conformità NIS2 richiede un Referente CSIRT con autorità esecutiva, supportato da un processo di Incident Response validato e da una sinergia impeccabile con la funzione legale (DPO). Quando si verifica l’incidente, la velocità con cui vengono raccolti gli IoC e notificati all’ACN è la differenza tra la resilienza e la sanzione.

La nomina del Referente CSIRT non è un semplice adempimento formale, ma una funzione critica per garantire la resilienza cyber nelle prime ore dell’incidente. Richiede competenze legali, tecniche e di coordinamento integrate – molto più della semplice “nomina”.

L'articolo La nomina del Referente CSIRT: un passo cruciale per la sicurezza informatica italiana proviene da Red Hot Cyber.