Designazione del referente CSIRT entro il 31 dicembre 2025: cosa prevede la Determina ACN 333017/2025

18 Dic 25
Designazione referente CSIRT

La Direttiva (UE) 2022/2555, nota come NIS2, ha introdotto un quadro normativo europeo rafforzato in materia di sicurezza delle reti e dei sistemi informativi, con l’obiettivo di innalzare in modo omogeneo il livello di cyber sicurezza nei settori essenziali o rilevanti per il funzionamento della società e dell’economia.

In Italia la NIS2 è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138, che attribuisce all’Agenzia per la cyber sicurezza Nazionale, di seguito ACN, il ruolo di autorità competente per l’attuazione della normativa, la definizione delle misure applicative, la supervisione dei soggetti obbligati e il coordinamento con lo CSIRT Italia.

La normativa si applica a un ampio insieme di soggetti pubblici e privati che operano in settori considerati critici o ad alta rilevanza sistemica, classificati come soggetti essenziali e soggetti importanti, che costituiscono le principali categorie di destinatari degli obblighi NIS2. Rientrano in tale perimetro, a titolo esemplificativo, amministrazioni pubbliche e organismi pubblici, operatori nei settori dell’energia, dei trasporti, della sanità, delle infrastrutture digitali e delle telecomunicazioni, nonché fornitori di servizi digitali e ICT, inclusi servizi cloud, data center e servizi gestiti, quando svolgono funzioni rilevanti per la continuità di servizi fondamentali. L’individuazione formale dei soggetti obbligati avviene secondo le modalità previste dal d.lgs. 138/2024 e dagli atti adottati dall’Agenzia per la cyber sicurezza Nazionale, ferma restando l’applicazione di normative settoriali specifiche, quali il Regolamento (UE) 2022/2554 (DORA) per i soggetti operanti nel settore finanziario.

Il legislatore ha previsto che l’attuazione della NIS2 avvenga anche attraverso determinazioni adottate da ACN, finalizzate a rendere operativi gli obblighi previsti dal decreto. In questo contesto si collocala Determinazione ACN n. 333017/2025 del 15 settembre 2025, efficace dal 1° ottobre 2025, che disciplina termini e modalità di utilizzo della piattaforma ACN NIS e aggiorna il ciclo informativo a carico dei soggetti essenziali e importanti. La determinazione sostituisce integralmente la precedente Determinazione ACN n. 283727 del 22 luglio 2025.

Tra le novità di maggiore rilievo, la Determinazione n. 333017/2025 introduce un nuovo adempimento organizzativo, la designazione del Referente CSIRT, figura incaricata dell’interlocuzione operativa con lo CSIRT Italia per la gestione e la notifica degli incidenti significativi, da effettuarsi entro il 31 dicembre 2025. La presente comunicazione ha l’obiettivo di fornire un primo inquadramento informativo delle principali novità, rimandando le valutazioni applicative alle specifiche caratteristiche organizzative dei singoli soggetti interessati.

Chi è il Referente CSIRT 

Il Referente CSIRT è una persona fisica, interna o esterna all’organizzazione, designata dal punto di contatto NIS tramite la piattaforma ACN. Il referente ha il compito di interfacciarsi con lo CSIRT Italia per conto del soggetto NIS e di curare, per quanto di competenza, le notifiche degli incidenti significativi ai sensi del d.lgs. 138/2024. È possibile designare uno o più sostituti del referente, nelle organizzazioni di dimensioni contenute il Referente CSIRT può coincidere con il punto di contatto.

Requisiti minimi  

La determinazione prevede che il Referente CSIRT e gli eventuali sostituti possiedano almeno competenze di base in materia di sicurezza informatica e di gestione degli incidenti cyber, oltre a una conoscenza approfondita dei sistemi informativi e di rete dell’organizzazione per conto della quale operano. Questi requisiti sono funzionali a garantire un’interlocuzione efficace con lo CSIRT Italia, soprattutto nelle fasi di valutazione e gestione dell’impatto.

Designazione del Referente CSIRT  

La designazione deve avvenire obbligatoriamente tramite la piattaforma ACN, con una procedura analoga a quella utilizzata per la nomina del sostituto del punto di contatto. La finestra temporale indicata da ACN è dal 20 novembre 2025 al 31 dicembre 2025. Il mancato rispetto dei termini può esporre l’organizzazione a rischi di non conformità rispetto agli obblighi NIS2.

Altri adempimenti sulla piattaforma ACN 

La Determinazione ACN 333017/2025 conferma e dettaglia anche le finestre annuali per la gestione del ciclo informativo NIS sulla piattaforma. In particolare: 

  • registrazione del soggetto NIS dal 1° gennaio al 28 febbraio di ogni anno;
  • aggiornamento annuale delle informazioni dal 15 aprile al 31 maggio di ogni anno;
  • aggiornamento continuo fino al 14 aprile di ogni anno, da effettuare entro 14 giorni dalla modifica delle informazioni trasmesse in fase di registrazione o aggiornamento. 

Questi adempimenti riguardano, tra l’altro, dati identificativi del soggetto, informazioni sugli organi direttivi, informazioni tecniche rilevanti ai fini NIS e figure chiave per l’interlocuzione con ACN, incluso il Referente CSIRT.

Responsabilità degli organi direttivi 

Come previsto dal d.lgs. 138/2024, la responsabilità del rispetto degli obblighi NIS2 e degli adempimenti sulla piattaforma ACN ricade sugli organi di amministrazione e sugli organi direttivi del soggetto NIS, che sovrintendono alle attività di registrazione, comunicazione e aggiornamento e rispondono di eventuali omissioni o ritardi. La corretta designazione del Referente CSIRT rientra quindi a pieno titolo tra le attività di governance della cyber sicurezza richieste ai soggetti essenziali e importanti.

Cosa devono fare ora i soggetti NIS 

Alla luce della Determinazione ACN, i soggetti NIS dovrebbero: 

  • verificare che il punto di contatto sia correttamente registrato sulla piattaforma ACN;
  • individuare il Referente CSIRT e gli eventuali sostituti, valutandone competenze e conoscenza dell’ambiente informatico dell’organizzazione;
  • procedere alla designazione tramite la piattaforma ACN entro il 31 dicembre 2025;
  • verificare la coerenza delle procedure interne di gestione degli incidenti significativi con il ruolo del Referente CSIRT;
  • pianificare il rispetto delle finestre annuali di registrazione, aggiornamento e aggiornamento continuo previste dalla determinazione.

Approfondimenti ufficiali ACN 

ACN ha pubblicato risorse ufficiali di approfondimento, tra cui le FAQ dedicate al Referente CSIRT e un comunicato sul tema.

Nota conclusiva 

Le modalità applicative della normativa NIS2 e delle determinazioni ACN richiedono valutazioni proporzionate alla dimensione, al settore e alla complessità organizzativa del singolo soggetto. Eventuali approfondimenti operativi devono pertanto essere valutati caso per caso, anche alla luce delle ulteriori indicazioni che ACN potrà fornire nel corso del 2026.

Categoria

Comunicazione e terziario avanzato
Inviato da pasquale il
07 Ott 25
Comunicazione e terziario avanzato
Fotografia, il Senato approvi l’allungamento a settanta anni dei diritti sulle immagini

In Commissione Affari Costituzionali del Senato è stato approvato un emendamento, nell’ambito dell’esame del Disegno di legge sulle Semplificazioni economiche, che apporta una importante modifica alla legge sul diritto d’autore. Una norma del 1941 che andrebbe completamente rivista in quanto non più attuale. 

La modifica riguarda il settore della fotografia ed estende il diritto all’uso esclusivo delle immagini da venti a settanta anni. Una richiesta che la CNA ha avanzato da tempo. 

diritti fotografia
LEGGI TUTTO
Inviato da pasquale il
30 Set 24
Comunicazione e terziario avanzato
Immagine e Modernità. Dal copyright all’editing, dalla certificazione alla commercializzazione delle opere

La CNA di Roma, in collaborazione con Nina e il contributo della Camera di Commercio di Roma, nell’ambito del progetto Immagine e Modernità ha organizzato, lo scorso 18 settembre, un webinar rivolto alle imprese del settore fotografia e video, dedicato al ruolo del fotografo nell'era della digitalizzazione, spunti e riflessioni.

Immagine e Modernità
LEGGI TUTTO
Inviato da CIFARELLI il
09 Set 21
Comunicazione e terziario avanzato
World Photographic Cup 2022. Scattiamo per l'Italia
Al via la World Photographic Cup, la Coppa del Mondo della Fotografia. Per selezionare gli autori delle immagini che rappresentano l’Italia nella World Photographic Cup (WPC) si tiene ogni anno il concorso SCATTIAMO PER L'ITALIA, patrocinato da Confartigianato Fotografi, CNA Comunicazione, Tau Visual, FIOF e ANFM ed è organizzato dal Comitato WPC Italia.
WPC 2022
LEGGI TUTTO
Inviato da CIFARELLI il
25 Mar 20
Comunicazione e terziario avanzato
La tecnologia e l'innovazione per la lotta al Coronavirus
Anche la CNA di Roma promuove l'iniziativa realizzata dal Ministero dello Sviluppo Economico, dal Ministero dell'Università e della Ricerca e dall'Agenzia per l'Italia Digitale per poter fornire un contributo nell'ambito dei dispositivi per la prevenzione, la diagnostica e il monitoraggio per il contenimento e il contrasto del diffondersi del Coronavirus sull'intero territorio nazionale, attraverso le proprie tecnologie. La sfida è rivolta ad aziende, università, enti e centri di ricerca pubblici e privati, associazioni, cooperative, consorzi, fondazioni e istituti.
CNA Roma
LEGGI TUTTO
Inviato da CIFARELLI il
27 Feb 20
Comunicazione e terziario avanzato
Tra Luoghi & Parole. Al via il bando per la promozione della lettura

LAZIOcrea S.p.A, società della Regione Lazio, ha indetto un avviso con l'obiettivo di promuovere e diffondere la lettura in tutte le sue forme. Il bando, che rigurda le librerie indipendenti, mette a disposizione un contributo dell’80% fino a massimo 2.500,00 euro per eventi di invito alla lettura da realizzare il 25/26 aprile 2020.

CNA Roma
LEGGI TUTTO