L'Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la Determinazione n. 333017/2025, che aggiorna e sostituisce la precedente n. 283727 del 22 luglio 2025.
Il documento descrive dettagliatamente gli adempimenti operativi che i soggetti NIS devono compiere, principalmente attraverso l'utilizzo del Portale ACN e dei Servizi NIS dedicati, in particolare per quanto riguarda l’aggiornamento e la verifica della correttezza delle informazioni.
La novità principale è però l’introduzione del ruolo di "Referente CSIRT", definito all’articolo 7 della Determinazione.
Si tratta della persona fisica che deve essere designata dal Punto di Contatto tramite procedura telematica sul Portale ACN tra il 20 novembre e il 31 dicembre 2025.
Ha il compito di interloquire con lo CSIRT Italia (Gruppo nazionale di risposta agli incidenti di sicurezza informatica) ed effettuare le notifiche di incidenti come previsto dagli articoli 25 e 26 del Decreto NIS per conto del soggetto NIS.
Inoltre, per assicurare lo svolgimento tempestivo dei compiti del Referente CSIRT – in particolare per quanto riguarda la pre-notifica degli incidenti significativi che deve essere effettuata entro 24 ore (Articolo 25 del decreto NIS) e i relativi seguiti – è prevista la facoltà di designare uno o più sostituti del Referente.
Non si tratta, quindi, di un obbligo ma i sostituti, se designati, hanno il compito di supportare il Referente CSIRT nell'esercizio delle sue funzioni e possono anche svolgere le funzioni del Referente CSIRT per suo conto.
Le modalità di designazione dei sostituti del referente CSIRT sono le medesime utilizzate per la designazione del referente principale ossia tramite procedura telematica sul portale ACN.
Sia il Referente CSIRT che i suoi eventuali sostituti (ove designati) devono possedere specifiche competenze:
- devono possedere almeno competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici;
- devono avere una conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale operano.
Il Referente CSIRT e i suoi sostituti sono inclusi nella categoria generale degli "utenti", vale a dire le persone fisiche che accedono al Portale ACN e ai servizi di competenza. Come tutti gli utenti, il Referente CSIRT deve autenticarsi sul Portale ACN tramite carta di identità elettronica (CIE) o SPID personale e completare la propria anagrafica.