Referente CSIRT, chi è e cosa fa: i nuovi obblighi di cybersecurity

Il CSIRT (Computer Security Incident Response Team) italiano è un organismo istituito presso la Presidenza del Consiglio, successivamente integrato nel DIS (Dipartimento delle Informazioni per la Sicurezza), che ha il compito di salvaguardare la Nazione dagli incidenti di tipo cibernetico e gestire tali incidenti attraverso un percorso di Crisis Management ben definito. Il CSIRT svolge attività di monitoraggio e analisi delle minacce informatiche, comunicando eventuali preallarmi, allerte e bollettini. Tra le sue funzioni principali vi sono la prevenzione e risposta ai cyber attacchi, la gestione delle notifiche e la condivisione di informazioni su incidenti informatici. Il CSIRT italiano rappresenta l’implementazione della direttiva europea NIS (Network and Information Security) e integra le funzioni precedentemente svolte dai CERT (Computer Emergency Response Team) nazionali, ovvero il CERT nazionale italiano (presso il MISE) e quello della Pubblica Amministrazione (CERT-PA presso AGID).

Il CSIRT italiano svolge diverse funzioni chiave nel panorama della cybersicurezza nazionale. Tra queste: monitoraggio e analisi delle minacce informatiche; comunicazione di preallarmi, allerte e bollettini; prevenzione e risposta ai cyber attacchi; gestione delle notifiche di incidenti informatici; condivisione di informazioni (Information Sharing) sugli incidenti; valutazione degli incidenti di tipo informatico, di sicurezza generale delle informazioni e di natura fisica legati alla gestione degli asset; coordinamento della risposta agli incidenti cyber a livello nazionale; e cooperazione con enti omologhi a livello internazionale attraverso la sua adesione al circuito FIRST e Trusted Introducer. Il CSIRT dispone di un’infrastruttura appropriata, sicura e resiliente per lo scambio di informazioni rilevanti e opera come coordinatore in materia di divulgazione coordinata delle vulnerabilità ai sensi della Direttiva (UE) 2022/2555.

Il CSIRT italiano è un elemento centrale della governance della cybersicurezza in Italia. È stato integrato nel DIS (Dipartimento delle Informazioni per la Sicurezza), che funge anche da Punto di Contatto Unico Nazionale per tutte le attività fuori Nazione. Il CSIRT collabora strettamente con il Nucleo per la Sicurezza Cibernetica (NSC) a livello nazionale e con l’Agenzia per la Cybersicurezza Nazionale (ACN), che è designata come Autorità nazionale competente NIS. Questa struttura di governance prevede anche il coinvolgimento delle Autorità di settore NIS, designate per specifici ambiti (come il Ministero dell’economia e delle finanze per il settore bancario). Il CSIRT partecipa inoltre alla Rete di CSIRT nazionali a livello europeo, contribuendo allo scambio di informazioni e alla condivisione di tecnologie sviluppate in materia di cybersicurezza.

I CERT (Computer Emergency Response Team) e CSIRT (Computer Security Incident Response Team) sono entrambi organismi dedicati alla sicurezza informatica, ma con alcune differenze organizzative e funzionali. In Italia, storicamente esistevano due CERT: il CERT nazionale italiano (presso il MISE) focalizzato sul settore privato, e il CERT-PA (presso AGID) dedicato alla Pubblica Amministrazione. Con l’implementazione della direttiva europea NIS, le funzioni di questi due CERT sono state integrate nel CSIRT italiano, che rappresenta un’evoluzione e un’unificazione delle loro competenze. Il CSIRT ha assunto un ruolo più ampio e strutturato nella gestione degli incidenti informatici, con un mandato più chiaro e definito a livello normativo europeo. Mentre i CERT erano principalmente focalizzati sulla risposta alle emergenze informatiche, il CSIRT ha un approccio più completo che include anche attività di prevenzione, monitoraggio continuo e coordinamento a livello nazionale e internazionale.

Il Referente CSIRT è una figura introdotta dall’Agenzia per la Cybersicurezza Nazionale (ACN) con una recente determinazione. Si tratta di un soggetto, nominato dal punto di contatto, con il compito di interloquire con il CSIRT (Computer Security Incident Response Team) Italia. Il Referente CSIRT deve avere almeno competenze di base in materia di sicurezza informatica e di gestione degli incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto per cui opera. Tra le sue funzioni principali vi è la notifica degli incidenti significativi riconducibili alle fattispecie indicate nella tassonomia pubblicata dall’ACN. Data l’importanza di garantire l’efficacia e la tempestività dell’azione del Referente CSIRT, è prevista la possibilità di nominare dei sostituti che lo supportino nell’esercizio delle sue funzioni. L’individuazione e la nomina di tale soggetto devono essere effettuate tra il 20 novembre e il 31 dicembre 2025.

Per diventare Referente CSIRT, l’ACN (Agenzia per la Cybersicurezza Nazionale) ha delineato specifici profili di competenza che il candidato deve possedere. Questi includono: conoscenze tecniche approfondite in ambito cybersecurity; capacità di gestione degli incidenti secondo framework riconosciuti; comprensione del quadro normativo di riferimento; e soft skills quali la comunicazione efficace e la capacità di lavorare sotto pressione. Il Referente deve inoltre avere almeno competenze di base in materia di sicurezza informatica e di gestione degli incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale opera. In molte organizzazioni, questa figura coincide o collabora strettamente con il CISO (Chief Information Security Officer), ma la sua specificità risiede nella focalizzazione sul rapporto con l’ecosistema nazionale della sicurezza cibernetica.

Il sistema di allarme rapido del CSIRT italiano è strutturato in modo gerarchico e si integra con i prodotti software di sicurezza e information events management (SIEM) e i domini di Security Operations Center (SOC). Il sistema raccoglie informazioni dai sensori sulle reti degli utenti finali, anonimizza i dati e trasmette le informazioni a un “nodo di elaborazione” dove, utilizzando algoritmi come moduli probabilistici, grafici di minacce semantiche e analisi di sicurezza predittiva, determina la probabilità di complessi attacchi in corso. Questo approccio consente di analizzare contestualmente e contemporaneamente un ampio insieme di informazioni fornite da PMI, grandi imprese e altre organizzazioni pubbliche e del mondo finanziario. Attraverso questo clustering di informazioni rilevate vengono studiati modelli generali di minaccia che, se trattati come singoli casi, non sarebbero mai registrati come tali. Il sistema permette quindi di attivare contromisure dinamiche che bloccano la minaccia cyber sul nascere.

Secondo la normativa NIS2, recepita in Italia con il D.Lgs 138/2024, quando gli incidenti hanno un impatto significativo sulla fornitura dei servizi, esiste un obbligo di notifica da assolvere con apposita comunicazione inoltrata al CSIRT Italia. Questa notifica deve avvenire senza ingiustificato ritardo, e comunque entro 24 ore dal momento dell’avvenuta conoscenza dell’incidente. È inoltre richiesto un aggiornamento obbligatorio volto a indicare le informazioni di dettaglio successivamente acquisite, fornendo una valutazione iniziale dell’incidente significativo, nonché, ove disponibili, gli indicatori di compromissione, entro e non oltre le successive 72 ore. Gli incidenti soggetti a notifica variano a seconda che l’organizzazione sia classificata come soggetto importante o soggetto essenziale, con criteri specifici definiti negli allegati della Determinazione ACN n. 164179 del 14 aprile 2025.

Secondo il rapporto del CSIRT-Italia, i principali bersagli delle minacce informatiche in Italia sono la Pubblica Amministrazione, in particolare gli enti locali, il settore universitario e della ricerca. La PA locale è stata teatro di numerosi attacchi di defacement ai danni dei siti web di piccoli comuni, rivendicati dal collettivo hacker Nofawkx-al, che ha sfruttato vulnerabilità nei sistemi poco aggiornati per veicolare messaggi propagandistici. Oltre ai defacement, il settore universitario e della ricerca ha registrato attacchi significativi. Il monitoraggio delle minacce ha anche rilevato un aumento del ransomware e degli attacchi DDoS (Distributed Denial of Service), con rivendicazioni pubbliche principalmente attribuite ai gruppi DragonForce e HuntersInternational. A novembre è ripresa l’ondata di attacchi DDoS contro infrastrutture italiane, orchestrati da gruppi hacktivisti filorussi, che si sono concentrati sul settore dei trasporti.

Il CSIRT Italia rappresenta l’articolazione tecnico-operativa dell’Agenzia per la Cybersicurezza Nazionale (ACN). Mentre l’ACN è qualificata come Autorità nazionale competente NIS, con il compito di sovraintendere all’implementazione e all’attuazione della relativa disciplina, il CSIRT Italia è l’organo preposto all’espletamento delle funzioni di gestione degli incidenti di sicurezza informatica. Il CSIRT dispone di un’infrastruttura appropriata, sicura e resiliente per lo scambio di informazioni rilevanti e ha il compito di monitorare e analizzare le minacce informatiche, comunicando eventuali preallarmi, allerte e bollettini. Inoltre, il CSIRT Italia è designato coordinatore in materia di divulgazione coordinata delle vulnerabilità ai sensi della Direttiva (UE) 2022/2555. L’ACN, come Punto di contatto unico NIS, assicura la cooperazione transfrontaliera con le competenti autorità nazionali degli altri Stati membri, con la Commissione europea e con l’ENISA, mentre il CSIRT partecipa alla Rete di CSIRT nazionali, contribuendo allo scambio di informazioni.

Il CSIRT-Italia monitora diverse tipologie di minacce informatiche nel panorama italiano. Tra le principali vi sono: attacchi di defacement ai danni dei siti web, specialmente di piccoli comuni; attacchi DDoS (Distributed Denial of Service), particolarmente quelli orchestrati da gruppi hacktivisti filorussi contro infrastrutture italiane; ransomware, con un aumento delle rivendicazioni da parte di gruppi come DragonForce e HuntersInternational; trojan e spyware, che rappresentano i principali vettori di compromissione; e infostealer, software malevoli progettati specificamente per raccogliere in modo illegittimo informazioni sensibili dai sistemi compromessi. Il CSIRT monitora anche le nuove CVE (Common Vulnerabilities and Exposures) pubblicate, che rappresentano un indicatore chiaro della costante espansione della superficie d’attacco. L’attività del CSIRT si avvale di informazioni provenienti da fonti aperte, commerciali e accordi con enti omologhi a livello internazionale.

La valutazione della maturità di un CSIRT/CERT viene effettuata attraverso specifici modelli di maturità. In Italia, la Fondazione GCSEC di Poste Italiane è stata la prima a implementare un maturity model per CERT/CSIRT e ha sviluppato un’applicazione Web Based ad uso gratuito chiamata CERTrating Maturity Evaluation Tool. Questo strumento valuta il livello di maturità del CERT ispirandosi al Maturity Model sviluppato dall’ENISA (European Union Agency for Cybersecurity), che offre la postura di un CERT rispetto a quattro livelli di maturità: NOT BASIC, BASIC, MEDIUM, ADVANCED. La piattaforma valuta non solo il livello di maturità complessivo del CERT/CSIRT, ma anche quello di ognuno dei suoi servizi, attribuendo ad ognuno il livello di importanza. I servizi sono categorizzati secondo le 14 tipologie definite da ENISA. La piattaforma suggerisce inoltre, per ognuno degli ambiti Organizzazione, Risorse, Tool e Processi, le azioni minime da mettere in campo per raggiungere il livello di maturità successivo.

Il CSIRT italiano si trova ad affrontare diverse sfide significative per il futuro. Tra queste: l’aumento degli incidenti informatici, con un incremento del 14% rispetto ai mesi precedenti; il ritorno degli attacchi DDoS orchestrati da gruppi hacktivisti filorussi; la persistenza delle minacce ransomware; e la vulnerabilità degli ambienti cloud. Un’altra sfida cruciale è rappresentata dalla carenza di personale competente in materia di sicurezza cibernetica dal punto di vista tecnico, che ostacola soprattutto le piccole e medie imprese nel prendere provvedimenti adeguati. Il CSIRT dovrà inoltre gestire l’applicazione del perimetro di sicurezza nazionale cibernetica per innalzare il livello medio di sicurezza del Paese, prestare attenzione all’emersione del fenomeno “insicurezza cibernetica” con l’obbligatorietà delle notifiche sugli incidenti rilevanti, e adattarsi al futuro panorama normativo europeo con la NIS2 e altre norme correlate.

Il CSIRT italiano partecipa attivamente alla Rete di CSIRT nazionali a livello europeo, contribuendo allo scambio di informazioni e alla condivisione di nuove tecnologie sviluppate in materia di cybersicurezza. La cooperazione internazionale è facilitata dall’Agenzia per la Cybersicurezza Nazionale (ACN), che, come Punto di contatto unico NIS, assicura la cooperazione transfrontaliera con le competenti autorità nazionali degli altri Stati membri, con la Commissione europea e con l’ENISA (European Union Agency for Cybersecurity). L’ACN partecipa anche al Gruppo di cooperazione NIS, al fine di facilitare lo scambio di informazioni e favorire la diffusione di buone pratiche consolidate in materia. L’attività del CSIRT-Italia si avvale di informazioni provenienti da fonti aperte, commerciali e accordi con enti omologhi a livello internazionale, grazie alla sua adesione al circuito FIRST e Trusted Introducer. Questa cooperazione è fondamentale per affrontare minacce informatiche che spesso hanno natura transnazionale.

La direttiva NIS2, recepita in Italia con il D.Lgs 138/2024, ha importanti implicazioni per il CSIRT italiano. La direttiva estende gli obblighi di protezione delle infrastrutture di rete e di comunicazione a un più vasto insieme di settori commerciali, ampliando così il campo d’azione del CSIRT. Il decreto qualifica il CSIRT Italia come l’organo preposto all’espletamento delle funzioni di gestione degli incidenti di sicurezza informatica, con il compito di monitorare e analizzare le minacce informatiche, comunicare eventuali preallarmi, allerte e bollettini. Inoltre, il CSIRT Italia è designato coordinatore in materia di divulgazione coordinata delle vulnerabilità. La NIS2 introduce anche un nuovo paradigma di gestione degli incidenti informatici, imponendo alle aziende qualificate come soggetti essenziali e importanti l’adozione di presidi tecnico-organizzativi stringenti e obblighi di notifica più rigorosi, che il CSIRT dovrà gestire.

Il processo di notifica di un incidente al CSIRT Italia è regolamentato dal D.Lgs 138/2024 (recepimento della direttiva NIS2) e dalla Determinazione ACN n. 164179 del 14 aprile 2025. Quando un incidente ha un impatto significativo sulla fornitura dei servizi, l’organizzazione deve inviare una comunicazione al CSIRT Italia senza ingiustificato ritardo, e comunque entro 24 ore dal momento dell’avvenuta conoscenza dell’incidente. Questa notifica iniziale deve essere seguita da un aggiornamento obbligatorio volto a indicare le informazioni di dettaglio successivamente acquisite, fornendo una valutazione iniziale dell’incidente significativo, nonché, ove disponibili, gli indicatori di compromissione, entro e non oltre le successive 72 ore. La notifica deve essere effettuata dal Referente CSIRT dell’organizzazione, una figura appositamente nominata per interloquire con il CSIRT Italia. Gli incidenti da notificare variano a seconda che l’organizzazione sia classificata come soggetto importante o soggetto essenziale, con criteri specifici definiti negli allegati della Determinazione ACN.