L’Agenzia per la Cybersicurezza Nazionale (ACN) è recentemente intervenuta con una nuova Determinazione che contribuisce ad articolare ulteriormente la struttura della governance in materia di cybersecurity e fornisce alcuni chiarimenti su aspetti di conformità alla normativa, in particolare riguardo al ruolo dello CSIRT.
Indice degli argomenti
Il referente CSIRT, cosa fa
Nello specifico, è stata introdotta la figura del Referente CSIRT, ossia un soggetto, nominato dal punto di contatto, con il compito di interloquire con il CSIRT (Computer Security Incident Response Team) Italia. Quest’ultimo organismo è istituito presso l’Agenzia per la Cybersicurezza Nazionale ed è incaricato, tra le altre cose, del monitoraggio degli incidenti a livello nazionale e dell’intervento in caso di incidente.
Il Referente CSIRT deve avere almeno competenze di base in materia di sicurezza informatica e di gestione degli incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale opera. Dunque, tale figura parrebbe ricalcare quella del Referente tecnico prevista dalla normativa sul perimetro di sicurezza nazionale cibernetica.
Inoltre, tra le funzioni attribuite al Referente CSIRT, vi è la notifica degli incidenti significativi riconducibili alle fattispecie indicate nella tassonomia pubblicata dall’Agenzia per la Cybersicurezza Nazionale. Si tratta di adempimenti connotati da scadenze temporali molto ristrette, al punto che, al fine di garantire l’efficacia e la tempestività dell’azione del Referente CSIRT, viene prevista la possibilità di nominare dei sostituti che lo supportino nell’esercizio delle sue funzioni.
L’individuazione e la nomina di tale soggetto devono essere effettuate tra il 20 novembre e il 31 dicembre 2025, in modo che le aziende siano pronte ad adempiere gli obblighi di notifica che decorreranno da gennaio 2026.
CSIRT e regolamento DORA
La nuova determinazione dell’ACN introduce anche un chiarimento rilevante, in quanto esclude l’applicabilità dell’obbligo di comunicazione dei nominativi dei responsabili delle violazioni agli enti che sono soggetti al Regolamento 2022/2554 relativo alla resilienza operativa digitale (“DORA”), che si applica alle entità finanziarie per come definite dall’articolo 2 dello stesso DORA.
La precisazione si inserisce in un quadro interpretativo generale, confermato dall’Agenzia, che vede il DORA quale lex specialis settoriale per la maggior parte delle previsioni della Direttiva NIS, per cui alle società soggette al DORA che fossero anche riconducibili anche all’ambito di applicazione della Direttiva NIS 2 sono applicabili solamente le disposizioni relative all’obbligo di registrazione.
Non risultavano già applicabili invece, per tali soggetti, le previsioni relative agli accordi di condivisione delle informazioni, all’implementazione delle misure di sicurezza, alla notifica degli incidenti e al potere di monitoraggio e controllo dell’Agenzia per la Cybersicurezza Nazionale. Questa nuova determinazione esclude anche la necessità di comunicare i nominativi degli organi di amministrazione e direttivi, con i relativi codici fiscali e caselle PEC.
L’aggiornamento continuo del CSIRT
Infine, la Determinazione in esame prevede anche un differimento degli obblighi di aggiornamento continuo. Infatti, secondo quanto stabilito dagli articoli 1 ff) e 18 della precedente Determinazione 283727/2025, i soggetti NIS sono tenuti a comunicare all’Agenzia per la Cybersicurezza Nazionale ogni modifica delle informazioni fornite nell’ambito dell’aggiornamento annuale entro 14 giorni dalle stesse mediante l’apposita procedura messa a disposizione sul sito dell’Agenzia stessa. La decorrenza di tale obbligo è posticipata alla pubblicazione dell’apposita sezione.
Alla luce di quanto sopra, è evidente come gli obblighi derivanti dalla Direttiva NIS siano ancora in parte di definizione ed evolvano, verosimilmente, anche alla luce delle richieste di chiarimento inoltrate dalle Società.
