Consulta qui la Determinazione ACN 333017/2025 in PDF

Gli aggiornamenti della piattaforma NIS

L’Agenzia per la cybersicurezza nazionale (ACN) ha istituzionalizzato la figura del referente CSIRT, aggiornando nel contempo l’elenco dei soggetti NIS. L’occasione è stata quella del recente incontro del quinto Tavolo NIS (Network and Information Security).

Insieme alla pubblicazione della nuova Determinazione sull’aggiornamento della piattaforma NIS, istituzionalizzante la figura del referente CSIRT, c’è stata la modifica dell’elenco dei soggetti NIS.

Referente CSIRT, un nuovo presidio operativo

La nuova Determinazione è disponibile nella pagina “La Normativa”, all’interno della sezione dedicata alla disciplina NIS del sito istituzionale ACN. Secondo la disciplina, la figura del referente CSIRT è una persona fisica designata dal Punto di Contatto, il cui compito è interfacciarsi direttamente con lo CSIRT Italia.

Il referente, in possesso di competenze tecniche così come i suoi sostituti, sarà responsabile della notifica tempestiva degli incidenti.

Ai sensi dell’articolo 7 della Determinazione (Referente CSIRT e sostituti):

Il referente CSIRT è una persona fisica designata dal Punto di Contatto, a partire dal 20

novembre ed entro il 31 dicembre 2025, tramite la dedicata procedura telematica resa

disponibile dal Portale ACN. Il referente CSIRT ha il compito di interloquire con lo CSIRT Italia, di cui all’articolo 2,

comma 1, lettera i) del decreto NIS, ed effettuare le notifiche di cui agli articoli 25 e 26 del

medesimo decreto per conto del soggetto NIS. Al fine di assicurare il tempestivo svolgimento dei compiti del referente CSIRT, con

particolare riferimento alla notifica degli incidenti significativi di cui all’articolo 25 del

decreto NIS e relativi seguiti, con le medesime modalità di cui al comma 1, possono essere

designati uno o più sostituti referente CSIRT. I sostituti referente CSIRT, ove designati, supportano il referente CSIRT nell’esercizio delle

funzioni di cui al comma 2 e possono svolgerle per suo conto. Il referente CSIRT e i suoi sostituti, ove designati, possiedono almeno competenze di base

in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una

conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale

operano.

Si evidenzia come non ci siano delle specificazioni relative al fatto che il Referente CSIRT e i suoi eventuali sostituti debbano essere obbligatoriamente dei dipendenti del soggetto NIS.

Aggiornato l’elenco dei soggetti NIS

Durante il Tavolo si è proceduto ad adottare il secondo aggiornamento dell’elenco dei soggetti NIS. In questo senso si è integrato l’esito di numerose revisioni, alle quali si aggiungeranno le centinaia di registrazioni tardive effettuate entro la fine del mese di giugno.

Sono attualmente in valutazione le ulteriori registrazioni tardive pervenute nei mesi successivi, con i relativi esiti che verranno integrati nel prossimo aggiornamento dell’elenco dei soggetti NIS. Questo aggiornamento sarà oggetto di implementazione entro la fine dell’anno.

Tale attività garantisce un quadro costantemente aggiornato dei soggetti NIS, nella misura in cui realizza un presidio efficace del tessuto produttivo del Paese.

Cybersicurezza e NIS, maggiore coordinamento europeo

Infine, c’è stato l’annuncio dell’avvio di un progetto pilota di peer review tra le Autorità competenti NIS di diversi Stati membri dell’Unione Europea, cui ha aderito anche ACN.

Questa iniziativa rappresenta un’importante occasione, affinchè ci siano l’unione di un continuo confronto con la collaborazione sistemica. L’obiettivo è quello di armonizzare i requisiti di sicurezza e rafforzare il coordinamento europeo in materia, a beneficio della protezione comune delle infrastrutture digitali.

La Determinazione rendendo più chiaro e coerente il flusso di comunicazione tra soggetti NIS, CSIRT Italia. Da solo, in effetti, era molto difficile pensare eche il Punto di Contatto potesse avere la responsabilità anche di questo adempimento.

