Con la Determinazione ACN n. 333017/2025 prende forma la fase attuativa del sistema NIS2: l'obiettivo principale del provvedimento è stabilire le regole tecniche per l'adempimento degli obblighi informativi e di comunicazione previsti dal Decreto Legislativo NIS (D.Lgs. n. 138/2024). Il documento disciplina, tra le altre cose, la designazione e il censimento dei soggetti che interagiranno con l'ACN tramite la Piattaforma. Ogni soggetto essenziale o importante dovrà designare un referente CSIRT, figura chiave per la gestione delle notifiche di incidenti rilevanti e per il dialogo operativo con lo CSIRT Italia. Una novità che segna un passo decisivo nella governance della cybersicurezza nazionale, ma che apre anche un dibattito acceso: cosa succede se il punto di contatto (PdC) nomina sé stesso come referente CSIRT? Si può fare? Quali sarebbero i vantaggi e i rischi?
Ruoli distinti, realtà complesse
La Direttiva (UE) 2022/2555 – NIS2, recepita in Italia con il D.Lgs. 65/2018, ha tracciato un modello basato sulla separazione tra funzioni formali e operative. Ne abbiamo parlato in questo articolo.
- Il PdC è il rappresentante istituzionale dell’organizzazione verso l’ACN
- Il referente CSIRT è invece la figura tecnico-operativa, incaricata di gestire notifiche e relazioni con lo CSIRT Italia.
In teoria, due ruoli distinti. In pratica, soprattutto nelle PMI e nelle realtà con risorse IT limitate, la tendenza è quella di concentrare più responsabilità su una sola persona. Ed è bene riflettere sul da farsi al più presto, perché per la formalizzazione della designazione del ruolo, c’è tempo solo fino alla fine di quest’anno!
Referente CSIRT e Auto-designazione: opportunità o rischio?
La norma non vieta esplicitamente che PdC e referente CSIRT coincidano. Questo silenzio normativo, su cui viene anche naturale chiedersi se sia un silenzio casuale o voluto, lascia spazio a interpretazioni diverse.
Un PdC che si auto-designa referente CSIRT può garantire:
- rapidità di comunicazione con ACN e CSIRT Italia;
- coerenza informativa;
- semplificazione dei flussi decisionali.
Naturalmente, però, com’è facile intuire anche semplicemente a livello logico, i rischi non sono trascurabili: sovraccarico funzionale, assenza di controllo incrociato, bias di autovalutazione e una continuità operativa più fragile. In caso di crisi, la concentrazione di ruoli può trasformarsi in vulnerabilità sistemica.
Il buon senso e le buone pratiche attuabili
Se l’auto-designazione risulta inevitabile, allora è davvero necessario adottare misure di mitigazione:
- formalizzare la nomina tramite il legale rappresentante;
- designare supplenti per garantire continuità;
- mantenere registri separati per attività istituzionali e notifiche operative;
- prevedere audit indipendenti;
- comunicare con trasparenza all’ACN la coincidenza dei ruoli.
Queste pratiche rafforzano l’accountability e riducono il rischio di rilievi ispettivi.
Il bisogno concreto di maturità organizzativa
Il vero discrimine non è tanto giuridico quanto culturale. La cybersicurezza non può ridursi a un adempimento formale: richiede una distribuzione equilibrata delle responsabilità e un approccio di squadra.
La figura del referente CSIRT diventa così un banco di prova della maturità organizzativa: distinguere ruoli, documentare scelte e garantire trasparenza sono le condizioni minime per trasformare un obbligo normativo in un vantaggio competitivo.
Smart Flow supporta le organizzazioni nel percorso di adeguamento a NIS2 e alle normative di cybersicurezza, offrendo consulenza specializzata in governance, normative e compliance.
