La determinazione n. 333017/2025 del 19 settembre 2025, conforme agli articoli 7, commi 3 e 4, del D.lgs. 138/2024 (decreto NIS), prevede l’introduzione, da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN), della figura del referente CSIRT nell’ambito della governance della cybersecurity. In seguito all’istituzione del Punto di contatto e del relativo sostituto, si rende necessario chiarire la struttura organizzativa aziendale dedicata alla cybersecurity.

La nuova architettura delle responsabilità

Il Decreto NIS introduce un quadro stringente per la gestione della sicurezza informatica da parte dei Soggetti Essenziali e Importanti, delineando una netta separazione tra la responsabilità strategica, attribuita agli organi di amministrazione, e le responsabilità operative e di interfaccia, affidate a persone fisiche espressamente incaricate. Il provvedimento individua e articola tre livelli distinti, ma correlati di responsabilità: strategica, di interfaccia e tecnico-operativa.

Il livello strategico: la responsabilità del vertice aziendale

La responsabilità della conformità è affidata agli Organi di Amministrazione, come previsto dall’articolo 23 del decreto NIS. Si tratta di una responsabilità strategica, definita Accountability, che non può essere delegata, collocando la cybersecurity tra le principali tematiche di governance e gestione del rischio aziendale.

Le principali responsabilità ad essi attribuiti rientrano in:

  • Approvazione e supervisione: deliberare sulle misure di gestione del rischio e monitorarne l’attuazione corretta;

  • Formazione obbligatoria: garantire che tutto il personale apicale e subordinato riceva una formazione adeguata, e differenziata in relazione delle responsabilità assunte, per comprendere i rischi e le conseguenze degli incidenti;

  • Responsabilità in caso di violazioni: essere soggetti a sanzioni amministrative dirette per il mancato rispetto degli obblighi.

Il livello di interfaccia: il Punto di contatto e il suo Sostituto

Il Punto di Contatto (PdC) rappresenta la figura centrale preposta alla gestione della comunicazione in materia di attuazione operativa del Decreto NIS e funge da unico canale di interlocuzione con l’ACN.

Per sua natura, il PdC deve essere individuato tra persone fisiche – ossia il Rappresentante Legale, un Procuratore o un dipendente appositamente delegato – trattandosi di un ruolo che richiede accesso tramite credenziali personali, sottoscrizione di dichiarazioni e assunzione di responsabilità professionale diretta nei rapporti con l’ACN. La persona giuridica resta il soggetto obbligato agli adempimenti, ma non esecutore degli stessi.

La designazione del PdC si articola in due fasi principali:

  • Atto Giuridico Interno (Delega o Procura): Qualora il PdC non coincida con il Rappresentante Legale, è necessario predisporre un formale atto interno di delega o di procura a firma del Rappresentante Legale, nel quale siano specificati i poteri conferiti al PdC stesso. Tale documento costituisce requisito indispensabile

  • Registrazione Telematica sul portale ACN: Successivamente, la nomina viene trasmessa e formalizzata mediante la procedura telematica presente sul Portale dei Servizi ACN, associando l’utenza personale del PdC all’ente obbligato.

Anche il Sostituto Punto di Contatto deve necessariamente essere una persona fisica scelta sempre tra il legale rappresentate, il procuratore o il dipendente appositamente delegato.

Il suo compito è assicurare continuità operativa e reperibilità, subentrando con le medesime responsabilità operative in caso di assenza del PdC titolare. La nomina e la comunicazione del Sostituto seguono la medesima procedura telematica a cura del PdC.

Il livello tecnico: il referente CSIRT

Il Referente CSIRT riveste un ruolo centrale dal punto di vista tecnico-operativo nella gestione degli incidenti di sicurezza informatica, fungendo da interlocutore diretto con lo CSIRT Italia (Computer Security Incident Response Team), organismo che opera sotto la supervisione dell’ACN. Lo CSIRT Italia è preposto alla prevenzione, analisi e gestione degli incidenti informatici che interessano reti e infrastrutture strategiche, oltre a fornire supporto alle organizzazioni coinvolte negli incidenti significativi, affiancandole nelle attività di rilevamento, analisi e risposta alle minacce informatiche.

La scelta del Referente CSIRT, così come dei suoi eventuali sostituti, ricade necessariamente su una persona fisica, in quanto la funzione richiede competenze tecniche avanzate e una conoscenza dettagliata dei sistemi informativi del soggetto NIS, indispensabili per una corretta raccolta e comunicazione dei dati tecnici necessari alla notifica degli incidenti.

La designazione del Referente CSIRT segue un flusso interno ed esterno, con una chiara catena di responsabilità:

  • Delega/Nomina Interna: La nomina del Referente CSIRT avviene tramite un atto giuridico interno emesso dal Vertice o dal Rappresentante Legale dell’organizzazione, il quale specifica chiaramente i poteri e le responsabilità tecniche attribuite alla figura designata

  • Designazione Telematica da Parte del PdC: In ottemperanza agli obblighi previsti dalla normativa NIS, spetta al Punto di Contatto (PdC) comunicare formalmente la designazione del Referente CSIRT e dei suoi eventuali sostituti, da svolgere tra il 20 novembre e il 31 dicembre 2025, utilizzando la procedura telematica prevista dal Portale dei servizi ACN. Il PdC, in questo contesto, assume la responsabilità di garantire che la figura tecnica venga correttamente individuata e notificata all’Autorità competente.

Al Referente CSIRT è attribuita la responsabilità del contenuto della notifica, con compiti che includono l’identificazione, l’analisi e la raccolta di tutte le informazioni rilevanti sull’incidente, quali gravità, cause e impatti. Parallelamente, il PdC mantiene la responsabilità sulle modalità e sul rispetto delle tempistiche previste per l’inoltro delle notifiche (pre-notifica 24 ore, notifica 72 ore e relazione entro un mese), agendo come unico canale formale di comunicazione con l’ACN.

A differenza del PdC, il referente CSIRT non è soggetto all’obbligo di appartenere all’organizzazione del soggetto NIS. Infatti, la determinazione 333017/2025 non prescrive che il referente debba essere una risorsa interna, limitandosi a richiedere che si tratti di una persona fisica dotata delle competenze tecniche necessarie a ricoprire il ruolo.
Ne consegue che il referente può essere interno oppure esterno, purché abilitato ad operare in nome e per conto dell’organizzazione nell’ambito delle funzioni previste.

L’impostazione descritta agevola in modo significativo le PMI rientranti nell’ambito di applicazione del decreto NIS, che spesso non dispongono di un CED o di un Team di risposta agli incidenti. In ogni caso, le imprese che si avvarranno di un referente CSIRT esterno dovranno infatti disciplinare in modo espresso, all’interno dei contratti di servizio o di outsourcing, i profili di responsabilità, riservatezza e coordinamento operativo con il PdC interno.
In particolare, sarà necessario definire le modalità di accesso ai sistemi informativi, i tempi di risposta in caso di incidente, gli obblighi di segretezza e la titolarità delle comunicazioni trasmesse al CSIRT Italia.

La struttura organizzativa della cybersecurity a tre livelli

Livello di responsabilità Ruolo (Persona Giuridica) Ruolo (Persona Fisica) Atto di Designazione
Strategico Soggetto NIS Organi di Amministrazione Posizione statutaria
Interfaccia Soggetto NIS Punto di Contatto NIS (PdC)
Sostituto PdC		 Delega/Procura
(se non Legale Rappresentante)
Operativo Soggetto NIS Referente CSIRT Incarico/Delega interna; Comunicazione telematica del PdC

Questo sistema assicura che la responsabilità di alto livello sia affiancata da persone fisiche con autorità e competenze chiare, essenziali per la tempestiva attuazione degli obblighi in materia di cybersecurity.

La cyber-Governance per la sfida alla resilienza

Il decreto NIS impone un modello di cyber-governance rigoroso e interconnesso, dove la corretta suddivisione delle responsabilità – dal vertice che approva, al PdC che comunica, al tecnico che gestisce – risulta essenziale.

La sfida per le organizzazioni non è solo evitare le sanzioni, ma abbracciare la resilienza digitale, come prerequisito per la continuità operativa in un contesto di minaccia in continua evoluzione.

Affrontare le sfide imposte dal decreto NIS richiede non solo competenze tecniche, ma anche una visione strategica e multidisciplinare.

In questo contesto, il servizio Cybergo e Referente CSIRT rappresenta la soluzione ideale per guidare l’azienda verso la piena conformità normativa e la resilienza digitale.

Durante il webinar del 25 settembre, dedicato al tema “Incident response e compliance tra NIS 2 e GDPR”, abbiamo illustrato come un approccio unitario alla gestione degli incidenti informatici, tra GDPR e NIS 2, possa trasformare gli obblighi normativi in autentiche opportunità di crescita e vantaggio competitivo.

Vuoi scoprire come strutturare il percorso di adeguamento alla NIS?

Compila il modulo per fissare una video call gratuita e personalizzata sui servizi Cybergo con i nostri consulenti.

Ricorda di prestare il consenso per essere sempre aggiornato sulle novità normative e ricevere gli inviti ai nostri eventi gratuiti!

    (*) per i campi contrassegnati da * la compilazione è obbligatoria.

    Ho letto l’Informativa sulla Privacy e la Privacy Policy e autorizzo il trattamento dei miei dati personali per le finalità descritte al paragrafo “Esecuzione di attività richieste dall’interessato” dell’Informativa
    [la mancata autorizzazione al trattamento comporta l’impossibilità di svolgere le attività richieste]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione di documentazione tecnico-informativa” dell’Informativa
    [il mancato consenso impedisce l’invio di documentazione tecnica e di contenuti di aggiornamento tecnico]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione iniziative di informazione tecnica, pubblicitaria e promozionale” dell’Informativa
    [il mancato consenso impedisce l’aggiornamento in merito ai nostri servizi, l’invito a nostri eventi gratuiti e la partecipazione a nostre iniziative a condizioni riservate]