19 Dicembre 2025

Referente CSIRT nelle RSA

Banner arancione che separa una news dall'altra
Le RSA risultano incluse tra i soggetti tenuti alla nomina del Responsabile CSIRT.

Dal 20 novembre al 31 dicembre 2025, attraverso il Portale ACN, ogni organizzazione NIS2 dovrà nominare il proprio Referente CSIRT.

Chi è?

  • una risorsa interna (opzione preferibile),
  • una figura esterna, come il responsabile di un SOC/CERT o di un’infrastruttura IT in outsourcing, una società esterna (ad es. PA33 Srl),
  • con competenze di base di cybersecurity e gestione degli incidenti, conoscenza approfondita dei sistemi e delle reti dell’organizzazione.

Nelle organizzazioni più piccole, la stessa persona può ricoprire sia il ruolo di Punto di contatto sia quello di referente CSIRT.

È possibile nominare anche uno o più sostituti, che condividono responsabilità e requisiti del referente principale.

Quali compiti ha?

  • dialogare con il CSIRT Italia,
  • gestire e inviare le notifiche di incidenti significativi (obbligatorie) e quelle volontarie previste dalla normativa NIS2,
  • garantire il flusso tempestivo di informazioni interne in caso di incidente.

La delega è operativa, non di responsabilità: la responsabilità ultima resta in capo ai vertici aziendali.

Come avviene la nomina?

  • Il Punto di contatto accede al Portale ACN → sezione Aggiornamento dati.
  • Inserisce i dati del referente CSIRT e degli eventuali sostituti.
  • I nominati accedono al Portale e completano il censimento della propria utenza.

La procedura di registrazione richiede circa 1–2 giorni lavorativi: meglio attivarsi presto per evitare rallentamenti.

Attenzione alle sanzioni NIS2

La direttiva NIS2 prevede sanzioni molto rilevanti in caso di mancata conformità.
Le autorità possono applicare:

  • sanzioni amministrative fino a 10 milioni di euro,
  • obblighi correttivi immediati,
  • possibili impatti sulla governance e responsabilità diretta del management.

Tra gli aspetti più sensibili rientrano proprio:

  • la mancata notifica degli incidenti significativi,
  • l’assenza di un piano di incident response efficace,
  • la non corretta nomina delle figure previste, come il referente CSIRT.

Questa attività anticipa un altro obbligo fondamentale: da gennaio 2026 le aziende dovranno dimostrare di avere un piano di

incident response chiaro, attivo e verificabile.

PA33 srl accompagna le organizzazioni nel percorso di adeguamento alla direttiva NIS2. In un contesto regolatorio sempre più

complesso, affidarsi a professionisti del settore è essenziale per evitare errori, ritardi o non conformità.
Possiamo aiutarti a:

  • comprendere gli obblighi ACN,
  • nominare correttamente il Referente CSIRT,
  • costruire o migliorare il tuo incident response plan,
  • preparare processi, procedure e flussi di notifica coerenti con le nuove regole.
Per informazioni o supporto operativo, ecco i nostri contatti:
____________________________________________________________________________________________
 

PA33 Srl
Area: Cyber Security
Mail: cyber33@pa33.it
Tel: 06.56547218

Breve video di approfondimento https://youtu.be/CS_7a6xrO3w?si=62gT4VgfhpfaHIdW

ed Infografica.