Il recente incontro del V Tavolo NIS (Network and Information Security), svoltosi il 3 ottobre 2025, ha rappresentato un momento di significativa evoluzione per tutti i soggetti rientranti nel perimetro della Direttiva (UE) 2022/2555, nota come “NIS2”, recepita in Italia con il D.Lgs. 138/2024. Durante l’incontro sono state illustrate importanti novità operative che incideranno direttamente sugli adempimenti delle organizzazioni soggette, in particolare l’istituzione formale della figura del Referente CSIRT, elemento cardine nella gestione della sicurezza informatica e nella comunicazione con il CSIRT Italia.

Questa figura, che deve essere una persona fisica, avrà il compito di gestire i rapporti operativi con il CSIRT Italia e di effettuare le notifiche degli incidenti significativi previste dagli articoli 25 e 26 del decreto NIS, garantendo tempestività, accuratezza e completezza delle comunicazioni verso le autorità competenti. Si tratta di un ruolo di rilevanza strategica, che rafforza il legame tra il soggetto obbligato e l’Autorità nazionale, migliorando la capacità di risposta agli incidenti e la resilienza complessiva del sistema informativo.

La designazione del Referente CSIRT dovrà essere effettuata esclusivamente attraverso una procedura che sarà resa disponibile sul portale ACN nel periodo compreso tra il 20 novembre e il 31 dicembre 2025. Il Referente dovrà essere nominato dal Punto di Contatto (PdC) dell’organizzazione e dovrà possedere almeno:

• competenze di base in materia di cybersecurity e gestione degli incidenti
• conoscenza approfondita dei sistemi informativi e delle reti dell’ente.

È inoltre prevista la possibilità di nominare uno o più sostituti, che potranno affiancarlo o subentrare nello svolgimento delle sue funzioni operative. Anche i sostituti dovranno disporre di competenze equivalenti e di una formale designazione da parte dell’organizzazione.

Sebbene sia preferibile che la risorsa individuata sia interna, è ammessa la nomina di un professionista esterno, purché formalmente incaricato e autorizzato ad agire in nome e per conto dell’organizzazione.

Resta fermo che il Punto di Contatto mantiene le funzioni di coordinamento istituzionale e amministrativo con l’Autorità nazionale, mentre il Referente CSIRT assume un ruolo eminentemente tecnico-operativo, focalizzato sulla gestione degli incidenti e sulla loro segnalazione. Le responsabilità di supervisione generale continuano a far capo agli organi direttivi e al PdC, in particolare per gli adempimenti dichiarativi e per l’interazione con la piattaforma ACN.

Labor Project affianca le organizzazioni nell’attuazione degli obblighi previsti dal D.Lgs. 138/2024, supportandole nella definizione dei ruoli, dei processi e delle procedure richieste dalla Direttiva NIS2. Contattaci per una consulenza dedicata e scopri come garantire la piena conformità normativa e la sicurezza operativa del tuo ente.