4/11/2025

NEWS N° 688 NOVEMBRE 2025 – DIRETTIVA NIS 2: REFERENTE CSIRT

Per informazioni rivolgersi: Dott. Paolo Corradini (paolocorradini@atseco.it)
Reggio Emilia, 04 novembre 2025

Con la Determinazione 333017/2025 del 19/09/2025, l’Agenzia di Cybersicurezza Nazionale (ACN) istituisce il Referente CSIRT (Computer Security Incident Response Team)

Nella direttiva NIS2, il CSIRT è una struttura specializzata nella gestione degli incidenti di cybersecurity, il cui ruolo è identificare, analizzare, mitigare e notificare minacce o violazioni, garantendo la continuità operativa dei sistemi critici.

L’obbligo di designare un Referente CSIRT ai sensi della direttiva NIS2 è stato reso effettivo in Italia tra il 20 novembre e il 31 dicembre 2025, con scadenza il 31 dicembre 2025. L’adempimento va effettuato tramite una procedura telematica sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN).

  • Periodo di designazione: le aziende hanno un periodo per designare il loro referente CSIRT tra il 20 novembre e il 31 dicembre 2025.
  • Scadenza: il termine ultimo per completare la registrazione e la designazione è il 31 dicembre 2025.
  • Modalità: la designazione deve avvenire tramite una procedura telematica sul Portale ACN.
  • Ruolo: il Referente CSIRT è una figura chiave per la gestione degli incidenti di sicurezza informatica e per il collegamento con l’ACN

La mancata nomina del Referente CSIRT per la direttiva NIS2 entro il 31 dicembre 2025 comporta sanzioni amministrative pecuniarie, anche severe, in base al Decreto Legislativo 138/2024. Le sanzioni possono variare in base al fatturato annuo e al tipo di soggetto (essenziale o importante) e sono commisurate alle violazioni degli obblighi di comunicazione e notifica in materia di cybersicurezza. Oltre alle multe, la mancata designazione può compromettere la capacità di risposta dell’azienda in caso di incidenti informatici.

Sanzioni previste:

  • Per soggetti essenziali: fino a 10 milioni di euro o al 2% del fatturato globale annuo.
  • Per soggetti importanti: fino a 7 milioni di euro o all’1,4% del fatturato globale annuo.

Conseguenze aggiuntive: Mancanza di una corretta risposta agli incidenti: L’assenza di un referente può ostacolare la capacità di risposta in caso di incidenti informatici. Impatto sulla continuità operativa: Si rischia di compromettere la continuità operativa dell’organizzazione. Danno reputazionale: L’assenza di un referente può avere ricadute negative sull’immagine aziendale. Non conformità normativa: Si compromette il rispetto della normativa di cybersicurezza.

ATS-Consulenti Associati s.r.l. è a disposizione per supportare a livello consulenziale le aziende nella fase di iscrizione al portale oltre allo sviluppo di un sistema atto ad adempiere agli obblighi della normativa NIS2.