Il Ruolo del CSIRT Italia e la funzione strategica del Referente CSIRT

1. Un nuovo paradigma di difesa

L’entrata in vigore del Decreto Legislativo 4 settembre 2024, n. 138, che recepisce nell’ordinamento italiano la Direttiva (UE) 2022/2555 (nota come NIS2), segna un punto di svolta storico nella strategia di difesa nazionale e nella gestione del rischio cibernetico. Non si tratta di un mero aggiornamento amministrativo della precedente direttiva NIS1, bensì di una rifondazione strutturale del concetto stesso di “sicurezza nazionale” nel dominio digitale. La NIS2, e di conseguenza il decreto di recepimento italiano, muove dall’assunto che la minaccia cibernetica non sia più un evento puntuale o tecnicistico, limitato ai dipartimenti IT, ma un rischio sistemico capace di paralizzare servizi essenziali, compromettere la sicurezza pubblica e minare la sovranità economica degli Stati membri.

In questo scenario di maggiore complessità, caratterizzato da attacchi ibridi, campagne di ransomware industrializzate e offensive sponsorizzate da attori statali, il legislatore europeo e quello nazionale hanno disegnato un’architettura di governance basata su una cooperazione operativa strettissima tra il settore pubblico (lo Stato, nella sua funzione di difensore e regolatore) e il settore privato (le entità che gestiscono le infrastrutture critiche e i servizi digitali). Al centro di questo ecosistema si collocano due figure cardine, la cui interazione determinerà l’efficacia dell’intera strategia:

- il CSIRT Italia (Computer Security Incident Response Team), quale vertice tecnico della risposta nazionale;
- e il Referente CSIRT, quale nuova figura operativa incardinata all'interno delle organizzazioni pubbliche e private.

La transizione verso la piena operatività del regime NIS2, con scadenze cruciali fissate tra la fine del 2025 e l’inizio del 2026 4, impone alle organizzazioni uno sforzo di adeguamento senza precedenti. Comprendere a fondo chi fa cosa in questo nuovo scacchiere non è solo una necessità legale, ma un imperativo di sopravvivenza operativa.

2. Il CSIRT Italia

Per comprendere le funzioni del CSIRT Italia nell’era NIS2, è necessario prima di tutto analizzarne la collocazione istituzionale e l’evoluzione storica. Il termine CSIRT, acronimo di Computer Security Incident Response Team, indica tecnicamente una struttura organizzativa dedicata al coordinamento e al supporto nella risposta agli incidenti di sicurezza informatica. Tuttavia, nel contesto del D.Lgs. 138/2024, il CSIRT Italia assume una valenza che trascende la definizione tecnica standard, configurandosi come un organo di rilevanza costituzionale per la sicurezza della Repubblica.

2.1 Collocazione istituzionale

Il CSIRT Italia è incardinato presso l’Agenzia per la Cybersicurezza Nazionale (ACN), l’autorità competente NIS e punto di contatto unico per l’Italia. Questa collocazione non è casuale: l’ACN, istituita con il decreto-legge n. 82/2021, ha accentrato le competenze in materia di cybersicurezza precedentemente frammentate, e il CSIRT rappresenta il suo braccio operativo, ovvero l’entità deputata all’azione tecnica immediata.

Storicamente, il CSIRT Italia nasce dalla fusione delle competenze e delle infrastrutture del CERT-PA (Computer Emergency Response Team della Pubblica Amministrazione), che operava sotto l’AgID, e del CERT-N (CERT Nazionale), che operava presso il Ministero dello Sviluppo Economico per il settore privato. Questa unificazione, completata e formalizzata definitivamente con l’istituzione dell’ACN, ha risolto una dicotomia che mal si conciliava con la natura trasversale delle minacce cibernetiche, che ovviamente non distinguono tra server pubblici e privati.

L’articolo 12 del D.Lgs. 138/2024 identifica esplicitamente il CSIRT Italia come uno dei pilastri della governance nazionale, accanto all’ACN e alle autorità di settore. Mentre l’ACN svolge funzioni di regolamentazione, ispezione e sanzione, il CSIRT opera sul piano tecnico-operativo. È fondamentale sottolineare questa distinzione: il CSIRT non è l'ente che commina le multe (compito dell’ACN come Autorità Competente), ma è l'ente che aiuta a spegnere l’incendio. Tuttavia le informazioni fornite al CSIRT costituiscono la base probatoria su cui l’Autorità potrà valutare la diligenza del soggetto colpito.

2.2 I compiti del CSIRT Italia

Ai sensi del recepimento della NIS2, i compiti del CSIRT Italia possono essere categorizzati in quattro macro-aree funzionali: monitoraggio ed early warning, gestione degli incidenti, analisi e intelligence, e cooperazione internazionale.

2.2.1 Monitoraggio preventivo e early warning

La prima linea di difesa gestita dal CSIRT è la sorveglianza proattiva dello spazio cibernetico nazionale. Questo compito non implica un monitoraggio di tutto il traffico dati nazionale, ma un’analisi dei flussi di minaccia (threat feeds) globali e locali.

• Analisi delle minacce: il CSIRT raccoglie, aggrega e analizza dati su vulnerabilità emergenti (CVE), campagne di malware attive e tattiche, tecniche e procedure (TTPs) utilizzate dagli attori malevoli. L’obiettivo è identificare pattern che potrebbero indicare un attacco imminente contro settori specifici dell'infrastruttura italiana.
• Emissione di allarmi: una delle funzioni più critiche è la capacità di early warning. Quando il CSIRT rileva una minaccia credibile (ad esempio, una nuova variante di ransomware che sta colpendo il settore energetico in un paese vicino, o la scoperta di una vulnerabilità critica in un software ampiamente usato dalla PA), deve diffondere tempestivamente queste informazioni ai soggetti NIS. Questi avvisi, diramati tramite il Portale ACN e canali dedicati, contengono spesso Indicatori di Compromissione (IoC) che i Referenti CSIRT devono implementare nei propri sistemi difensivi.
• Divulgazione coordinata delle vulnerabilità (CVD): il CSIRT agisce come intermediario di fiducia tra i ricercatori di sicurezza (ethical hackers) che scoprono vulnerabilità e i produttori di software o i gestori dei servizi, facilitando la correzione delle falle prima che vengano sfruttate pubblicamente.

2.2.2 Gestione e risposta agli incidenti (Incident Response)

Questa è la funzione core del CSIRT.

• Ricezione delle notifiche: il CSIRT è il destinatario unico delle notifiche di incidente (pre-notifica 24h, notifica 72h, report finale) inviate dai Soggetti Essenziali e Importanti. La centralizzazione delle notifiche è fondamentale: permette al CSIRT di avere una visione olistica. Se dieci banche diverse segnalano un’anomalia minore nello stesso momento, il CSIRT può correlare questi eventi e capire che è in corso un attacco sistemico al settore finanziario, trasformando dieci incidenti minori in una crisi nazionale.
• Valutazione e supporto: una volta ricevuta la notifica, il CSIRT valuta l’impatto tecnico e, se necessario, fornisce supporto al soggetto colpito. È importante chiarire il perimetro di questo supporto: il CSIRT Italia non sostituisce il team IT o il fornitore di sicurezza dell’azienda (non invia tecnici a reinstallare i server in loco, salvo casi eccezionali di sicurezza nazionale), ma fornisce guidance strategica, analisi tecnica remota e coordinamento.
• Risposta alle crisi: in caso di incidenti su larga scala (Livello 3 nella tassonomia nazionale), il CSIRT coordina la risposta operativa attivando protocolli di crisi che possono coinvolgere il Nucleo per la Cybersicurezza (NCS) e, nei casi più gravi, l'attivazione della rete EU-CyCLONe a livello europeo.

2.2.3 Analisi forense e Cyber Threat Intelligence

Per svolgere i compiti sopra descritti, il CSIRT deve mantenere capacità tecniche di eccellenza, come specificato nell’Allegato II del PTPCT dell’ACN.

• Malware analysis: il CSIRT dispone di laboratori per l’analisi statica e dinamica (reverse engineering) dei codici malevoli intercettati durante gli incidenti. Questo permette di capire cosa fa il virus, chi potrebbe averlo scritto e come neutralizzarlo.
• Digital forensics: su richiesta o necessità, il CSIRT può condurre analisi forensi sugli artefatti digitali (log, immagini disco, dump di memoria) per ricostruire la catena degli eventi e preservare le evidenze, utile anche in ottica di attribution (attribuzione dell’attacco).

2.2.4 Cooperazione internazionale e rete dei CSIRT

La dimensione transfrontaliera della NIS2 impone al CSIRT Italia di non operare come un’isola.

• CSIRT Network: il CSIRT Italia è il nodo italiano della rete europea dei CSIRT. Questo network permette uno scambio rapido e protetto di informazioni. Se un attacco colpisce una multinazionale con sedi in Italia e Germania, il CSIRT Italia e il CERT-Bund tedesco coordinano la risposta in tempo reale.
• Standardizzazione: il CSIRT promuove l’adozione di standard comuni (come il TLP - Traffic Light Protocol per la gestione della riservatezza delle informazioni) che rendono interoperabili le comunicazioni tra Stati e aziende.

Tabella 1: sintesi delle funzioni del CSIRT Italia

3. Il Referente CSIRT nell’impresa

Se il CSIRT Italia è il cervello centrale della difesa, il Referente CSIRT rappresenta il sistema nervoso periferico, innestato all’interno di ogni Soggetto Essenziale e Importante. L’istituzionalizzazione di questa figura, avvenuta tramite la Determinazione ACN n. 333017/2025 (poi aggiornata dalla n. 379907/2025), risponde a un’esigenza pragmatica: in caso di crisi, il CSIRT nazionale deve avere un interlocutore unico, tecnicamente competente e immediatamente reperibile.

3.1 Referente CSIRT vs. Punto di Contatto

Una delle fonti di confusione più comuni nelle prime fasi di adeguamento alla NIS2 è la sovrapposizione tra il Punto di Contatto (PDC) e il Referente CSIRT (RCS). Sebbene in piccole realtà i ruoli possano coincidere (purché la persona abbia i requisiti per entrambi), concettualmente e funzionalmente sono figure distinte, come chiarito dalle FAQ dell’ACN.

1. Il Punto di Contatto (PDC): la figura istituzionale
   • Ruolo: è l'interfaccia amministrativa e istituzionale con l’ACN (Autorità Competente).
   • Requisito di appartenenza: deve essere necessariamente interno all’organizzazione (es. il Legale Rappresentante, un Direttore Generale, o un dirigente delegato con procura).
   • Responsabilità: cura l’attuazione degli adempimenti normativi (registrazione, pagamento contributi, invio dichiarazioni).
   • Focus: compliance e governance.
2. Il Referente CSIRT (RCS): la figura operativa
   • Ruolo: è l’interfaccia tecnico-operativa con il CSIRT Italia. È colui che gestisce il “canale caldo” durante un incidente.
   • Requisito di appartenenza: può essere interno o esterno. La normativa ammette esplicitamente l’esternalizzazione di questa funzione, riconoscendo che molte aziende si affidano a fornitori di servizi gestiti (MSSP o SOC esterni).
   • Responsabilità: effettua le notifiche di incidente (24h/72h), riceve gli alert tecnici, implementa le misure di mitigazione suggerite dal CSIRT.
   • Focus: cybersecurity operations e incident response.

Questa distinzione è fondamentale. Mentre il Punto di Contatto firma le carte, il Referente CSIRT gestisce i bit. L’ACN ha voluto creare un canale diretto tra tecnici (CSIRT Italia <-> Referente CSIRT) per evitare che le informazioni operative venissero filtrate o rallentate dalla burocrazia interna aziendale.

3.2 Profilo e competenze richieste

La Determinazione ACN non si limita a richiedere un nome, ma delinea un profilo di competenze specifico. Il Referente CSIRT (e il suo sostituto, anch'esso obbligatorio) deve possedere:

• Competenze Tecniche: conoscenza dei principi di sicurezza informatica, gestione degli incidenti, reti e sistemi. Deve essere in grado di comprendere cosa sia un IoC, un ransomware, un attacco DDoS, e deve saper leggere ed estrarre log di sistema.
• Conoscenza dell’infrastruttura: deve avere una conoscenza profonda e aggiornata dell’architettura ICT del Soggetto NIS per cui opera. Se è un consulente esterno, deve essere pienamente integrato nei processi aziendali per poter valutare rapidamente l’impatto di un incidente sui servizi essenziali.
• Autorità operativa: deve essere formalmente autorizzato ad agire per conto dell’ente. Quando il Referente invia una notifica al CSIRT dichiarando “abbiamo perso i dati dei clienti”, sta impegnando l’azienda di fronte allo Stato. Non può dover chiedere dieci autorizzazioni interne prima di inviare un pre-allarme obbligatorio per legge entro 24 ore.
• Reperibilità: data la natura H24 delle minacce e le tempistiche strette (notifica entro 24 ore dalla conoscenza), il Referente (o il suo sostituto) deve garantire una disponibilità operativa compatibile con questi obblighi.

3.3 Il processo di designazione e le scadenze

La designazione del Referente CSIRT non è un atto interno, ma una procedura formale da espletare sul Portale dei Servizi ACN.

• Chi nomina: è il Punto di Contatto (già accreditato tramite SPID/CIE) che entra nel portale e designa il Referente CSIRT inserendone i dati (Codice Fiscale, Email, Telefono).
• Scadenza: secondo la Determinazione ACN n. 333017/2025 e i successivi aggiornamenti, la designazione deve essere stata completata entro il 31 dicembre 2025.
• Aggiornamento continuo: qualsiasi variazione dei dati del Referente deve essere comunicata tempestivamente. È previsto un processo di conferma annuale dei dati (generalmente in primavera) per assicurare che i contatti siano sempre attuali. La mancata comunicazione o l’errato aggiornamento di questi dati espone l’azienda a sanzioni amministrative ex art. 38 del decreto.

3.4 Esternalizzazione: opportunità e rischi

La possibilità di nominare un Referente CSIRT esterno può essere un vantaggio per le PMI e le aziende che non hanno un CISO (Chief Information Security Officer) interno dedicato. Molte aziende sceglieranno di delegare questo ruolo al manager del SOC esterno che già monitora la loro sicurezza.

Tuttavia, è importante tenere presente che l’esternalizzazione comporta anche dei rischi:

• Conflitto di interessi: il fornitore esterno potrebbe essere riluttante a notificare un incidente se questo è stato causato da una sua negligenza nel monitoraggio.
• Distanza dal business: un esterno potrebbe faticare a valutare l’impatto di un disservizio tecnico sulla continuità operativa del business (Significatività dell'incidente), rischiando di sovra-notificare o sotto-notificare.
• Per questo, anche in caso di esternalizzazione, la governance e la responsabilità legale rimangono saldamente in capo ai vertici aziendali (CdA e Amministratori Delegati), che devono sempre vigilare sull’operato del Referente esterno.

4. Il Framework Operativo della Notifica di Incidente

Il cuore pulsante dell’interazione tra impresa (tramite il Referente CSIRT) e Stato (CSIRT Italia) è il processo di notifica degli incidenti. La NIS2 ha introdotto un regime estremamente rigoroso e strutturato, abbandonando l’approccio generico della NIS1 a favore di un processo multi-fase con scadenze perentorie. Queste procedure entreranno a pieno regime operativo per tutti i soggetti a partire dal 15 gennaio 2026, data che segna lo spartiacque per l’applicazione delle specifiche di base definitive.

4.1 Definizione di “Incidente Significativo”

Il primo compito del Referente CSIRT è il triage: capire se un evento è un “incidente significativo” che fa scattare l’obbligo di notifica. Non tutto va notificato. Segnalare falsi positivi intasa il CSIRT nazionale; non segnalare eventi rilevanti espone a sanzioni.

Secondo le determinazioni ACN, un incidente è significativo se soddisfa almeno una delle seguenti condizioni:

1. Grave perturbazione operativa: l’incidente ha causato o è in grado di causare una grave interruzione dei servizi essenziali (es. fermo impianto, blocco erogazione energia, indisponibilità sistemi bancari).
2. Perdite finanziarie: l’incidente ha causato o può causare perdite economiche rilevanti all’entità.
3. Danno a terzi: l’incidente ha colpito o può colpire altre persone fisiche o giuridiche, causando danni materiali o immateriali considerevoli (es. furto massivo di dati sanitari dei cittadini).

Inoltre, per i Soggetti Essenziali, è introdotta una categoria specifica (IS-4) che impone la notifica anche in caso di “evidenza di accesso non autorizzato o con abuso di privilegi a dati digitali”, anche se non c’è stata ancora interruzione del servizio. Questo è un cambiamento enorme: l’intrusione silente (silent breach) va notificata.

4.2 La timeline della notifica

Una volta qualificato l’incidente come significativo, il Referente CSIRT deve attivare una procedura basata su tre step obbligatori.

Fase 1: Pre-allarme (Early Warning) - Entro 24 ore

• Tempistica: entro 24 ore dal momento in cui l’organizzazione viene a conoscenza (awareness) dell’incidente significativo. Il concetto di conoscenza è legato all’evidenza oggettiva (alert confermato).
• Obiettivo: avvisare lo Stato che qualcosa sta succedendo. Non serve un’analisi completa.
• Contenuto: il Referente deve indicare se l’incidente è sospettato di essere causato da atti illegittimi o malevoli (attacco cyber vs guasto tecnico) e se può avere un impatto transfrontaliero (coinvolge altri paesi UE).
• Meccanismo: compilazione form rapido sul Portale ACN.
• Criticità: 24 ore sono pochissime. Se l’incidente viene rilevato venerdì alle 18:00, la notifica deve partire entro sabato alle 18:00. Questo impone processi di reperibilità nel weekend.

Fase 2: Notifica dell’incidente - Entro 72 ore

• Tempistica: entro 72 ore dalla conoscenza (quindi 48 ore dopo il pre-allarme).
• Obiettivo: fornire una prima valutazione tecnica e tattica.
• Contenuto: aggiornamento delle informazioni precedenti, valutazione iniziale della gravità e dell’impatto, e soprattutto gli Indicatori di Compromissione (IoC) se disponibili (Hash dei file malevoli, IP attaccanti, domini C2).
• Importanza: questi dati permettono al CSIRT Italia di capire la natura dell'attacco (es. “è il ransomware BlackCat”) e di allertare altre aziende potenzialmente nel mirino.

Fase 3: Relazione intermedia (su richiesta)

• Se l’incidente si protrae nel tempo, il CSIRT Italia può richiedere aggiornamenti periodici sullo stato delle operazioni di ripristino.

Fase 4: Relazione finale - Entro 1 mese

• Tempistica: entro un mese dalla notifica iniziale (o dalla risoluzione, se successiva).
• Obiettivo: analisi Post-Mortem.
• Contenuto: descrizione dettagliata dell’accaduto, analisi delle cause radice (Root Cause Analysis), misure di mitigazione applicate per evitare recidive, quantificazione dell’impatto reale (utenti colpiti, dati persi).

4.3 Il riscontro del CSIRT Italia

Il flusso non è unidirezionale. La NIS2 impone al CSIRT di fornire un riscontro (feedback) al soggetto segnalante.

• Entro 24 ore dalla ricezione del pre-allarme, il CSIRT (spesso tramite automatismi) conferma la ricezione e può fornire prime indicazioni operative o link a bollettini di sicurezza pertinenti.
• Durante la gestione, il CSIRT può inviare istruzioni vincolanti o raccomandazioni tecniche. Il Referente CSIRT ha il compito di recepire queste indicazioni e coordinarne l'esecuzione interna.

Tabella 2: sintesi della timeline di Notifica Incidenti NIS2

5. Misure tecniche e organizzative: l’adeguamento aziendale

L’istituzione del Referente CSIRT e gli obblighi di notifica non sono adempimenti che si risolvono sulla carta. Richiedono un adeguamento profondo delle misure tecniche e organizzative dell’impresa. Le determinazioni ACN (in particolare la n. 379907/2025) stabiliscono le specifiche di base che i soggetti NIS devono implementare.

5.1 Integrazione tra SOC aziendale e CSIRT Nazionale

Le aziende devono configurare i propri SOC (Security Operations Center) e SIEM (Security Information and Event Management) per supportare il Referente CSIRT.

• Automazione della raccolta dati: non è pensabile raccogliere manualmente i dati per la notifica delle 72 ore in grandi organizzazioni. I sistemi devono essere pronti a estrarre i log rilevanti e gli IoC in formati standard (es. JSON, STIX/TAXII) pronti per essere trasmessi al CSIRT Italia.
• Protocolli TLP: le comunicazioni devono rispettare il Traffic Light Protocol. Il Referente deve sapere come classificare le informazioni che invia (es. TLP:AMBER per dati che il CSIRT può condividere solo con altri CSIRT, ma non pubblicamente) per proteggere la reputazione e i segreti industriali dell’azienda.

5.2 Doppia notifica: NIS2 e GDPR

Un punto critico di complessità operativa è la sovrapposizione con il GDPR. Spesso un incidente NIS2 (es. ransomware) è anche un Data Breach (esfiltrazione dati personali).

• Il coordinamento: l’azienda si trova a dover gestire due canali paralleli:
  1. Notifica al Garante Privacy entro 72 ore (ex art. 33 GDPR).
  2. Notifica al CSIRT Italia entro 24h (pre-allarme) + 72h (notifica) (ex D.Lgs 138/2024).
• Il ruolo del Referente: il Referente CSIRT deve lavorare a stretto contatto con il DPO (Data Protection Officer). È vitale che le due notifiche siano coerenti. Se il Referente dichiara al CSIRT che “i sistemi sono stati compromessi per 10 giorni”, e il DPO dichiara al Garante che “non ci sono evidenze di accesso prolungato”, questa discrepanza diventerà una prova a carico dell’azienda in sede di ispezione. Le procedure aziendali devono prevedere tavoli di crisi congiunti DPO-Referente CSIRT.

6. Governance, responsabilità e sanzioni

La NIS2 sposta la responsabilità della cybersecurity dalla sala server alla sala del Consiglio di Amministrazione.

6.1 Responsabilità dei vertici (C-Level)

Il D.Lgs. 138/2024 stabilisce inequivocabilmente che gli organi di amministrazione e direttivi (CdA, AD) sono responsabili dell’approvazione delle misure di gestione del rischio e ne supervisionano l’attuazione. Non possono più dire “non sapevo, se ne occupava il tecnico”. Devono seguire corsi di formazione obbligatoria e garantire budget adeguati.

La nomina del Referente CSIRT non esonera il CdA. Se il Referente non notifica un incidente perché l’azienda non gli ha fornito gli strumenti di rilevamento adeguati, la colpa è del CdA.

6.2 Il regime sanzionatorio

La mancata notifica al CSIRT Italia o la mancata nomina del Referente sono punite severamente.

• Soggetti Essenziali: sanzioni amministrative fino a 10.000.000 Euro o il 2% del fatturato annuo globale totale (se superiore).
• Soggetti Importanti: sanzioni fino a 7.000.000 Euro o l’1,4% del fatturato annuo globale.
• Oltre alle multe, l’ACN può imporre misure di supervisione rafforzata, audit forzati e, in casi estremi per i soggetti essenziali, la sospensione temporanea delle certificazioni o l’interdizione temporanea dalle funzioni dirigenziali per i responsabili (sebbene quest'ultima sia un'extrema ratio).

7. Conclusioni e prospettive strategiche

Il recepimento della NIS2 in Italia ha creato un ecosistema di difesa integrata estremamente sofisticato, ma anche oneroso. Il CSIRT Italia non è più un’entità lontana, ma diventa un partner operativo quotidiano per migliaia di aziende, con poteri di coordinamento che incidono direttamente sulla gestione del business.

Il Referente CSIRT, in questo quadro, emerge come una figura professionale chiave. Non è un semplice burocrate della compliance, ma un gestore di crisi che deve possedere un mix di competenze tecniche hard (per dialogare col CSIRT) e competenze soft (per gestire lo stress della notifica e il coordinamento interno).

La scadenza del gennaio 2026 per la piena operatività delle notifiche incidenti diventa, quindi, una deadline imminente per ripensare i propri processi. Le organizzazioni che interpreteranno la nomina del Referente CSIRT come un mero atto formale si troveranno impreparate alla prima crisi, rischiando sanzioni devastanti. Quelle che, invece, integreranno questa figura nei propri processi di governance e investiranno in capacità di rilevamento (detection) e risposta, non solo eviteranno le multe, ma acquisiranno un vantaggio competitivo in un mercato digitale dove la resilienza è la nuova valuta di scambio.

Nota: il presente articolo fa riferimento al quadro normativo aggiornato al Gennaio 2026.