Con la Determinazione ACN 283727/2025 del 22 luglio 2025, entrata in vigore il 31 luglio, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha introdotto una figura finora assente nell’ecosistema normativo NIS2: il referente CSIRT, ovverossia un ulteriore tassello nel mosaico della sicurezza cibernetica nazionale.

Tra ruoli già esistenti, sovrapposizioni operative e costi di compliance, il sistema rischia di moltiplicare gli adempimenti senza rafforzare la resilienza.

Nuova determinazione ACN e creazione del referente CSIRT

Ogni soggetto incluso nel perimetro della Direttiva (UE) 2022/2555 (NIS2) (la direttiva europea che mira a innalzare il livello di sicurezza informatica in tutti gli Stati membri) e del D.lgs. 138/2024 (il decreto italiano di recepimento della NIS2) dovrà designare questa figura, incaricata di mantenere le relazioni operative con il CSIRT Italia (Computer Security Incident Response Team Italia, la struttura nazionale di risposta agli incidenti informatici, istituita presso l’ACN) e di assicurare la tempestiva notifica degli incidenti informatici “significativi”.

L’intento è quello di rendere più fluido il canale tecnico tra chi subisce o rileva un incidente e l’infrastruttura nazionale di risposta. Tuttavia, come spesso accade, tra chiarezza normativa e realtà organizzativa il passo è lungo.

Nel dettato della determinazione, il nuovo ruolo non sostituisce né assorbe funzioni già previste da altre figure, ma va ad aggiungersi in quadro già piuttosto complesso e popolato.

Ciò di per sé, costituisce il primo elemento critico, in quanto il sistema italiano della sicurezza informatica soffre di scarsa integrazione tra le figure esistenti, e non certo di carenza di ruoli.

Il contesto normativo: la stratificazione come regola

Negli ultimi anni il legislatore italiano ha progressivamente costruito un impianto complesso di soggetti e funzioni: il Responsabile della sicurezza informatica (CISO), il Data Protection Officer (DPO), il referente o Punto di Contatto NIS, fino ai soggetti della governance della sicurezza nazionale introdotti dal D.L. 105/2019 e successivi provvedimenti ACN.

Ciascuna figura nasce con finalità diverse (protezione dei dati, sicurezza delle reti, coordinamento con le autorità) ma nel tempo le rispettive aree di competenza si sono sovrapposte, in particolare nella gestione degli incidenti.

In questo scenario, la creazione di un referente CSIRT rischia di consolidare un modello già sperimentato e mai del tutto risolto, cioè quello del “tuttofare della compliance”, costretto a coprire spazi lasciati vuoti da organizzazioni che faticano a comprendere il senso di ruoli specialistici.

In un Paese in cui oltre il 90% delle imprese rientra nella categoria delle PMI, la proliferazione di ruoli normativi rischia di rimanere un esercizio teorico, con le stesse persone che si trovano a ricoprire, di fatto, funzioni tecniche, gestionali e legali insieme.

Un modello che sembra generare confusione funzionale e deresponsabilizzazione diffusa, anziché rafforzare la sicurezza.

Cosa prevede la Determinazione ACN

La determinazione stabilisce che ogni soggetto NIS debba comunicare entro il 20 novembre 2025 il nominativo del proprio referente CSIRT attraverso il portale ACN.

Il referente:

• rappresenta l’interfaccia operativa con il CSIRT Italia;
• riceve, trasmette e aggiorna le notifiche di incidente;
• coordina eventuali approfondimenti tecnici richiesti durante la fase di gestione dell’evento;
• garantisce la continuità operativa anche mediante la designazione di sostituti.

Coesistenza con figure già presenti: un equilibrio precario

La norma, però, non definisce il grado di autonomia del referente, né il rapporto gerarchico con il Punto di Contatto (PdC) o con il CISO.

L’impressione è che l’ACN abbia voluto colmare un vuoto procedurale (la difficoltà di comunicare con strutture interne eterogenee), ma lo abbia fatto aggiungendo un ulteriore livello formale, senza affrontare la causa strutturale, ovvero l’assenza di un modello unificato di incident management nelle organizzazioni italiane.

Il Punto di contatto NIS

Il PdC resta la figura di riferimento per la comunicazione ufficiale con ACN e la determinazione prevede che il referente CSIRT ne sia un “delegato operativo” per la parte tecnica delle notifiche.

Tuttavia, in assenza di una chiara distinzione tra responsabilità formale e responsabilità tecnica, le organizzazioni dovranno costruire internamente un confine procedurale che la norma non disegna.

In pratica, resta da stabilire chi decide se un evento è notificabile, chi firma la comunicazione, chi risponde in caso di omissione o errore.

Il CISO

È plausibile che molte imprese (specie di dimensioni medio-piccole) si limiteranno a nominare come referente CSIRT il CISO o il responsabile IT già esistente; si tratta di una scelta pragmaticamente comprensibile, che tuttavia vanifica la funzione originaria del nuovo ruolo, cioè creare un canale di comunicazione specifico, distinto dalla gestione quotidiana della sicurezza.

Il risultato sarà che il CISO, già sovraccarico di incombenze strategiche e operative, si troverà a ricoprire anche l’ennesimo obbligo formale di notifica, senza alcun beneficio reale per la rapidità o la qualità delle comunicazioni.

Il DPO

La relazione con il Data Protection Officer è un altro punto delicato.

In caso di data breach, il DPO e il referente CSIRT saranno entrambi coinvolti nella valutazione dell’incidente e nelle relative notifiche: il primo verso il Garante per la protezione dei dati personali, il secondo verso il CSIRT Italia.

In assenza di coordinamento, il rischio è di generare duplicazioni di processo e incoerenze informative, con effetti potenzialmente disastrosi sia sul piano operativo che reputazionale.

Le figure operative “non codificate”

Accanto ai ruoli formalmente previsti dalla normativa (DPO, CISO, punto di contatto e ora referente CSIRT) esistono figure meno visibili ma spesso decisive.

Nella realtà delle imprese italiane la gestione concreta degli incidenti informatici è infatti affidata a chi presidia quotidianamente i sistemi e cioè all’amministratore di sistema, al responsabile IT, talvolta a un consulente esterno che ne assume le funzioni in outsourcing.

Sono questi soggetti, nella maggioranza dei casi, a individuare anomalie, raccogliere evidenze e avviare le prime azioni di contenimento.

Ignorare questo livello operativo significa non comprendere come la sicurezza funzioni davvero nel tessuto produttivo del Paese.

Così, le nuove figure di compliance rischiano di sovrapporsi a questi ruoli tecnici senza valorizzarne veramente il contributo, ma imponendo procedure che raramente dialogano con le competenze reali disponibili.

La conseguenza è un modello dove le decisioni restano formali e la risposta effettiva continua a dipendere da chi, pur senza titolo normativo, garantisce la tenuta dei sistemi.

Il moltiplicarsi dei ruoli come sinonimo di burocrazia

È proprio da questa distanza tra chi agisce e chi è formalmente designato che nasce la percezione di inefficienza normativa. Il moltiplicarsi di figure regolatorie produce, come effetto ormai noto, il fatto che le organizzazioni, in particolare quelle meno strutturate (ma non solo), percepiscano la normativa come un ostacolo amministrativo, non certo come investimento strategico.

È quasi naturale ormai che ogni nuovo adempimento venga interpretato dalle imprese come una voce di costo e non come reale e necessario presidio di sicurezza.

La compliance diventa un rituale in cui si nomina un referente, si compila un registro, si aggiorna un portale, si “fanno le carte”, senza alcuna reale evoluzione nella capacità di prevenzione e risposta. Il risultato è una compliance fatigue crescente, in cui gli adempimenti vengono gestiti come puri obblighi difensivi e non come strumenti di maturità.

In questo contesto, introdurre una nuova figura, senza peraltro semplificare il quadro esistente, rischia di peggiorare la situazione, in quanto le aziende, invece di migliorare la gestione degli incidenti, finiranno per moltiplicare gli atti di delega e i documenti interni, nella vana speranza di “essere coperte”.

L’illusione della delega tecnica

La Determinazione ACN sembra muoversi nella logica della “delega tecnica” in cui nominare un referente significa, nelle intenzioni, garantire un contatto stabile e competente con il CSIRT nazionale.

Tuttavia, questa impostazione parte da un presupposto discutibile, ovverossia che la mancanza di un interlocutore definito sia la causa principale della lentezza nelle notifiche. In realtà, la lentezza deriva quasi sempre da fattori organizzativi interni come la mancanza di procedure chiare di escalation, l’incertezza sui criteri di notifica, la paura delle sanzioni.

Nessuna figura, per quanto formalizzata, potrà risolvere questi problemi se non è inserita in un sistema decisionale chiaro, supportato in primis dalla direzione aziendale.

La creazione di un referente CSIRT non cambia la cultura della risposta agli incidenti, né semplifica i flussi interni, finendo per essere l’ennesimo ingranaggio in una struttura dove la moltiplicazione dei ruoli sostituisce la chiarezza delle responsabilità.

I costi della nuova figura

Ogni nuova nomina comporta costi diretti e indiretti, quali formazione, aggiornamento, definizione di procedure, adeguamento dei sistemi informativi, gestione del turnover.

Nel caso del referente CSIRT, questi costi si sommano a quelli già sostenuti per DPO, CISO e PdC.

Il rischio è che le organizzazioni percepiscano sempre di più l’intero impianto NIS come una burocrazia costosa e poco utile, in una logica pericolosa perché alimenta una resistenza culturale che rallenta l’adozione di misure di sicurezza sostanziali.

Anziché rafforzare la resilienza, ciò fa sì che si consolidi l’idea che la compliance con tali normative sia un “costo che non produce fatturato”: in un contesto economico in cui ogni investimento deve giustificarsi con un ritorno misurabile, questa convinzione rischia di diventare un alibi per il disimpegno.

Verso una semplificazione reale dei ruoli

Più che nuove figure, servirebbe una semplificazione strutturale.

Il sistema dovrebbe concentrarsi sulla chiarezza dei processi e sull’interoperabilità dei ruoli esistenti. Ad esempio:

• unificare i canali di notifica verso le autorità (Garante, ACN, CSIRT) attraverso un’unica piattaforma;
• definire un modello RACI standardizzato per la gestione degli incidenti;
• incentivare la formazione trasversale tra DPO, CISO e responsabili di rete, anziché creare nuove caselle da riempire.

La sicurezza dipende infatti dalla capacità di far cooperare tra loro i diversi ruoli esistenti.

Dalla compliance alla cultura della sicurezza

Il referente CSIRT nasce dall’intento condivisibile di migliorare la tempestività delle comunicazioni e rendere più efficiente il rapporto tra pubblico e privato, ma rischia di tradursi nell’ennesima figura formale, destinata a essere affidata a chi già si occupa “di tutto il resto”.

La sicurezza cibernetica cresce rimuovendo le ambiguità, senza necessità di aggiungere ruoli. Pertanto, finché il quadro normativo continuerà ad accumulare obblighi senza definire priorità e competenze reali, le organizzazioni reagiranno con la stessa strategia difensiva, cioè nomine cumulative, formazione minima e progressivo distacco tra lettera della norma e pratica quotidiana.

In questo senso, il nuovo referente rappresenta il sintomo di un sistema che continua a cercare risposte procedurali a problemi culturali.

Finché la cultura aziendale continuerà a vedere compliance e sicurezza come “costi non produttivi”, nessuna nuova figura (per quanto ben scritta) potrà invertire la rotta.