NIS2, punto di contatto e referente CSIRT: il dilemma dell’auto-designazione
好,我需要帮用户总结这篇文章的内容,控制在100字以内,而且不需要特定的开头。首先,我得通读一下文章,理解它的主要观点。 文章主要讲的是意大利的NIS2系统进入实施阶段,要求关键主体指定一个CSIRT联络员。然后讨论了联络员和点对点接触者是否可以由同一人担任的问题。文章分析了这样做的优缺点,比如效率高但可能有治理风险。还提到了法律上没有冲突,但实际操作中可能有管理上的问题。 接下来,我需要把这些要点浓缩成100字以内的总结。要确保涵盖关键点:NIS2实施、角色定义、是否可以兼任、优缺点以及法律与管理上的考量。 最后,检查一下语言是否简洁明了,符合用户的要求。 </think> 意大利NIS2系统进入实施阶段,要求关键主体指定CSIRT联络员。文章探讨了联络员与点对点接触者是否可由同一人兼任的问题,分析了法律无冲突但治理风险高、效率与职责分离的权衡,并呼吁ACN提供进一步指导以促进合规与组织成熟度。 2025-10-15 09:46:24 Author: www.cybersecurity360.it(查看原文) 阅读量:12 收藏

Con la Determinazione ACN n. 333017/2025 entra nel vivo la fase attuativa del sistema NIS2: ogni soggetto essenziale o importante dovrà designare un referente CSIRT, responsabile della gestione delle notifiche e del dialogo operativo con lo CSIRT Italia.

La norma tace però su un punto cruciale che sta serpeggiando tra gli operatori: può il punto di contatto (PdC) nominare sé stesso come referente CSIRT?

Il silenzio normativo probabilmente non è casuale, ma apre un dibattito tutt’altro che marginale, tra esigenze di efficienza, principi di buona governance e un certo fatalismo organizzativo tutto italiano.

La nascita (e la sovrapposizione) di due ruoli

La Direttiva (UE) 2022/2555 – NIS2, recepita in Italia con il Decreto Legislativo 65/2018, delinea un modello di governance nazionale della cybersicurezza basato su ruoli ben distinti.

Il punto di contatto è il rappresentante istituzionale dell’organizzazione nei confronti dell’Agenzia per la Cybersicurezza Nazionale (ACN), incaricato di garantire la comunicazione con l’Autorità competente e con lo CSIRT Italia.

Il referente CSIRT, invece, è la figura tecnico-operativa, responsabile della gestione delle notifiche di incidenti significativi e della relazione tecnica con il CSIRT.

L’intento chiaro è quello di separare la sfera formale/amministrativa da quella operativa/tecnica, tuttavia, come accade spesso, la realtà organizzativa delle imprese italiane (soprattutto PMI e gruppi con IT “leggero”) tende a riunire tutto su una sola scrivania.

Referente CSIRT: cosa stabilisce la Determinazione ACN

La Determinazione n. 333017/2025 fissa i criteri di registrazione e nomina del Referente CSIRT, definendo il referente CSIRT come “persona fisica, interna o esterna, in possesso delle competenze necessarie per garantire la corretta interlocuzione con lo CSIRT Italia e la gestione delle notifiche di incidenti significativi”.

La nomina avviene tramite la piattaforma ACN e deve essere formalizzata entro la fine del 2025 e nessuna disposizione impone che PdC e referente CSIRT siano soggetti diversi, in quanto la norma non vieta esplicitamente l’auto-designazione.

Le Linee Guida ACN per la realizzazione di CSIRT e la Guida alla notifica degli incidenti al CSIRT Italia completano il quadro, in quanto precisano ruoli e funzioni, ma, anche qui, senza introdurre alcun divieto di cumulo.

La sfumatura più interessante è che il testo normativo prevede che sia proprio il PdC a nominare il Referente CSIRT, suggerendo così (almeno sul piano logico) una distinzione tra nominante e nominato e facendo propendere per una designazione “eterologa”.

Una formulazione linguistica che molti operatori hanno letto come un invito alla separazione, ma che non assume valore cogente in assenza di una norma che preveda il divieto di nomina cumulativa e l’eventuale conflitto d’interessi tra le due figure.

Nessun conflitto d’interessi (almeno, in senso giuridico)

La domanda più frequente è se l’auto-designazione possa configurare un conflitto d’interessi e, giuridicamente, la risposta è no.

In senso tecnico-giuridico, il conflitto d’interessi si configura quando un soggetto titolare di un potere rappresentativo o decisionale può perseguire un interesse proprio o di terzi in contrasto con quello dell’ente o della persona che è tenuto a rappresentare; al contrario, il PdC e il referente CSIRT agiscono per conto dello stesso ente, senza contrasti, costituendo in pratica una pura concentrazione di funzioni.

Nonostante ciò, anche se non si rintraccia alcuna incompatibilità normativa tra i due ruoli e si constata l’assenza di un conflitto legale, non è possibile escludere un rischio di governance.

Per antonomasia, un soggetto che controlla, esegue e notifica gli incidenti senza supervisione indipendente riduce la trasparenza e la capacità di verifica interna e ciò che si crea è un problema di equilibrio organizzativo, piuttosto che di liceità.

L’Italia e la cultura del “ruolo cumulativo”

Gli operatori del settore sanno bene che il multitasking istituzionale è una specialità nazionale, per cui il CISO è spesso anche DPO “tecnico” (con buona pace delle Linee Guida dei Garanti Europei sul DPO) e l’IT Manager, a volte, è anche Responsabile della Sicurezza, e magari anche “Referente Privacy”. La figura del referente CSIRT rischia perciò di aggiungersi alla lista.

Dal punto di vista pratico, un PdC-Referente unico offre indubbiamente alcuni vantaggi, in termini di:

  • rapidità di comunicazione con ACN e CSIRT Italia;
  • coerenza informativa e riduzione del rischio di disallineamento;
  • semplificazione dei flussi e delle responsabilità.

Tuttavia, a ben guardare, il costo nascosto è alto, in quanto si paventa il rischio di sovraccarico funzionale, assenza di controllo incrociato e vulnerabilità sistemica, senza dimenticare, a questo proposito, che la cybersicurezza dovrebbe essere una corsa di squadra, più che una staffetta individuale.

I rischi dell’auto-designazione in pratica

Ciononostante, nelle organizzazioni piccole o poco strutturate, la tentazione di accentrare rimane fortissima. Ma l’auto-designazione potrebbe comportare importanti rischi.

Sovraccarico e perdita di efficacia

Il PdC ha già responsabilità amministrative rilevanti quali la registrazione, l’aggiornamento dei dati, le relazioni con l’Autorità; aggiungere la gestione degli incidenti e la notifica tecnica significa rischiare il collasso operativo nei momenti di crisi.

Mancanza di separazione dei poteri

Nella prassi in cui chi scrive le procedure è anche colui che le valuta, le applica e le notifica, si riduce immancabilmente la possibilità di audit interno e di verifica indipendente, principio cardine di ogni sistema di sicurezza certificabile.

Bias di autovalutazione

Il PdC-referente, in caso di incidente, potrebbe, anche inconsapevolmente, valutare la gravità con minore obiettività; l’assenza di un secondo livello decisionale potrebbe quindi portare a sottostime nella classificazione degli eventi.

Continuità operativa debole

La Determinazione ACN consente la nomina di sostituti, ma se PdC e Referente coincidono, l’efficacia del backup resta solo teorica. Così, un’assenza o un cambio di ruolo potrebbero interrompere i flussi di comunicazione con lo CSIRT.

Modelli organizzativi a confronto

Ecco, dunque, una semplice tabella che riassume i punti di forza e le criticità dei due modelli organizzativi a confronto, quello unificato in cui PdC e referente CSIRT sono la stessa persona e quello duale.

ModelloDescrizionePunti di forzaCriticità
Unificato (PdC = Referente CSIRT)Un’unica figura che gestisce comunicazione e operativitàRapidità, coerenza, semplicità, ottimizzazione dei costi (saving)Overload, mancanza di separazione, single point of failure
Duale (PdC ≠ Referente CSIRT)Ruoli distinti, interlocutore istituzionale e tecnico separatiMaggiore trasparenza, auditing, resilienzaMaggiori costi e complessità gestionale

Il modello unificato è praticabile ed efficace se l’organizzazione formalizza effettivamente delle procedure di compensazione, prevedendo tracciabilità, log distinti, audit indipendenti; in caso contrario, questa scelta rischia di trasformarsi in una “semplificazione apparente” che mina però la resilienza complessiva dell’organizzazione.

Buone pratiche per chi cumula i ruoli

Se, per ragioni strutturali, PdC e Referente coincidessero, potrebbe essere opportuno adottare alcune misure di mitigazione e accorgimenti, quali:

  • Nomina distinta e formalizzata dal legale rappresentante, evitando l’auto-convalida.
  • Designazione di referenti supplenti, come previsto anche dalla Determinazione ACN 333017/2025.
  • Registri separati per attività istituzionali e notifiche operative.
  • Audit indipendenti (interni o esterni) sui flussi di notifica.
  • Manuale CSIRT interno, redatto in conformità alle Linee guida ACN, che specifichi ruoli, escalation, responsabilità.
  • Comunicazione trasparente all’ACN in merito alla coincidenza dei ruoli, per evitare rilievi in fase ispettiva e documentare le scelte aziendali in ottica di accountability.

Intersezioni con altri obblighi normativi

Occorre inoltre evidenziare che il cumulo PdC-referente potrebbe generare interferenze con il GDPR (il Regolamento europeo per la protezione dei dati personali), in particolare quando un incidente informatico integri anche un data breach ai sensi dell’art. 33 GDPR.

In tali casi, infatti, il medesimo soggetto potrebbe trovarsi a notificare due Autorità diverse (ACN e Garante Privacy) con tempistiche differenti (24 ore per ACN, 72 per il Garante) e un disallineamento nelle valutazioni o nei tempi potrebbe essere interpretato come carenza organizzativa ai sensi dell’art. 32 GDPR e dell’art. 21 NIS2.

Ancora una volta, non si tratta di rischio di tipo normativo, quanto di rischio gestionale dovuto all’assenza di una distinzione tra chi valuta e chi notifica.

Serve un chiarimento da ACN

Il silenzio normativo, pur essendo (per certi versi) utile in fase di avvio, potrebbe generare, sul medio/lungo termine, un’importante disomogeneità; per questo si renderebbe opportuno un ulteriore intervento chiarificatore da parte di ACN all’interno delle proprie FAQ o linee guida, precisando:

  • se sia consentito o solo tollerato che il PdC possa designare sé stesso come referente CSIRT;
  • quali garanzie minime di separazione operativa siano raccomandate;
  • se la coincidenza dei ruoli debba essere comunicata e motivata formalmente all’Autorità.

Sebbene anche in altri Paesi europei (es. Germania) sia aperto lo stesso dibattito, non sembrano emergere (almeno finora) disposizioni nazionali esplicite che impongano la distinzione tra PdC e Referente CSIRT come obbligo legale sistematico.

Un orientamento italiano più chiaro eviterebbe interpretazioni difformi e faciliterebbe la maturazione del sistema, guidando gli operatori in modo adeguato.

La maturità organizzativa come vera misura di compliance

L’auto-designazione del PdC come Referente CSIRT, pur non essendo vietata, non sembra però possa diventare la norma, in quanto verrebbe meno il principio della segregation of duties, per il quale chi governa non deve essere lo stesso che esegue e controlla.

In realtà strutturate, la distinzione dei ruoli rappresenta infatti una condizione minima per garantire accountability e affidabilità.

Diversamente, nelle realtà in cui (per fattori legati alla struttura e alle dimensioni) il cumulo risulti inevitabile, la chiave è la documentazione, cioè rendere ogni decisione tracciabile, motivata e verificabile.

Come già osservato, la nuova architettura normativa impone un salto culturale prima ancora che procedurale, poiché serve creare un’organizzazione della sicurezza che vada oltre la distribuzione degli adempimenti, ma che si concentri sull’adeguata assegnazione delle responsabilità.

Si può fare, ma senza improvvisare

Allo stato, il punto di contatto potrebbe, legittimamente (o, meglio, senza incorrere in un divieto espresso), nominare sé stesso come referente CSIRT, non potendosi tecnicamente ravvisare un vero e proprio conflitto di interessi.

Tuttavia, esiste e non può essere sottovalutato, un conflitto di prospettiva tra efficienza immediata e solidità a lungo termine.

Il silenzio della norma lascia al momento spazio alla discrezionalità e, per questo, spetta alle organizzazioni decidere se usare questa flessibilità per semplificare o per crescere in maturità, tenendo sempre presente che la vera differenza, anche in questo caso, non sta in ciò che si può fare, ma in come lo si fa.


文章来源: https://www.cybersecurity360.it/legal/nis2-punto-di-contatto-e-referente-csirt-il-dilemma-dellauto-designazione/
如有侵权请联系:admin#unsafe.sh