Con la Determinazione ACN n. 333017/2025 entra nel vivo la fase attuativa del sistema NIS2: ogni soggetto essenziale o importante dovrà designare un referente CSIRT, responsabile della gestione delle notifiche e del dialogo operativo con lo CSIRT Italia.
La norma tace però su un punto cruciale che sta serpeggiando tra gli operatori: può il punto di contatto (PdC) nominare sé stesso come referente CSIRT?
Il silenzio normativo probabilmente non è casuale, ma apre un dibattito tutt’altro che marginale, tra esigenze di efficienza, principi di buona governance e un certo fatalismo organizzativo tutto italiano.
La Direttiva (UE) 2022/2555 – NIS2, recepita in Italia con il Decreto Legislativo 65/2018, delinea un modello di governance nazionale della cybersicurezza basato su ruoli ben distinti.
Il punto di contatto è il rappresentante istituzionale dell’organizzazione nei confronti dell’Agenzia per la Cybersicurezza Nazionale (ACN), incaricato di garantire la comunicazione con l’Autorità competente e con lo CSIRT Italia.
Il referente CSIRT, invece, è la figura tecnico-operativa, responsabile della gestione delle notifiche di incidenti significativi e della relazione tecnica con il CSIRT.
L’intento chiaro è quello di separare la sfera formale/amministrativa da quella operativa/tecnica, tuttavia, come accade spesso, la realtà organizzativa delle imprese italiane (soprattutto PMI e gruppi con IT “leggero”) tende a riunire tutto su una sola scrivania.
La Determinazione n. 333017/2025 fissa i criteri di registrazione e nomina del Referente CSIRT, definendo il referente CSIRT come “persona fisica, interna o esterna, in possesso delle competenze necessarie per garantire la corretta interlocuzione con lo CSIRT Italia e la gestione delle notifiche di incidenti significativi”.
La nomina avviene tramite la piattaforma ACN e deve essere formalizzata entro la fine del 2025 e nessuna disposizione impone che PdC e referente CSIRT siano soggetti diversi, in quanto la norma non vieta esplicitamente l’auto-designazione.
Le Linee Guida ACN per la realizzazione di CSIRT e la Guida alla notifica degli incidenti al CSIRT Italia completano il quadro, in quanto precisano ruoli e funzioni, ma, anche qui, senza introdurre alcun divieto di cumulo.
La sfumatura più interessante è che il testo normativo prevede che sia proprio il PdC a nominare il Referente CSIRT, suggerendo così (almeno sul piano logico) una distinzione tra nominante e nominato e facendo propendere per una designazione “eterologa”.
Una formulazione linguistica che molti operatori hanno letto come un invito alla separazione, ma che non assume valore cogente in assenza di una norma che preveda il divieto di nomina cumulativa e l’eventuale conflitto d’interessi tra le due figure.
La domanda più frequente è se l’auto-designazione possa configurare un conflitto d’interessi e, giuridicamente, la risposta è no.
In senso tecnico-giuridico, il conflitto d’interessi si configura quando un soggetto titolare di un potere rappresentativo o decisionale può perseguire un interesse proprio o di terzi in contrasto con quello dell’ente o della persona che è tenuto a rappresentare; al contrario, il PdC e il referente CSIRT agiscono per conto dello stesso ente, senza contrasti, costituendo in pratica una pura concentrazione di funzioni.
Nonostante ciò, anche se non si rintraccia alcuna incompatibilità normativa tra i due ruoli e si constata l’assenza di un conflitto legale, non è possibile escludere un rischio di governance.
Per antonomasia, un soggetto che controlla, esegue e notifica gli incidenti senza supervisione indipendente riduce la trasparenza e la capacità di verifica interna e ciò che si crea è un problema di equilibrio organizzativo, piuttosto che di liceità.
Gli operatori del settore sanno bene che il multitasking istituzionale è una specialità nazionale, per cui il CISO è spesso anche DPO “tecnico” (con buona pace delle Linee Guida dei Garanti Europei sul DPO) e l’IT Manager, a volte, è anche Responsabile della Sicurezza, e magari anche “Referente Privacy”. La figura del referente CSIRT rischia perciò di aggiungersi alla lista.
Dal punto di vista pratico, un PdC-Referente unico offre indubbiamente alcuni vantaggi, in termini di:
Tuttavia, a ben guardare, il costo nascosto è alto, in quanto si paventa il rischio di sovraccarico funzionale, assenza di controllo incrociato e vulnerabilità sistemica, senza dimenticare, a questo proposito, che la cybersicurezza dovrebbe essere una corsa di squadra, più che una staffetta individuale.
Ciononostante, nelle organizzazioni piccole o poco strutturate, la tentazione di accentrare rimane fortissima. Ma l’auto-designazione potrebbe comportare importanti rischi.
Il PdC ha già responsabilità amministrative rilevanti quali la registrazione, l’aggiornamento dei dati, le relazioni con l’Autorità; aggiungere la gestione degli incidenti e la notifica tecnica significa rischiare il collasso operativo nei momenti di crisi.
Nella prassi in cui chi scrive le procedure è anche colui che le valuta, le applica e le notifica, si riduce immancabilmente la possibilità di audit interno e di verifica indipendente, principio cardine di ogni sistema di sicurezza certificabile.
Il PdC-referente, in caso di incidente, potrebbe, anche inconsapevolmente, valutare la gravità con minore obiettività; l’assenza di un secondo livello decisionale potrebbe quindi portare a sottostime nella classificazione degli eventi.
La Determinazione ACN consente la nomina di sostituti, ma se PdC e Referente coincidono, l’efficacia del backup resta solo teorica. Così, un’assenza o un cambio di ruolo potrebbero interrompere i flussi di comunicazione con lo CSIRT.
Ecco, dunque, una semplice tabella che riassume i punti di forza e le criticità dei due modelli organizzativi a confronto, quello unificato in cui PdC e referente CSIRT sono la stessa persona e quello duale.
Modello | Descrizione | Punti di forza | Criticità |
Unificato (PdC = Referente CSIRT) | Un’unica figura che gestisce comunicazione e operatività | Rapidità, coerenza, semplicità, ottimizzazione dei costi (saving) | Overload, mancanza di separazione, single point of failure |
Duale (PdC ≠ Referente CSIRT) | Ruoli distinti, interlocutore istituzionale e tecnico separati | Maggiore trasparenza, auditing, resilienza | Maggiori costi e complessità gestionale |
Il modello unificato è praticabile ed efficace se l’organizzazione formalizza effettivamente delle procedure di compensazione, prevedendo tracciabilità, log distinti, audit indipendenti; in caso contrario, questa scelta rischia di trasformarsi in una “semplificazione apparente” che mina però la resilienza complessiva dell’organizzazione.
Se, per ragioni strutturali, PdC e Referente coincidessero, potrebbe essere opportuno adottare alcune misure di mitigazione e accorgimenti, quali:
Occorre inoltre evidenziare che il cumulo PdC-referente potrebbe generare interferenze con il GDPR (il Regolamento europeo per la protezione dei dati personali), in particolare quando un incidente informatico integri anche un data breach ai sensi dell’art. 33 GDPR.
In tali casi, infatti, il medesimo soggetto potrebbe trovarsi a notificare due Autorità diverse (ACN e Garante Privacy) con tempistiche differenti (24 ore per ACN, 72 per il Garante) e un disallineamento nelle valutazioni o nei tempi potrebbe essere interpretato come carenza organizzativa ai sensi dell’art. 32 GDPR e dell’art. 21 NIS2.
Ancora una volta, non si tratta di rischio di tipo normativo, quanto di rischio gestionale dovuto all’assenza di una distinzione tra chi valuta e chi notifica.
Il silenzio normativo, pur essendo (per certi versi) utile in fase di avvio, potrebbe generare, sul medio/lungo termine, un’importante disomogeneità; per questo si renderebbe opportuno un ulteriore intervento chiarificatore da parte di ACN all’interno delle proprie FAQ o linee guida, precisando:
Sebbene anche in altri Paesi europei (es. Germania) sia aperto lo stesso dibattito, non sembrano emergere (almeno finora) disposizioni nazionali esplicite che impongano la distinzione tra PdC e Referente CSIRT come obbligo legale sistematico.
Un orientamento italiano più chiaro eviterebbe interpretazioni difformi e faciliterebbe la maturazione del sistema, guidando gli operatori in modo adeguato.
L’auto-designazione del PdC come Referente CSIRT, pur non essendo vietata, non sembra però possa diventare la norma, in quanto verrebbe meno il principio della segregation of duties, per il quale chi governa non deve essere lo stesso che esegue e controlla.
In realtà strutturate, la distinzione dei ruoli rappresenta infatti una condizione minima per garantire accountability e affidabilità.
Diversamente, nelle realtà in cui (per fattori legati alla struttura e alle dimensioni) il cumulo risulti inevitabile, la chiave è la documentazione, cioè rendere ogni decisione tracciabile, motivata e verificabile.
Come già osservato, la nuova architettura normativa impone un salto culturale prima ancora che procedurale, poiché serve creare un’organizzazione della sicurezza che vada oltre la distribuzione degli adempimenti, ma che si concentri sull’adeguata assegnazione delle responsabilità.
Allo stato, il punto di contatto potrebbe, legittimamente (o, meglio, senza incorrere in un divieto espresso), nominare sé stesso come referente CSIRT, non potendosi tecnicamente ravvisare un vero e proprio conflitto di interessi.
Tuttavia, esiste e non può essere sottovalutato, un conflitto di prospettiva tra efficienza immediata e solidità a lungo termine.
Il silenzio della norma lascia al momento spazio alla discrezionalità e, per questo, spetta alle organizzazioni decidere se usare questa flessibilità per semplificare o per crescere in maturità, tenendo sempre presente che la vera differenza, anche in questo caso, non sta in ciò che si può fare, ma in come lo si fa.