Redazione RHC : 27 Novembre 2025 09:33
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha imposto un’accelerazione decisiva per la sicurezza informatica italiana. Con la Determinazione n. 333017/2025, ha formalizzato la figura del Referente CSIRT, il punto di contatto obbligatorio con il CSIRT Italia nell’ambito della Direttiva NIS2.
La finestra temporale è ristretta: dal 20 novembre al 31 dicembre 2025. Questa scadenza non è un mero adempimento, ma un test concreto di resilienza per tutte le organizzazioni NIS2.
In un contesto di minacce in aumento, la capacità di reagire in modo rapido e coordinato è il fattore discriminante tra contenimento del danno e caos operativo.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il Referente CSIRT è la figura responsabile della gestione e notifica degli incidenti significativi. La sfida principale non è nominare una persona, ma garantire che questo ruolo sia integrato in un processo di Incident Response (IR) funzionante.
La Determina ACN definisce l’obbligo, ma molti aspetti operativi restano in ombra. Il rischio più evidente è la nomina puramente formale, priva di reali capacità operative.
Secondo Riccardo Margarito, Cyber Security Expert in Nais: «La paper compliance è una falsa conformità che nasconde gravi gap operativi. L’obbligo di notifica all’ACN scatta entro le 24 ore dal momento in cui l’incidente è noto. Senza un vero processo IR e di “contenimento dell’incidente” (eradication) a seguito di un’analisi preliminare svolta da un SOC L2-L3, la notifica sarà inevitabilmente tardiva.»
Questo problema è aggravato dall’approccio ancora largamente reattivo e non preventivo in Italia: oltre il 50% delle organizzazioni interviene sulla propria superficie d’attacco solo dopo aver subito un incidente, un’inerzia incompatibile con le tempistiche NIS2.
La crescente domanda di un Referente CSIRT realmente competente non è un vezzo normativo, ma la risposta diretta a un panorama di minacce sempre più mirato. L‘ACN, ENISA e il CSIRT Italia delineano un ecosistema ad altissima pressione: oltre la metà degli incidenti registrati (53,7%) ha colpito le “entità essenziali” definite dalla NIS2, dimostrando che la criticità normativa funge ormai da vero e proprio faro per gli attaccanti. La PA rimane il bersaglio primario, seguita dal settore sanitario che registra un inquietante +40% di attacchi nel 2025 e il manifatturiero assediato da un aumento del 71% nell’attività criminale.
Sul fronte della prontezza operativa, la vera battaglia non si combatte sulla quantità di notifiche, ma sulla loro qualità. L’esperto Riccardo Margarito sposta il focus dall’evento in sé alla comprensione profonda dell’intrusione: «Il vero ostacolo non è la notifica, ma la qualità del dato che la alimenta. La risposta iniziale non può limitarsi a constatare il danno, ma deve fondarsi su una triade operativa irrinunciabile: Deep Visibility, Automation & Threat Intelligence.»
La figura del Referente CSIRT non deve limitarsi a gestire un allarme, ma deve interpretare l’intera Kill Chain, distinguendo un falso positivo dall’azione mirata di un noto gruppo Ransomware. Margarito definisce la gestione dell’attacco come una vera e propria “Golden Hour”: il momento cruciale in cui si gioca la partita tra la detection del SOC e l’effettivo dispiegamento delle procedure di Incident Response. Se in quell’ora l’azienda non ha la capacità di correlare i segnali o identificare i primi accessi, la notifica all’ACN rischia di essere tardiva o priva dei fondamentali IoC (Indicators of Compromise) e IoA (Indicators of Attack) richiesti. Il dato più allarmante è che in Italia e in Europa, il 74% delle violazioni viene rilevato da terze parti (come il law enforcement) e non dai team interni, un indicatore inequivocabile di una profonda carenza di Self-Detection.
La sovrapposizione tra NIS2 e GDPR è una delle criticità maggiori in caso di attacco. In presenza di dati personali, si attivano due figure con mandati distinti: il Referente CSIRT, responsabile verso ACN, il DPO, responsabile verso il Garante Privacy.
Ivana Genestrone, Avvocato e DPO, consulente legale per Nais, evidenzia il doppio binario normativo: «Il Referente tutela la resilienza dei servizi essenziali e notifica gli incidenti significativi secondo NIS2. Il DPO valuta l’impatto sui dati personali e supporta il soggetto nella fase di valutazione dell’evento/incidente, della sua qualificazione come Data Breach e della eventuale necessità di procedere anche con la comunicazione agli interessati.
Nelle prime ore è essenziale classificare correttamente l’evento come: incidente NIS2, data breach GDPR, oppure entrambi (caso frequente nei ransomware).
Il problema è che senza competenze integrate, molte aziende non riescono a categorizzare correttamente l’incidente, ritardando una delle due notifiche.
Sulla gestione della crisi, Genestrone è netta: «L’analisi tecnica del Referente – IoC , impatto, categorizzazione – deve alimentare immediatamente la valutazione legale del DPO. Senza un flusso decisionale chiaro, il rischio è una doppia sanzione: per mancata conformità NIS2 e per gestione errata del data breach.»
Dal confronto quotidiano con le imprese, Nais – specializzata in servizi gestiti cyber e IT – registra una costante: la criticità non è solo normativa o tecnologica, ma soprattutto umana.
La carenza di competenze cyber è strutturale: le aziende faticano a trovare profili qualificati e i team interni assorbono nuove responsabilità senza adeguata formazione, anche in vista della NIS2. Ne deriva un divario crescente tra richieste normative e capacità operative.
In assenza di figure ibride capaci di unire competenze legali e tecniche, l’esternalizzazione emerge come risposta pragmatica per garantire la conformità.
«Il mercato italiano è molto eterogeneo: accanto alle realtà più strutturate c’è un ampio tessuto di PMI che si confronta con la NIS2 senza risorse dedicate», osserva Bianca Amico di Meane, Head of Marketing & Business Development di Nais. «La difficoltà è sempre la stessa: trovare una figura che unisca aspetti legali e tecnici. Per molte aziende questa combinazione non è costruibile internamente. L’esternalizzazione a un Referente CSIRT As-a-Service non significa acquistare una persona, ma un ecosistema: playbook, competenze integrate, SOC e Incident Response».
La scadenza di fine dicembre 2025 non è negoziabile. La nomina del Referente CSIRT è la formalizzazione del punto nevralgico della risposta cyber nazionale. Le aziende soggette alla NIS2 devono comprendere che trattare questa figura come una semplice incombenza amministrativa espone l’organizzazione a un rischio inaccettabile, specialmente in un contesto di minacce incessanti (ACN, ENISA).
La vera conformità NIS2 richiede un Referente CSIRT con autorità esecutiva, supportato da un processo di Incident Response validato e da una sinergia impeccabile con la funzione legale (DPO). Quando si verifica l’incidente, la velocità con cui vengono raccolti gli IoC e notificati all’ACN è la differenza tra la resilienza e la sanzione.
La nomina del Referente CSIRT non è un semplice adempimento formale, ma una funzione critica per garantire la resilienza cyber nelle prime ore dell’incidente. Richiede competenze legali, tecniche e di coordinamento integrate – molto più della semplice “nomina”.
RedazioneL’Agenzia per la Cybersicurezza Nazionale (ACN) ha imposto un’accelerazione decisiva per la sicurezza informatica italiana. Con la Determinazione n. 333017/2025, ha formalizzato la figura del Refe...
Il progetto Tor ha annunciato l’introduzione di un nuovo schema di crittografia, chiamato Counter Galois Onion (CGO), destinato a sostituire il precedente metodo Tor1 Relay. L’aggiornamento mira a...
L’attuale accelerazione normativa in materia di cybersicurezza non è un fenomeno isolato, ma il culmine di un percorso di maturazione del Diritto penale che ha dovuto confrontarsi con la dematerial...
Sempre più amministrazioni avviano simulazioni di campagne di phishing per misurare la capacità dei propri dipendenti di riconoscere i messaggi sospetti. Quando queste attività coinvolgono struttur...
I criminali informatici non hanno più bisogno di convincere ChatGPT o Claude Code a scrivere malware o script per il furto di dati. Esiste già un’intera classe di modelli linguistici specializzati...
