Con la determinazione del 19 settembre 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito in modo dettagliato termini, modalità e procedimenti per l’utilizzo della piattaforma digitale NIS, in attuazione del decreto legislativo 4 settembre 2024, n. 138 — che recepisce la Direttiva (UE) 2022/2555, nota come NIS2.
L’obiettivo del provvedimento è duplice: da un lato, disciplinare la gestione e l’aggiornamento delle informazioni sui soggetti essenziali e importanti che rientrano nel perimetro NIS; dall’altro, garantire una catena di responsabilità e comunicazione efficace tra imprese, pubbliche amministrazioni e l’Autorità nazionale competente NIS, di cui ACN è espressione.
La determinazione definisce le funzioni del Portale ACN — attraverso cui i soggetti obbligati potranno registrarsi, aggiornare i propri dati e interagire con l’Autorità. Il Portale diventa così il punto di contatto operativo della disciplina NIS2, assicurando autenticazione certa, tracciabilità e trasparenza delle comunicazioni.
Il testo definisce i processi di registrazione, aggiornamento annuale e aggiornamento continuo, nonché le regole per il censimento degli utenti e per l’associazione delle utenze ai soggetti NIS. Ogni organizzazione deve designare un punto di contatto e un sostituto, responsabili della gestione delle informazioni e dei rapporti con ACN, sotto la vigilanza degli organi di amministrazione e direzione.
Il referente CSIRT: l’anello operative tra enti e risposta agli incidenti
Particolare rilievo è riservato alla figura del referente CSIRT, introdotta all’articolo 7 della determinazione. Si tratta della persona fisica incaricata di interloquire direttamente con lo CSIRT Italia (Computer Security Incident Response Team), svolgendo un ruolo cruciale nella gestione e notifica degli incidenti informatici previsti dagli articoli 25 e 26 del decreto NIS.
Il referente CSIRT rappresenta, in pratica, il punto di convergenza tra la sicurezza tecnica e la responsabilità organizzativa. È designato dal punto di contatto del soggetto NIS e deve possedere competenze specifiche in materia di sicurezza informatica, gestione degli incidenti e conoscenza dei sistemi informativi dell’organizzazione. Può essere affiancato da uno o più sostituti, al fine di assicurare continuità operativa e tempestività nelle comunicazioni verso ACN.
La determinazione stabilisce inoltre che la designazione dei referenti CSIRT avvenga tra il 20 novembre e il 31 dicembre 2025, mediante una procedura telematica sul Portale ACN. Tale finestra temporale segna l’avvio concreto della rete nazionale di punti di contatto tecnici, indispensabile per il funzionamento del sistema di allerta e risposta agli incidenti cibernetici.
La figura del referente CSIRT si inserisce in un quadro più ampio di responsabilità multilivello. I vertici aziendali e amministrativi mantengono piena responsabilità delle comunicazioni e degli aggiornamenti, mentre ACN e le Autorità di settore vigilano sulla coerenza dei dati forniti. In caso di omissioni o false dichiarazioni, la determina richiama espressamente le sanzioni penali previste dal D.P.R. 445/2000 e dall’articolo 38 del decreto NIS.
Questa struttura di responsabilità, articolata e tracciata digitalmente, punta a garantire un sistema di cybersicurezza realmente efficace, basato su fiducia, tempestività e competenza tecnica.
Un tassello nel mosaico della strategia cyber nazionale
La determina ACN non è un mero atto amministrativo: rappresenta un passaggio fondamentale nella costruzione della cybersicurezza come infrastruttura di sistema. La piattaforma NIS e la rete dei referenti CSIRT costituiscono il nervo operativo della strategia nazionale, in grado di connettere pubblico e privato in un ecosistema coordinato di prevenzione, monitoraggio e risposta.
In un contesto in cui le minacce digitali si moltiplicano e si evolvono rapidamente, la formalizzazione del referente CSIRT segna il riconoscimento istituzionale di una figura che coniuga competenze tecniche e responsabilità organizzative. È, in sostanza, il custode dell’allerta cibernetica, colui che traduce le linee guida normative in azione concreta, mantenendo aperto e reattivo il canale tra il Paese e la sua infrastruttura di difesa digitale.
La cybersicurezza nazionale, insomma, non è più solo una questione di tecnologia, ma di governance distribuita: una rete di responsabilità connesse da persone e procedure, orchestrate dall’ACN per garantire la resilienza dell’intero sistema-Paese.