Con il provvedimento n. 283727 del 22 luglio 2025, entrato in vigore il 31 luglio, l’Agenzia per la Cybersicurezza Nazionale ha introdotto una nuova figura nell’architettura della sicurezza informatica italiana: il referente CSIRT. Si tratta di una novità normativa che nasce dall’esigenza di rendere più rapido ed efficiente il flusso di comunicazione tra le organizzazioni soggette alla direttiva NIS2 e il Computer Security Incident Response Team (ossia il “CSIRT”) Italia, struttura nazionale deputata alla gestione degli incidenti cibernetici. In linea teorica, il nuovo ruolo dovrebbe garantire maggiore tempestività nella notifica degli attacchi informatici e una cooperazione più fluida tra pubblico e privato. Tuttavia, come spesso accade in Italia, tra la chiarezza dell’intento e la complessità della realtà organizzativa si apre un divario difficile da colmare.

Il referente CSIRT si aggiunge a un ecosistema normativo già denso di ruoli e responsabilità: il Responsabile della sicurezza informatica, il Data Protection Officer, il punto di contatto NIS e le figure introdotte dal D.L. 105/2019 sulla sicurezza nazionale cibernetica. Ognuno di questi incarichi risponde a finalità diverse — tutela dei dati personali, protezione delle reti, coordinamento con le autorità — ma nel tempo le competenze si sono inevitabilmente intrecciate. In questo scenario stratificato, la nascita di un nuovo referente rischia di aumentare la confusione invece di semplificare i processi.

Il provvedimento dell’ACN prevede che ogni soggetto incluso nel perimetro NIS2 comunichi il nominativo del proprio referente attraverso il portale dedicato, incaricandolo di fungere da interfaccia operativa con il CSIRT Italia. Questo soggetto dovrà ricevere e trasmettere notifiche di incidente, coordinare gli approfondimenti tecnici e garantire la continuità operativa anche tramite la designazione di sostituti. Tuttavia, la norma non chiarisce la posizione gerarchica del referente né il suo grado di autonomia rispetto ad altre figure interne. Resta quindi aperta la questione su chi, in caso di incidente, sia realmente responsabile della decisione di notificare e della gestione delle comunicazioni ufficiali.

La sovrapposizione di ruoli rappresenta un problema concreto, soprattutto per le piccole e medie imprese, che costituiscono la stragrande maggioranza del tessuto produttivo italiano. In contesti organizzativi limitati, è facile che la nuova figura venga affidata al CISO o al responsabile IT già esistente, trasformandosi in un ulteriore adempimento formale più che in una reale innovazione. Il rischio è che il referente CSIRT diventi “uno di quelli che fanno tutto”, un nome in più su un documento, ma senza un effettivo impatto operativo. Anche il rapporto con il DPO genera possibili sovrapposizioni. In caso di data breach, infatti, entrambe le figure saranno coinvolte nella valutazione dell’incidente e nelle notifiche: il DPO verso il Garante per la protezione dei dati personali, il referente CSIRT verso l’ACN. Senza un coordinamento preciso, si potrebbero creare duplicazioni di procedure, incoerenze informative e ritardi, con ripercussioni negative sulla gestione dell’emergenza e sull’immagine dell’organizzazione.

A complicare il quadro vi è la distanza tra le figure formali e quelle operative. Nella quotidianità aziendale, la prima individuazione di un incidente informatico avviene quasi sempre grazie a chi lavora concretamente sui sistemi: l’amministratore di rete, il tecnico IT o, talvolta, un consulente esterno. Sono loro, in silenzio e spesso senza riconoscimento normativo, a garantire la tenuta dei sistemi. Ignorare questo livello reale di operatività significa non comprendere la vera natura della sicurezza informatica nelle imprese italiane. Il moltiplicarsi di ruoli e sigle rischia di alimentare una burocrazia difensiva, in cui la compliance è percepita come un obbligo da assolvere piuttosto che come un percorso di maturazione organizzativa.

È probabile che l’introduzione del referente CSIRT nasca da un’illusione di semplificazione. Si pensa che individuare un interlocutore tecnico possa risolvere la lentezza delle notifiche o migliorare il coordinamento con l’ACN. In realtà, la difficoltà non risiede tanto nell’assenza di un nome, quanto nella mancanza di procedure chiare, di catene di comando definite e di una cultura aziendale che consideri la sicurezza un elemento strategico e non un costo.

In definitiva, il referente CSIRT rappresenta un’iniziativa animata da buone intenzioni ma che rischia di restare intrappolata nella consueta logica italiana della formalità. La cybersicurezza, però, non cresce aggiungendo nuovi ruoli, bensì rafforzando la cooperazione, la chiarezza delle responsabilità e la cultura della prevenzione. Solo così la normativa potrà trasformarsi da adempimento obbligatorio in strumento reale di protezione e innovazione.

Visualizzazioni: 0