La Direttiva UE 2022/2555, conosciuta come NIS2 e recepita in Italia con il D.Lgs. 138/24, introduce nuovi obblighi per gli operatori dei settori essenziali e importanti, chiedendo loro di adottare misure tecniche e organizzative in grado di garantire un elevato livello di sicurezza informatica.
Direttiva NIS2, cosa cambia entro il 31 dicembre?
Con la Determinazione 333017 del 19 settembre 2025 (che aggiorna la Determinazione 283727 del 22 luglio 2025), l’ACN - Agenzia per la Cybersicurezza Nazionale ha fornito ulteriori indicazioni operative. In particolare, all’articolo 7 viene richiesto alle aziende di individuare e comunicare entro il 31 dicembre 2025 un Referente CSIRT, una persona fisica designata dal Punto di Contatto, attraverso la procedura telematica disponibile sul Portale ACN.
L’ACN ha inoltre chiarito, tramite una FAQ pubblicata sul proprio sito, che questo che tale figura può essere esternalizzata. Ciò significa che, quando l’azienda non dispone internamente di una figura con le competenze necessarie - o non può assegnare l’incarico a un dipendente - è possibile affidarsi a un servizio esterno di Referente CSIRT, in grado di assolvere formalmente e operativamente alle responsabilità previste dalla normativa.
Outsourcing del Referente CSIRT: i benefici per le imprese
Questo servizio mette a disposizione figure altamente qualificate che operano come punto di riferimento formale e operativo per tutte le attività legate alla risposta agli incidenti, in conformità alla NIS2 e alle linee guida nazionali. In particolare, il referente CSIRT:
- Comunica con CSIRT Italia ed effettua le notifiche previste dagli articoli 25 e 26 del medesimo decreto per conto del soggetto NIS, favorendo al contempo il coordinamento e la comunicazione interna tra i team tecnici, la direzione e gli stakeholder;
- Supporta nella redazione delle comunicazioni successive agli incidenti (early warning, notifica completa e report finale);
- Possiede una conoscenza approfondita dei sistemi informativi e di rete del soggetto NIS per conto del quale opera;
- Affianca tempestivamente l’azienda nell’individuazione di uno o più referenti CSIRT sostituti in caso di incidente informatico;
- Supervisiona l’intero ciclo di vita dell’incidente (preparazione, rilevamento, analisi, risposta, recovery).
Il Referente CSIRT contribuisce inoltre al miglioramento delle procedure e delle misure di sicurezza, in coerenza con gli standard nazionali ed europei, coordinando esercitazioni e test periodici, analizzando vulnerabilità, minacce emergenti e rischi specifici per il settore di appartenenza dell’azienda per cui opera e fornire raccomandazioni strategiche per rafforzare la resilienza digitale.
A chi è rivolto il servizio
- Aziende e organizzazioni classificate come Enti Essenziali o Importanti ai sensi della NIS2;
- Società che non dispongono di un team interno di cybersecurity strutturato;
- Realtà che desiderano aumentare il livello di maturità cyber e ottimizzare il proprio modello di gestione degli incidenti.
Perché scegliere BDO per la compliance NIS2
Il nostro team di professionisti Cyber offre un servizio di Referente CSIRT in outsourcing progettato per fornire competenze specialistiche e continuità operativa senza la necessità di creare un team interno dedicato. Un servizio scalabile, senza oneri di assunzione, formazione o reperibilità interna, allineato in modo costante alle evoluzioni della normativa NIS2, delle linee guida dell’ACN e degli adempimenti nazionali.