Nomina referente CSIRT
ACN con la determinazione 333017/2025 ha confermato o aggiornato - fra il resto - termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale e le informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS.
La principale novità è quella che impone ai soggetti di NIS, tramite il Punto di Contatto, di designare il referente CSIRT - entro il 31 dicembre 2025 - tramite la dedicata procedura telematica resa disponibile dal Portale ACN.
Compito del referente CSIRT è quello di interloquire con lo CSIRT Italia, di cui all’articolo 2, comma 1, lettera i) del decreto NIS, ed effettuare le notifiche di cui agli articoli 25 e 26 del medesimo decreto per conto del soggetto NIS.
Possono essere altresì designati, con le medesime modalità, anche uno o più sostituti del referente CSIRT. Questo al fine di assicurare il tempestivo svolgimento dei compiti del referente CSIRT, in particolare con riferimento alla notifica degli incidenti significativi di cui all’articolo 25 del decreto NISIl referente CSIRT e i suoi sostituti, ove designati, devono possedere almeno competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale operano.
Per chiarimenti si veda la pagina dedicata alle FAQ sul sito di ACN
Obbligo di segnalazione degli incidenti per le aziende NIS2 dal 1° gennaio 2026
Con l’entrata in vigore progressiva della Direttiva NIS2, le aziende che operano nei settori ritenuti essenziali o importanti per il funzionamento dello Stato e dei servizi critici sono ora soggette a obblighi più stringenti in materia di cybersecurity, in particolare per quanto riguarda la segnalazione tempestiva degli incidenti informatici.
Le aziende classificate come NIS devono adottare un approccio responsabile e proattivo nella gestione degli incidenti.
Tra gli obblighi principali:
- Notifica preliminare entro 24 ore dall’identificazione di un incidente significativo.
- Notifica completa entro 72 ore, con tutti i dettagli utili alla valutazione dell’impatto.
Report finale entro un mese, contenente analisi approfondita, misure correttive ed eventuali azioni di mitigazione adottate.
Sanzioni
La mancata segnalazione degli incidenti può comportare pesanti sanzioni amministrative, che per alcune categorie possono raggiungere milioni di euro, oltre a responsabilità specifiche per i vertici aziendali.
Sanzioni economiche
- Soggetto essenziale, la sanzione può arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo, a seconda di quale cifra risulti maggiore.
- Soggetto importante, la sanzione può raggiungere 7 milioni di euro oppure 1,4% del fatturato globale annuo.
Altre conseguenze amministrative o operative
- Possibilità di ricevere ordini vincolanti per porre rimedio alla situazione - ad esempio obblighi di adeguamento di misure di sicurezza, audit, restrizioni operative.
- In casi gravi o ripetuti, possono essere adottate misure pubbliche: notifiche pubbliche dell’infrazione, comunicazioni ai clienti/utenti, perdita di fiducia, danni reputazionali.
- Per i soggetti essenziali, in casi di inadempienze gravi, si può arrivare anche alla sospensione di autorizzazioni o certificazioni o al divieto temporaneo per dirigenti di ricoprire ruoli manageriali.
Responsabilità personale dei vertici aziendali - La normativa attribuisce la responsabilità anche a livello di direzione: in caso di negligenza grave, i dirigenti possono essere personalmente ritenuti responsabili.