Governance della cybersicurezza e ampliamento degli obblighi NIS: la nuova determina ACN

L’Agenzia per la Cybersicurezza Nazionale ha pubblica una nuova Determina, la n. 333017/2025, che aggiorna e sostituisce la Determina n.283727/2025 del luglio scorso.

Dal 20/11/2025 al 31/12/2025 tramite il portale ACN nelle realtà soggette NIS il punto di contatto sarà tenuto a designare il referente CSIRT.

Il Referente CSIRT svolgerà un ruolo delicato e in tema di gestione e segnalazione degli incidenti significativi dovrà interfacciarsi con il CSIRT Italia: dovrà quindi essere in possesso di competenze specifiche in materia di cybersicurezza e l’organizzazione del servizio IT dei soggetti NIS dovrà essere complessa.

I due incarichi dovranno essere separati e assegnati a persone diverse, inoltre per garantire continuità operativa e rispettare i tempi stringenti di notifica (24 ore dalla conoscenza dell’incidente), potrebbe essere opportuno designare sostituti del punto di contatto e più di un referente CSIRT.