ACN ha chiarito la possibilità di nominare un Referente CSIRT esterno alle organizzazioni per la gestione degli incidenti ma questo ha portato ad una serie di incomprensioni che è bene affrontare nel presente articolo.
CSIRT cosa vuol dire
CSIRT è l’acronimo per Computer Security Incident Response Team e fa riferimento alla funzione organizzativa destinata alla gestione e risposta agli incidenti informatici. L’Italia ha uno CSIRT nazionale denominato per l’appunto CSIRT Italia e istituito presso l’Agenzia di Cybersicurezza Nazionale (ACN) nel 2018. Le funzioni dello CSIRT Italia sono:
- il monitoraggio degli incidenti a livello nazionale;
- l’emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti;
- l’intervento in caso di incidente;
- l’analisi dinamica dei rischi e degli incidenti;
- la sensibilizzazione situazionale;
- la partecipazione alla rete dei CSIRT;
- servizio di monitoraggio delle potenziali vulnerabilità sugli asset esposti.
Maggiori informazioni sullo CSIRT Italia sono reperibili presso la pagina web dedicata sul portale dell’ACN.
Chi è il Referente CSIRT
La Determinazione ACN 379887/2025, che aggiorna la precedente determinazione (333017 del 22 settembre 2025), stabilisce la necessità di nominare un Referente CSIRT, ossia un punto di contatto tra il soggetto NIS (l’organizzazione) e lo CSIRT Italia presso l’ACN. È, quindi, la persona che comunica ad ACN un incidente ma è anche la persona con cui ACN può decidere di interagire per la mitigazione dell’incidente stesso e per tale ragione il Referente CSIRT dovrebbe possedere comprovate capacità tecniche e operative.
[…] purché possieda almeno competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto NIS per conto del quale opera.
Durante l’incidente di sicurezza ACN si aspetta di trovare qualcuno in grado di operare direttamente e con competenza sui sistemi informatici dell’organizzazione o che sia in grado di conoscerli al punto da decidere/coordinare/monitorare eventuali interventi interni.
Perché scegliere un referente esterno?
Alcune organizzazioni, per dimensioni o struttura, non possiedono le capacità di gestione dei sistemi informativi all’interno e quindi appaltano tali conoscenze ad organizzazioni esterne specializzate; per tale ragioni sarebbe irragionevole non consentire di nominare un referente esterno dello CSIRT. La nomina di un referente esterno è quindi motivata da ragioni tecniche e di operatività aventi lo scopo, come già scritto, di rendere più efficiente la gestione dell’incidente, il suo contenimento e a sua mitigazione. Non è un caso che la stessa ACN, facendo esempi di figure esterne plausibili, si riferisca a “responsabile del SOC/CERT o della gestione dell’infrastruttura IT esternalizzata”.
Nel consegue che il Referente CSIRT esterno deve essere una figura tecnica e operativa: deve possedere le adeguate conoscenze tecniche sui sistemi in funzione nell’organizzazione e sui quali deve poter operare direttamente in modo corretto e con competenza. Troppo spesso, infatti, si dimentica quanto già prescritto da ACN nella “Guida alla Notifica degli Incidenti allo CSIRT Italia“:
Dopo aver ricevuto la segnalazione […] il CSIRT Italia, compatibilmente con le risorse a disposizione e la criticità del soggetto segnalante, valuterà l’opportunità di fornire supporto nelle operazioni di incident handling, da remoto o in loco. Durante questa fase, in base alla tipologia del soggetto segnalante e alla normativa vigente, su richiesta del CSIRT Italia potranno essere effettuate ulteriori attività anche a seguito della risoluzione dell’incidente. (Cap. 3 – Gestione della Notifica)
Un esempio del “supporto nelle operazioni di incident handling” si può trovare anche nella procedura di gestione dei ransomware contenuta nel documento “Ransomware – Caratteristiche, preparazione e risposta agli attacchi ransomware” in cui si fa riferimento, ad esempio, alle attività forensi.
Dare anche inizio alle attività di analisi forense predisponendo il supporto alle autorità per l’acquisizione, la conservazione conforme e l’identificazione di tracce in immagini di dischi, memoria, logs e altri artefatti.
La predisposizione del supporto di cui parla è proprio parte dell’incident handling di cui scrive l’ACN ed è parte rilevante per la gestione del fenomeno.
La nomina errata e lo scarico di responsabilità
È inutile girare intorno al problema: molte organizzazioni vogliono un referente CSIRT esterno per liberarsi della responsabilità nei confronti di ACN ma tale considerazione è errata nella forma e nella sostanza. La stessa Agenzia ha chiarito molto bene che la nomina di un referente CSIRT esterno non sposta la responsabilità dal soggetto NIS.
Si evidenzia che la designazione del referente CSIRT è una delega “operativa” e non costituisce una delega di responsabilità, in quanto ai sensi dell’articolo 23 del Decreto NIS, in prima battuta, la responsabilità delle violazioni è posta in capo ai vertici (organi di amministrazione e direttivi), ovvero ai componenti del Consiglio di amministrazione [(CDA) e/o assimilabili)].
Tra l’altro sarebbe bene notare che la definizione “delega operativa” conferma quanto scritto precedentemente in merito alla capacità tecnica del referente esterno individuato. Quindi non solo non vi è una delega della responsabilità ma, se possibile, vi è l’obbligo di nominare un referente esterno con competenza acclarata e per ragioni adeguate.
Sbagliare la nomina significa, quindi, rallentare/compromettere il processo di gestione dell’incidente, con ripercussioni negative sull’attività. Immaginiamo lo scenario in cui un soggetto NIS abbia incaricato un Referente CSIRT esterno che non conosce adeguatamente i sistemi informatici, che non è esperto in temi di cybersecurity, che non è in grado di operare direttamente o che magari non risiede nemmeno nella medesima città del soggetto NIS. Tutto quello che questa persona potrà fare è il “passacarte” tra lo CSIRT Italia e il soggetto NIS, allungando inutilmente la catena di comunicazione. Questa è esattamente il fenomeno da evitare proprio perché l’incident handling deve avvenire in modo fluido, tempestivo e chiaro.
Conclusioni
Il Referente CSIRT è un ruolo cruciale per la gestione di un incidente: è una figura tecnica, operativa, con conoscenza approfondita dei sistemi e delle reti del soggetto NIS e può quindi essere in grado di supportare lo CSIRT Italia nelle varie operazioni di gestione necessarie. La nomina di un referente esterno non deve essere intesa come uno “spostamento di responsabilità” ma come un effettiva delega operativa. È quindi possibile che vi sia la necessità di ricorrere a questo strumento, soprattutto quando i sistemi informatici sono in gestione a soggetti esterni all’organizzazione ma è bene ricordare che la responsabilità formale resta in capo al soggetto NIS di riferimento.
