NIS2 e Referente CSIRT esterno: cosa devono sapere le aziende

Perché se ne parla

La Direttiva (UE) 2022/2555 (NIS2) e il relativo decreto di attuazione richiedono a molte imprese, qualificate come essenziali o importanti, di strutturare processi di gestione degli incidenti e di interfacciarsi con le autorità competenti. Tra i presidi organizzativi rientra la figura del Referente CSIRT, incaricata dei rapporti formali in caso di incidente di sicurezza informatica.

È possibile nominare un Referente CSIRT esterno

La funzione può essere affidata a un soggetto esterno, purché siano garantite competenza, continuità operativa e tempestività nei rapporti con CSIRT Italia e Agenzia per la Cybersicurezza Nazionale. La responsabilità complessiva di conformità resta in capo all’impresa.

Di cosa si occupa e di cosa non si occupa

Il Referente CSIRT svolge una funzione comunicativa e procedurale: ricezione delle segnalazioni interne, valutazione della significatività ai fini di notifica, interlocuzione con le autorità, tracciamento degli adempimenti. Non coincide con il monitoraggio continuo dei sistemi, con la gestione tecnica dell’incidente o con attività di ripristino e disaster recovery, che richiedono accordi separati.

Dove si concentra il rischio per l’azienda

Il profilo più delicato riguarda tempi e correttezza delle notifiche. La normativa prevede finestre temporali ravvicinate per la comunicazione degli incidenti significativi. Ritardi o omissioni possono determinare sanzioni, responsabilità dell’organo amministrativo e ricadute organizzative. È quindi decisivo che il Referente venga attivato tempestivamente e abbia accesso alle informazioni necessarie.

Cosa serve in concreto per tutelarsi

È utile predisporre procedure interne semplici e praticabili: canali di segnalazione chiari, criteri condivisi per la classificazione dell’evento, un elenco dei dati e dei log essenziali da raccogliere, un punto di contatto sempre disponibile. Il personale va formato a riconoscere gli indicatori di incidente e a coinvolgere subito il Referente. Senza collaborazione attiva del cliente, nessun incarico esterno è sufficiente a garantire la conformità.

Cosa non aspettarsi dall’incarico esterno

In assenza di pattuizione specifica, la funzione di Referente CSIRT non comporta monitoraggio H24, interventi tecnici, blocco degli accessi, recupero dei dati o gestione del post–incidente. Sono attività con oggetto, oneri e responsabilità differenti, da regolare contrattualmente.

Clausole contrattuali utili

È opportuno definire con precisione: oggetto dell’incarico, canali e tempi di attivazione, documentazione minima da fornire, modalità di reperibilità, tracciamento delle comunicazioni, criteri per l’eventuale recesso, trattamento delle informazioni riservate. In linea con la disciplina generale, è frequente prevedere limiti di responsabilità proporzionati all’incarico, esclusione di danni indiretti e condizionamento del servizio alla tempestiva collaborazione dell’azienda.

Approccio consigliato

La nomina del Referente CSIRT esterno è uno strumento di conformità, non una delega totale della sicurezza. Funziona se collocata in un sistema organizzativo coerente, con ruoli interni chiari (IT, sicurezza, direzione), procedure essenziali e una catena decisionale rapida. Chiarezza di perimetro e documentazione degli adempimenti riducono il rischio di fraintendimenti e contenziosi.