Il conto alla rovescia per la Direttiva NIS2 è ufficialmente iniziato: entro il 20 novembre 2025 tutte le organizzazioni incluse nel perimetro NIS2 dovranno designare e comunicare il referente CSIRT (Computer Security Incident Response Team) all’Agenzia per la Cybersicurezza Nazionale (ACN).
Si tratta di uno degli adempimenti chiave introdotti dal Decreto Legislativo n. 138/2024, che ha recepito in Italia la Direttiva (UE) 2022/2555, pilastro europeo per la costruzione di un livello comune elevato di cybersicurezza.
Cos’è la Direttiva NIS2 e perché è importante
La NIS2 nasce per innalzare la resilienza informatica dell’Unione Europea e prevenire le conseguenze di attacchi cyber che, sempre più spesso, colpiscono infrastrutture critiche e servizi essenziali.
Le nuove regole introducono obblighi di sicurezza, responsabilità dirette dei vertici aziendali e procedure standardizzate di gestione e notifica degli incidenti informatici.
L’obiettivo è creare un ecosistema digitale più sicuro, dove ogni attore — pubblico o privato — sia in grado di rilevare, gestire e segnalare tempestivamente gli incidenti che possono compromettere la continuità operativa o la sicurezza dei dati.
Chi è obbligato ad adeguarsi
La direttiva si applica a un’ampia platea di soggetti, pubblici e privati, che operano nei settori critici indicati negli allegati I e II della normativa:
energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione, servizi finanziari, fornitori di cloud, gestione acque e rifiuti, e altri comparti strategici.
Le scadenze principali da ricordare
Con l’avvicinarsi di novembre, è fondamentale che le imprese verifichino la propria posizione rispetto agli adempimenti della Direttiva NIS2.
Ecco le prossime tappe chiave:
- 20 nov – 31 dic 2025: Comunicazione Referente CSIRT – Ogni organizzazione deve designare il proprio referente per la gestione e la notifica degli incidenti e obbligo di definizione di un piano di Incident Response e Disaster Recovery (IRDR)
- Dal 1° gen 2026: Notifica incidenti – Obbligo di segnalazione entro 24 ore all’ACN
- Dal 1° ott 2026: Misure di sicurezza – Adozione completa delle misure tecniche e organizzative previste
Cosa comporta l’obbligo del referente CSIRT
Il referente CSIRT è la figura designata a interfacciarsi con l’ACN per la gestione, la tracciabilità e la notifica degli incidenti informatici. Può essere una figura interna o esterna, ma deve disporre delle competenze tecniche e organizzative per coordinare le attività di risposta agli incidenti e garantire la conformità normativa.
La nomina non è un atto formale ma implica anche la predisposizione di un piano di IRDR: segna un cambio di paradigma nella cultura aziendale, imponendo responsabilità dirette e un approccio proattivo alla cybersecurity.
Con il 20 novembre 2025 ormai alle porte, le aziende devono essere pronte a individuare il proprio referente CSIRT e a completare gli adempimenti previsti, tra cui la redazione di un piano di IRDR.
L’adeguamento non è più opzionale: è una priorità per garantire continuità, reputazione e resilienza.
La vera forza di un’azienda non è evitare gli attacchi, ma saperli affrontare.
Trasforma la compliance NIS2 in un vantaggio competitivo.