La guida di attuazione NIS distingue il ruolo legale di Punto di contatto dalla funzione operativa di referente CSIRT per interlocuzione e notifiche incidente. I soggetti dovrebbero formalizzare sia l’accountability di governance sia l’esecuzione operativa, per garantire continuità sugli obblighi di notifica.
Fonti: Decreto legislativo 138/2024, Guida ACN gestione incidenti
Punti chiave
- Il Punto di contatto è una figura formalmente designata nel framework NIS.
- Il referente CSIRT gestisce interlocuzione con CSIRT Italia e flussi di notifica incidente.
- Il referente CSIRT dovrebbe avere almeno un sostituto per garantire continuità operativa.
- Assegnazione ruoli, competenze e modello di delega devono essere documentati e auditabili.
Fonti: Guida ACN gestione incidenti, Decreto legislativo 138/2024
Modello ruoli in pratica
1. Punto di contatto (ancora legale/governance)
Il Punto di contatto è la persona fisica designata ai sensi delle disposizioni NIS applicabili per le interazioni di framework.
2. Referente CSIRT (interfaccia operativa)
Il referente CSIRT cura l’interlocuzione con CSIRT Italia ed esegue le notifiche obbligatorie per conto del soggetto.
3. Modello sostituzione e continuità
Per evitare gap operativi nelle finestre di notifica urgenti, dovrebbe essere definito almeno un sostituto per le attività del referente.
4. Mappatura competenze e responsabilità
Il soggetto dovrebbe documentare skill richieste, responsabilità assegnate e coordinamento interno con funzioni cyber, legali e direzionali.
Fonti: Guida ACN gestione incidenti
Set minimo di evidenze per prontezza ruolo
| Area | Obiettivo pratico | Evidenze tipiche |
|---|---|---|
| Designazione ruoli | Modello nomine formale e aggiornato | Atti di nomina, matrice ruoli |
| Copertura sostituti | Continuità interfaccia CSIRT e notifiche | Record sostituzioni, piano copertura |
| Allineamento procedure | Ruoli integrati nei flussi incidente/notifica | SOP incidenti, procedura notifica, registro contatti |
| Baseline competenze | Titolari ruolo con profilo adeguato | Registri formazione, evidenze qualificazione |
Fonti: Guida ACN gestione incidenti
Checklist operativa per 90 giorni
- Verificare designazione legale e dati a registro del Punto di contatto.
- Confermare assegnazione referente CSIRT e almeno un sostituto attivo.
- Allineare playbook di risposta incidente ai compiti e handoff di ruolo.
- Validare canali di contatto e modello di reperibilità tramite simulazione.
- Mantenere sincronizzati i record di governance ruoli con cambi organizzativi.
FAQ
Punto di contatto e referente CSIRT coincidono sempre?
Possono essere associati operativamente, ma la guida distingue designazione legale e compiti operativi di interlocuzione CSIRT.
Fonti: Guida ACN gestione incidenti
Il sostituto è necessario per le attività CSIRT?
La guida indica la necessità di copertura sostitutiva per garantire continuità nelle interlocuzioni e notifiche obbligatorie.
Fonti: Guida ACN gestione incidenti
Cosa auditare per primo sulla conformità dei ruoli?
Atti di designazione, copertura sostituti, procedure incidente/notifica e evidenze di competenza e readiness di attivazione.
Fonti: Guida ACN gestione incidenti, Decreto legislativo 138/2024