Il Computer Security Incident Response Team (CSIRT) è una unità specializzata nella gestione degli incidenti di sicurezza informatica. La sua funzione principale è monitorare, intercettare e analizzare le minacce di sicurezza informatica, rispondendo così all'esigenza di proteggere aziende e organizzazioni di ogni dimensione dagli attacchi informatici, che sono sempre più avanzati e dannosi.
I CSIRT non si limitano alla gestione degli incidenti, ma svolgono un ruolo cruciale anche nella prevenzione. Attraverso la creazione di procedure standardizzate e la diffusione di avvisi e bollettini, essi aiutano le organizzazioni a prepararsi contro le future minacce. Nello specifico, le principali funzioni e responsabilità di un CSIRT includono:
(i) monitoraggio e rilevamento: monitoraggio continuo delle reti per rilevare qualsiasi attività sospetta o malevola;
(ii) analisi degli incidenti: una volta individuato l’incidente, il CSIRT analizza la natura e l’origine dell’attacco per comprendere come è stato eseguito e quali vulnerabilità sono state sfruttate;
(iii) coordinamento della risposta: dopo l’analisi, il CSIRT coordina la risposta, che può comprendere il contenimento dell’attacco e la mitigazione dei danni;
(iv) ripresa delle operazioni: il team lavora per ripristinare rapidamente le normali operazioni, garantendo la continuità delle funzioni aziendali con il minimo impatto.
(v) comunicazione: il CSIRT mantiene informati e aggiornati gli stakeholder interni ed esterni, inclusi i clienti, i partner e le autorità, sullo stato delle minacce e sulle azioni di risposta.
Il CSIRT collabora con un Security Operations Center (SOC) e altre entità di sicurezza per garantire una risposta efficace e tempestiva agli incidenti. Questa collaborazione è essenziale per un approccio olistico alla sicurezza informatica, che prevede la condivisione di informazioni e best practices tra diversi team e organizzazioni.
In Italia, il CSIRT nazionale è istituito presso l’Agenzia per la cybersicurezza nazionale (ACN), in attuazione di quanto previsto dal d.l.14 giugno 2021, n. 82, convertito con modificazioni dalla legge 4 agosto 2021, n. 109, e svolge un ruolo centrale nella gestione degli incidenti cibernetici a livello statale.
A livello regionale, un’importante innovazione è stata introdotta con la legge regionale della Toscana 9 dicembre 2024, n. 57, recante Disciplina dell’innovazione digitale nel territorio regionale e tutela dei diritti di cittadinanza digitale. Tale legge, che modifica la L.R. 54/2009, rafforza il quadro normativo regionale in materia di trasformazione digitale e sicurezza informatica, delineando un sistema più integrato di governance tecnologica e tutela dei diritti digitali. In particolare, l’articolo 16 della legge disciplina le funzioni del Computer Security Incident Response Team della Toscana (CSIRT Toscana), struttura operativa incaricata della gestione e della prevenzione degli incidenti di sicurezza informatica a livello regionale. Tra le sue principali competenze rientrano il monitoraggio e l’analisi dei rischi e delle minacce cyber che interessano il territorio, l’emissione di preallarmi, allerte e annunci, nonché la divulgazione di informazioni rilevanti agli operatori coinvolti. Il CSIRT riceve notifiche di incidenti informatici, sia obbligatorie sia volontarie, curandone l’eventuale trasmissione alle autorità nazionali competenti e coordinando, ove necessario, le attività di analisi e risposta. In caso di incidente, è previsto un intervento diretto volto a contenere i danni e a garantire il ripristino dei servizi.
Il CSIRT Toscana si occupa inoltre dell’analisi dinamica dei rischi e degli incidenti, della promozione della sensibilizzazione situazionale in materia di sicurezza e resilienza cibernetica e partecipa attivamente alla rete nazionale dei CSIRT italiani. È previsto anche l’esercizio di ulteriori funzioni eventualmente conferite dall’Agenzia per la cybersicurezza nazionale (ACN), nonché lo svolgimento di altri compiti individuati con apposita deliberazione regionale, in conformità alla normativa di settore.