La institucionalización del Referente CSIRT, prevista por la Determinación ACN n. 333017/2025, consolida una estructura de cibergobernanza sólida. El Referente CSIRT representa el punto de conexión técnico y operativo entre el sujeto NIS (esencial o importante) y el CSIRT Italia. La integración de esta figura en el equipo de respuesta es fundamental para construir una resiliencia efectiva contra los incidentes cibernéticos.

Equipo de respuesta a incidentes: funciones y funcionamiento

El Referente CSIRT opera como nodo central en el Equipo de Respuesta a Incidentes (IRT, por sus siglas en inglés), garantizando una coordinación multidisciplinaria continua entre los diferentes departamentos de la empresa:

• Departamento de TI y Administradores de Sistemas: gestionan las redes, los sistemas y las aplicaciones. Apoyan el aislamiento de los sistemas comprometidos, aplican parches de emergencia y se ocupan del restablecimiento de los servicios. Colaboran con el Referente CSIRT para recopilar registros (logs) e indicadores de compromiso (IoC) necesarios para la notificación.
• Centro de Operaciones de Seguridad (SOC): si existe, supervisa los eventos y señala posibles incidentes. El Referente CSIRT valida técnicamente estas notificaciones para determinar si el evento es un incidente significativo según el art. 25 del Decreto NIS2.
• Función Legal y DPO: evalúa las obligaciones de notificación, los contenidos mínimos hacia el CSIRT Italia y otras autoridades, incluida la gestión de cláusulas de ciberseguridad en los contratos TIC. El apoyo legal también es necesario para las notificaciones al Garante de Privacidad en caso de violación de datos personales.
• Comunicación Corporativa: gestiona la comunicación hacia clientes, usuarios y medios de comunicación durante incidentes significativos, previniendo el pánico y la desinformación, alineándose regularmente con el Referente CSIRT.
• Dirección y Órganos de Administración: aprueban los planes de gestión de incidentes y las políticas de seguridad. El Referente CSIRT informa a los órganos de decisión sobre los impactos y puntos críticos para facilitar decisiones oportunas sobre la continuidad operativa.

Delegación operativa y responsabilidad jurídica

La designación del Referente CSIRT representa una delegación operativa y funcional. El Referente es el ejecutor de las obligaciones de notificación y constituye la interfaz técnica con las autoridades. Sin embargo, la responsabilidad final relativa al incumplimiento de las obligaciones NIS2 recae en los órganos de administración y dirección según el art. 23 del Decreto Legislativo 138/2024. Estos deben proporcionar recursos y apoyos adecuados, asegurando que la cadena de decisión sea eficaz y rápida para garantizar la puntualidad de las notificaciones (en un plazo de 24 o 72 horas). En caso de violación de las obligaciones, la responsabilidad y las sanciones administrativas pecuniarias corresponden exclusivamente a la alta dirección de la empresa.

Herramientas prácticas para la resiliencia

• Playbooks: La ACN recomienda la adopción de playbooks específicos por tipo de ataque (por ejemplo, ransomware, DDoS, spear-phishing). Cada fase de la respuesta está asociada a actividades y roles precisos, reduciendo la dependencia de personas individuales y facilitando la gestión incluso en ausencia de figuras dedicadas.
• Ejercicios de mesa (Table-top exercises): simulaciones de incidentes significativos que permiten probar el funcionamiento de la cadena de mando y los canales de comunicación internos. Estos ejercicios también ayudan a los miembros no técnicos del IRT a comprender los procedimientos de emergencia y las solicitudes de información del CSIRT Italia.
• Estándares de referencia: el proceso de gestión de incidentes debe ser coherente con el Marco Nacional de Ciberseguridad, con el NIST SP 800-61r3 y con las Directrices CAD, articulándose en las fases de preparación, detección, respuesta, recuperación y mejora.

Resumen

El Referente CSIRT desempeña un papel operativo dentro de un Equipo de Respuesta a Incidentes estructurado y multidisciplinario, en un ecosistema gobernado por responsabilidades claras y herramientas prácticas. El modelo delineado por el Decreto NIS2 requiere recursos adecuados, procedimientos formalizados y una gobernanza fluida para garantizar una respuesta resiliente y conforme a la normativa.