ISGroup Consultoría de Ciberseguridad

Referente CSIRT y obligaciones NIS2 Decreto Legislativo 138 2024

La institucionalización del Referente CSIRT nace de la necesidad de garantizar la resiliencia operativa a los sujetos públicos y privados considerados críticos según la Directiva NIS2 y su transposición nacional mediante el D.Lgs. 138/2024. No se trata de un trámite burocrático, sino de un dispositivo técnico-operativo oficial entre las organizaciones y el CSIRT Italia, en el ámbito de la Agencia para la Ciberseguridad Nacional (ACN).

Contexto normativo y actos de aplicación

El Referente CSIRT fue introducido por el Decreto Legislativo del 4 de septiembre de 2024, n. 138, en vigor desde el 16 de octubre de 2024, que transpone la Directiva (UE) 2022/2555 (NIS2). Afecta a los sujetos definidos como “esenciales” e “importantes”, imponiendo obligaciones específicas de seguridad y notificación.

  • Determinación ACN n. 250916/2025 (19 de septiembre de 2025): define el procedimiento de designación del Referente CSIRT.
  • Determinación ACN n. 333017/2025: actualiza la normativa relativa al Referente y a sus sustitutos.
  • Determinación ACN n. 164179/2025: establece los criterios para la definición de “incidente significativo” y los tipos IS-1, IS-2, IS-3, IS-4 sujetos a notificación.

La obligación de nombramiento está fijada para antes del 31 de diciembre de 2025.

Identikit y requisitos del Referente CSIRT

El Referente CSIRT debe ser una persona física, no una estructura o sociedad. Debe identificarse con nombre, apellidos, código fiscal y dirección de correo electrónico. El nombramiento no es efectivo hasta que se complete el registro personal mediante SPID o CIE en el Portal de Servicios de la ACN.

Competencias mínimas requeridas

  • Seguridad informática: comprensión de las amenazas digitales.
  • Gestión de incidentes: experiencia operativa en el tratamiento de crisis digitales.
  • Conocimiento de la organización: dominio de los sistemas de información, arquitecturas de red e infraestructuras digitales del sujeto en el que opera.

El referente debe saber analizar registros (logs), dialogar con sistemas de monitorización y evaluar la significatividad de los eventos según el art. 25 del decreto.

Nombramiento y modalidades operativas

El nombramiento debe realizarse entre el 20 de noviembre y el 31 de diciembre de 2025 y se articula en dos fases:

  1. El Punto de Contacto (PdC) introduce los datos del referente en el portal de la ACN.
  2. El referente accede personalmente al portal para completar el censo.

En ausencia de esta segunda fase, la designación sigue siendo ineficaz para la normativa.

Funciones operativas del Referente CSIRT

El Referente CSIRT desempeña un papel de supervisión técnica y organizativa para la gestión de los incidentes informáticos.

  • Detección y análisis de anomalías y validación técnica de las notificaciones.
  • Coordinación interna entre el departamento de TI, CISO, departamento legal, DPO y la dirección de la empresa.
  • Comunicaciones técnicas y envío de notificaciones obligatorias al CSIRT Italia.

De este modo, se garantiza una información oportuna y autorizada hacia la autoridad nacional en momentos de crisis.

Gestión de las notificaciones

  1. Pre-notificación en un plazo de 24 horas: aviso inicial con detalles sobre la naturaleza y posible impacto transfronterizo.
  2. Notificación en un plazo de 72 horas: actualización con evaluación de la gravedad, el impacto e indicadores de compromiso (IoC).
  3. Informe final en un plazo de 1 mes: detalles sobre las causas, las medidas de mitigación adoptadas y el impacto global.

El referente también puede ocuparse de notificaciones voluntarias sobre amenazas o cuasi-incidentes según el art. 26, sin cargas adicionales para el notificante.

Punto de contacto y Referente CSIRT: diferencias

  • Punto de Contacto (PdC) – Rol institucional de gestión: administra el registro, la actualización de datos y recibe comunicaciones oficiales. Es siempre interno a la organización.
  • Referente CSIRT – Rol técnico operativo: gestiona incidentes, envía notificaciones técnicas e interactúa con el CSIRT Italia. Puede ser interno o externo.

En realidades de dimensiones reducidas, ambos roles pueden coincidir, manteniendo siempre diferenciadas las funciones en los procedimientos internos.

Delegaciones, sustitutos y responsabilidades

La designación del Referente CSIRT constituye una delegación operativa y funcional para la gestión de las notificaciones. La ejecución material es tarea del referente, mientras que la responsabilidad jurídica final sobre las medidas de seguridad y las obligaciones NIS2 recae en los órganos de administración y dirección, según lo previsto en el art. 23 del decreto.

Es posible nombrar a uno o más sustitutos, con los mismos requisitos técnicos y la obligación de completar personalmente el censo. La falta de nombramiento de sustitutos puede comprometer la disponibilidad 24/7 y la continuidad operativa.

Consecuencias de la falta de designación

  • Sanciones administrativas según el art. 38 del D.Lgs. 138/2024.
  • Imposibilidad de gestionar notificaciones obligatorias a partir del 1 de enero de 2026.
  • Daño reputacional y exposición a inspecciones por parte de la ACN.

El Referente CSIRT representa la figura operativa central para la ciberseguridad empresarial en el ámbito NIS2: actúa como nexo de unión entre técnicos, dirección y autoridad nacional, asegurando continuidad, puntualidad y calidad en la gestión de los incidentes informáticos.

In

, , ,