Un cliente nos ha solicitado aclaraciones sobre la obligación de comunicar el referente CSIRT, preguntando si dicho cumplimiento está previsto solo para los sujetos públicos identificados en el art. 1, apartado 1, de la Ley n.º 90/2024, o si afecta a toda la audiencia de sujetos NIS. La respuesta proporciona un marco normativo preciso, basado en la Determinación ACN n.º 333017/2025 y en el Decreto Legislativo 138/2024, que implementa la directiva NIS2.
¿La comunicación del referente CSIRT es requerida a todos los sujetos NIS o solo a aquellos contemplados en el Art. 1, apartado 1, de la Ley 90/2024?
A continuación, la respuesta de Francesco Ongaro, fundador de ISGroup:
La designación del referente CSIRT es requerida a todos los sujetos NIS, independientemente de su inclusión entre aquellos identificados en el art. 1, apartado 1, de la Ley n.º 90/2024.
Esta obligación está prevista en el art. 7, apartado 1, de la Determinación ACN n.º 333017/2025, donde se establece que el referente CSIRT es una persona física designada por el punto de contacto mediante procedimiento telemático en el Portal ACN a partir del 20 de noviembre y hasta el 31 de diciembre de 2025.
No existe ninguna referencia que limite dicha obligación únicamente a los sujetos mencionados por la Ley 90/2024, la cual se refiere principalmente al cumplimiento del nombramiento del referente para la ciberseguridad en el ámbito público. La designación del referente CSIRT, por el contrario, es un cumplimiento previsto por la disciplina NIS2 (D. Lgs. 138/2024), aplicable a todos los sujetos NIS registrados.
La frase:
La designación del punto de contacto por parte de los sujetos a los que se refiere el artículo 1, apartado 1, de la ley del 28 de junio de 2024, n.º 90, que entran en el ámbito de aplicación del decreto NIS, puede satisfacer la obligación de nombramiento y comunicación del referente para la ciberseguridad a la que se refiere el artículo 8, apartado 2, de la misma ley.
significa que los sujetos públicos (indicados en el art. 1, apartado 1, de la Ley 90/2024) que también son sujetos NIS pueden evitar un doble nombramiento, es decir:
- si ya han designado al punto de contacto NIS,
- y este sujeto público entra en el ámbito de la Ley 90/2024,
entonces la designación del punto de contacto vale también como cumplimiento de la obligación de nombrar a un referente para la ciberseguridad según la Ley 90/2024.
Para profundizar en la distinción entre ambas figuras, véase también el análisis sobre la distinción entre punto de contacto y referente CSIRT en la Determinación ACN n.º 333017/2025.
Esta aclaración permite a los sujetos NIS cumplir correctamente con las obligaciones de designación del referente CSIRT, evitando duplicidades y garantizando la conformidad con las disposiciones de la ACN y la normativa NIS2. Para los sujetos que aún deben completar el registro o verificar su perímetro, es útil consultar también la guía sobre ACN y la lista NIS2: conformidad antes del 31 de marzo.
En ISGroup apoyamos a los sujetos NIS en la correcta aplicación de las obligaciones previstas por la normativa NIS2, desde la verificación del perímetro hasta la definición de un camino estructurado de conformidad con la NIS2, con asistencia técnica y de consultoría para la designación y comunicación del referente CSIRT.
[Callforaction-NIS2-Footer]