La identificación del Referente CSIRT influye en la capacidad de una organización para responder a las crisis cibernéticas y cumplir con el Decreto Legislativo 138/2024. Con la Determinación ACN n. 333017/2025, los sujetos esenciales e importantes deben designar a esta figura entre el 20 de noviembre y el 31 de diciembre de 2025. La elección entre un recurso interno o externo requiere un análisis de las competencias técnicas, los procesos empresariales y las responsabilidades legales previstas por el marco normativo nacional.

Requisitos mínimos obligatorios para el referente CSIRT

El artículo 7 de la Determinación 333017/2025 establece que el Referente CSIRT y sus posibles sustitutos deben poseer requisitos multidisciplinarios indispensables para operar e interactuar con el CSIRT Italia. Estos criterios son sustanciales y no pueden pasarse por alto.

• Competencias en ciberseguridad: Se requiere al menos una competencia básica que permita comprender la naturaleza de las amenazas e interlocutar técnicamente con la autoridad nacional. Se necesita capacidad de análisis de registros (logs) y diálogo con quienes gestionan la monitorización (SOC).
• Gestión de incidentes (Incident management): Es necesaria experiencia práctica en el tratamiento de crisis digitales. El referente debe distinguir entre una anomalía rutinaria y un “incidente significativo” según el artículo 25 del Decreto NIS2 y la Determinación ACN n. 164179/2025.
• Conocimiento de redes y sistemas: Se requiere dominio de la arquitectura IT/OT del sujeto NIS para gestionar notificaciones oportunas y completas en los plazos de 24 y 72 horas.

Esta figura se acerca al perfil del “Cyber Incident Responder” según ENISA, con tareas de elaboración de informes técnicos y colaboración con funciones legales y técnicas.

Opción interna: CISO y gerente de TI

Muchas organizaciones seleccionan al Referente CSIRT internamente. Los roles más indicados son CISO, Responsable de TI, CTO o Gerente de Ciberseguridad.

Ventajas de la figura interna

• Integración en los procesos: un recurso interno conoce las dinámicas de toma de decisiones, los sistemas de información y las figuras clave (legal, comunicación, dirección).
• Preferencia de la Autoridad: las preguntas frecuentes (FAQ) de la ACN destacan una preferencia por el referente interno.
• Control directo: permite una respuesta inmediata sin necesidad de escalaciones contractuales.

Desventajas y riesgos

• Sobrecarga operativa: en contextos medianos, el CISO o el Gerente de TI podrían no tener tiempo suficiente para supervisar las notificaciones 24/7, especialmente durante incidentes complejos.
• Punto único de fallo (Single Point of Failure): sin sustitutos, el referente interno puede convertirse en un cuello de botella durante las ausencias.

Opción de externalización: profesionales y SOC externos

La Determinación ACN prevé que el Referente CSIRT pueda ser externo: responsable de un SOC, CERT externalizado o gestor de TI en outsourcing.

Ventajas de la externalización

• Supervisión 24/7: los socios especializados garantizan una cobertura continua, fundamental para cumplir con la pre-notificación en un plazo de 24 horas.
• Competencias verticales: acceso a expertos certificados actualizados sobre las amenazas.
• Reducción de costes fijos: para PYMES o entidades sin equipo cibernético interno, evita la contratación directa de especialistas.

Obligaciones contractuales

• Responsabilidades operativas y obligaciones de confidencialidad.
• Modalidades de acceso a los sistemas informáticos de la empresa para la recopilación de registros y evidencias.
• Tiempos de respuesta garantizados (SLA) en caso de incidente.
• Titularidad de las comunicaciones hacia el CSIRT Italia y roles de privacidad (RGPD).

Empresas como Infor (BeeCyber), Argo Cyber, Axitea y Axera ofrecen servicios de “Referente CSIRT as a Service”, con la obligación de realizar una evaluación preliminar y un análisis de brechas (gap analysis).

Criterios estratégicos para la elección

• Organizaciones grandes/esenciales: disponen de un CISO interno, apoyado por un SOC interno o externo para la detección.
• Organizaciones medianas/importantes: a menudo utilizan un modelo mixto con un referente interno y el apoyo de consultores externos.
• PYMES y pequeñas entidades: recurren más a la externalización o unifican el PdC y el Referente CSIRT, lo cual es posible solo si la figura permanece interna.

Los sustitutos: continuidad operativa

El artículo 7, apartado 3, de la Determinación 333017/2025 permite el nombramiento de uno o más sustitutos del Referente CSIRT. Esta elección es una mejor práctica esencial.

• Deben poseer requisitos técnicos y de conocimiento de los sistemas idénticos a los del referente principal.
• Pueden operar en el Portal ACN y enviar notificaciones en caso de ausencia del titular.
• Cada sustituto debe autenticarse individualmente en el portal mediante SPID o CIE.

La ausencia de sustitutos puede impedir la pre-notificación en un plazo de 24 horas y conducir a infracciones del artículo 25 del Decreto NIS2.

Delegaciones operativas y responsabilidad legal

• El Referente CSIRT actúa mediante delegación técnico-operativa.
• La responsabilidad final por las obligaciones NIS2 y las medidas de seguridad recae en los órganos de administración y dirección, según el artículo 23 del D.Lgs. 138/2024.
• Los directivos de la empresa deben aprobar el plan de gestión de incidentes y garantizar los recursos adecuados.

Organigrama NIS2 básico

1. Órganos de dirección: responsabilidad sancionadora y aprobación de políticas.
2. Punto de Contacto (PdC): representante institucional ante la ACN para el cumplimiento administrativo.
3. Referente CSIRT: interfaz técnica ante el CSIRT Italia.
4. Funciones de soporte: TI, legal, DPO, comunicación.

La selección del Referente CSIRT debe vivirse como la creación de un nodo vital entre el componente tecnológico y el de toma de decisiones. La eficacia depende de la capacidad de operar bajo presión y de la integración con el plan de respuesta a incidentes de la organización.