ISGroup Consultoría de Ciberseguridad

Distinción entre punto de contacto y referente CSIRT en la Determinación ACN n. 333017/2025 – FAQ NIS2

Un cliente ha solicitado identificar, en la Determinación del Director de la ACN n.º 333017/2025, el punto donde se especifica que el referente CSIRT no puede coincidir con el punto de contacto ni con su sustituto. El análisis normativo muestra que la Determinación no contiene una prohibición expresa, pero introduce elementos que implican una separación funcional entre ambos roles, coherente con las finalidades operativas y organizativas previstas por la normativa NIS2.

¿Cuál es el punto preciso en la Determinación del Director de la ACN
333017 donde se afirma explícitamente que el referente CSIRT
no puede coincidir con el punto de contacto? ¿Ni tampoco con su
sustituto?

A continuación, la respuesta de Francesco Ongaro, fundador de ISGroup:

La Determinación no contiene una prohibición explícita en ese sentido.

Sin embargo:

El art. 7, apartado 1, establece que el referente CSIRT es designado por el punto de contacto. Esta formulación implica una distinción funcional entre ambos roles.

El referente CSIRT debe poseer al menos competencias básicas en materia de seguridad informática y gestión de incidentes informáticos (art. 7, apartado 5), mientras que no se requiere ningún requisito técnico para el punto de contacto.

En virtud de estos elementos, aunque no exista una incompatibilidad normativa expresa, se considera altamente recomendable la separación de los roles, sobre todo para garantizar la eficacia operativa y la conformidad sustancial con los principios de la gobernanza NIS2, en particular en lo relativo a la gestión de incidentes significativos y la puntualidad de las notificaciones (en un plazo de 24 horas).

Esta necesidad de separación es particularmente evidente en las empresas medianas y pequeñas, donde el único experto informático interno ya ha sido nombrado punto de contacto: en tales casos, el rol de referente CSIRT será probablemente confiado a un CISO externo.

Esta aclaración permite a los sujetos NIS cumplir correctamente con las obligaciones de designación del referente CSIRT, evitando duplicidades y garantizando la conformidad con las disposiciones de la ACN y la normativa NIS2.

Para los sujetos que están estructurando su proceso de conformidad con la NIS2, la correcta atribución de estos roles es uno de los pasos operativos que deben abordarse desde las primeras fases, junto con los demás requisitos previstos por la inscripción en el registro de la ACN.

[Callforaction-NIS2-Footer]

In