ISGroup Consultoría de Ciberseguridad

Nombramiento obligatorio del Referente CSIRT en el Portal ACN 2025

La institucionalización del Referente CSIRT, formalizada por la Agencia para la Ciberseguridad Nacional (ACN) a través de la Determinación n. 333017/2025, establece un camino obligatorio y plazos precisos para todos los sujetos incluidos en el perímetro de la Directiva NIS2. Todo el procedimiento se realiza en el Portal de Servicios de la ACN con fases definidas, responsabilidades técnicas y verificaciones basadas en una autenticación digital robusta.

Plazos y cronograma en el portal de la ACN

  • 20 de noviembre de 2025: Se abre el procedimiento telemático de designación del Referente CSIRT y de sus posibles sustitutos en el Portal de la ACN.
  • 31 de diciembre de 2025: Fecha límite para completar el procedimiento de nombramiento. Después de esta fecha, el sujeto NIS se considera no conforme y está sujeto a sanciones según el artículo 38 del Decreto NIS2.
  • Diciembre de 2025: Mes de suspensión de la transmisión de declaraciones para permitir la transición a los sistemas de 2026.
  • 1 de enero – 28 de febrero de 2026: Apertura del Registro 2026 para la Declaración anual. Todos los sujetos deben confirmar o modificar los datos del Referente CSIRT y de los sustitutos.
  • 15 de abril – 31 de mayo: Ventana anual para actualizar la información y asegurar la disponibilidad constante.

Verificación preliminar: rol y datos del Punto de Contacto (PdC)

  1. El Punto de Contacto es el único habilitado para iniciar el procedimiento de designación.
  2. Verifique que el PdC esté registrado en la plataforma NIS y que los datos estén actualizados.
  3. El PdC accede al Portal de la ACN mediante identidad digital (SPID o CIE).
  4. El mapeo de los servicios esenciales/importantes debe estar completado, con la identificación de la persona designada como Referente CSIRT.

Procedimiento telemático de designación

  • El PdC accede a la sección “Aggiornamento dati” (Actualización de datos) dentro del Portal de la ACN.
  • Debe insertar obligatoriamente el código fiscal y el correo electrónico del Referente CSIRT.
  • Puede insertar los datos de uno o más sustitutos (código fiscal y correo electrónico), lo cual es altamente recomendado para garantizar la disponibilidad 24/7.
  • El sistema genera una notificación automática a los interesados tras el envío.

Completar el nombramiento: acciones del Referente y los Sustitutos

  • El Referente CSIRT (y cada sustituto) accede personalmente al portal mediante su SPID o CIE personal.
  • Completa el perfil personal ingresando los datos requeridos.
  • Confirma la inscripción como Referente CSIRT o Sustituto para el sujeto NIS.
  • No se requiere cargar ningún documento: el nombramiento se realiza mediante autenticación fuerte.

Sustitutos y continuidad operativa

  • La designación de sustitutos no es obligatoria, pero evita el riesgo de un “punto único de fallo” (single point of failure).
  • Los sustitutos deben poseer las mismas competencias que el referente principal y pueden operar en su ausencia.
  • El procedimiento de designación es idéntico al del referente.

Declaración anual y actualización de datos

  • Del 1 de enero al 28 de febrero de 2026, todos los sujetos deben presentar la Declaración 2026 confirmando o modificando los datos del Referente CSIRT y de los sustitutos.
  • Después del 31 de diciembre de 2025, en caso de errores o urgencias, se puede insertar temporalmente el nombre del PdC, actualizando posteriormente al referente mediante la verificación de competencias.
  • Ventana de actualización ordinaria del 15 de abril al 31 de mayo.

Requisitos técnicos de acceso al portal

  • El acceso está permitido exclusivamente mediante SPID o CIE personal, sin credenciales simples.
  • Los roles de Referente CSIRT y sustitutos están registrados en la categoría de “usuarios” con permisos vinculados a la gestión de notificaciones de incidentes.
  • El portal admite el diálogo también en inglés y no impone límites de nacionalidad si se dispone de las herramientas de autenticación.

Sanciones y riesgos en caso de incumplimiento

  • El incumplimiento del procedimiento antes del 31 de diciembre de 2025 conlleva sanciones administrativas pecuniarias según el artículo 38 del Decreto Legislativo 138/2024.
  • Sin un referente registrado, no es posible enviar pre-notificaciones en un plazo de 24 horas ni notificaciones en 72 horas a través del portal, lo que agrava la posición en caso de un incidente real.
  • La ausencia del referente indica deficiencias en la gobernanza de la ciberseguridad y puede dar lugar a inspecciones por parte de la ACN.

Lista de verificación operativa

  1. Antes del 20/11/2025: Identifique al Referente y a los Sustitutos, verifique los requisitos técnicos.
  2. Del 20/11 al 31/12/2025: El PdC ingresa los datos en la sección “Aggiornamento dati” del portal.
  3. Simultáneamente: El Referente y los Sustitutos acceden con SPID/CIE y completan el registro.
  4. Verificación del estado “completado” o “activo” de la designación.
  5. Enero-Febrero 2026: Presentación de la declaración anual.

El procedimiento constituye una delegación funcional y operativa: el Referente actúa en el portal, pero la responsabilidad jurídica sobre la exactitud y puntualidad de la información recae en los órganos de administración del sujeto NIS.

In

, , , , , ,