ISGroup Cybersicherheitsberatung

CSIRT-Ansprechpartner: Pflicht gemäß NIS2 und Gesetzesdekret 138/2024

Die Benennung eines CSIRT-Ansprechpartners (Referente CSIRT) beeinflusst maßgeblich die Fähigkeit einer Organisation, auf Cyberkrisen zu reagieren und das Gesetzesdekret (D.Lgs.) 138/2024 einzuhalten. Mit der ACN-Bestimmung Nr. 333017/2025 müssen wesentliche und wichtige Einrichtungen diese Rolle im Zeitraum vom 20. November bis zum 31. Dezember 2025 festlegen. Die Entscheidung zwischen einer internen oder externen Ressource erfordert eine Analyse der technischen Kompetenzen, der Geschäftsprozesse und der rechtlichen Verantwortlichkeiten, die im nationalen Rechtsrahmen vorgesehen sind.

Obligatorische Mindestanforderungen für den CSIRT-Ansprechpartner

Artikel 7 der Bestimmung 333017/2025 legt fest, dass der CSIRT-Ansprechpartner und seine etwaigen Stellvertreter über multidisziplinäre Anforderungen verfügen müssen, die für die Arbeit und Interaktion mit dem CSIRT Italia unerlässlich sind. Diese Kriterien sind substanziell und dürfen nicht vernachlässigt werden.

  • Kompetenzen in der Cybersicherheit: Es ist mindestens eine Grundkompetenz erforderlich, die es ermöglicht, die Art der Bedrohungen zu verstehen und technisch mit der nationalen Behörde zu kommunizieren. Notwendig sind Fähigkeiten zur Log-Analyse und zum Dialog mit den für das Monitoring zuständigen Stellen (SOC).
  • Incident Management: Praktische Erfahrung in der Bewältigung digitaler Krisen ist erforderlich. Der Ansprechpartner muss zwischen einer Routineanomalie und einem „signifikanten Vorfall“ gemäß Artikel 25 des NIS2-Dekrets und der ACN-Bestimmung Nr. 164179/2025 unterscheiden können.
  • Kenntnis von Netzwerken und Systemen: Beherrschung der IT/OT-Architektur der NIS-Einrichtung ist erforderlich, um zeitnahe und vollständige Meldungen innerhalb der Zeitfenster von 24 und 72 Stunden zu verwalten.

Diese Rolle ähnelt dem Profil des „Cyber Incident Responder“ gemäß ENISA, mit Aufgaben in der technischen Berichterstattung und der Zusammenarbeit mit Rechts- und Technikabteilungen.

Interne Option: CISO und IT-Manager

Viele Organisationen wählen den CSIRT-Ansprechpartner intern aus. Die am besten geeigneten Rollen sind CISO, IT-Leiter, CTO oder Cybersecurity Manager.

Vorteile der internen Rolle

  • Integration in die Prozesse: Eine interne Ressource kennt die Entscheidungsdynamik, die Informationssysteme und die Schlüsselpersonen (Rechtsabteilung, Kommunikation, Geschäftsführung).
  • Präferenz der Behörde: Die ACN-FAQs unterstreichen eine Präferenz für den internen Ansprechpartner.
  • Direkte Kontrolle: Ermöglicht eine sofortige Reaktion ohne die Notwendigkeit vertraglicher Eskalationen.

Nachteile und Risiken

  • Operative Überlastung: In mittleren Kontexten verfügen der CISO oder IT-Manager möglicherweise nicht über genügend Zeit, um die 24/7-Meldepflichten zu gewährleisten, insbesondere bei komplexen Vorfällen.
  • Single Point of Failure: Ohne Stellvertreter kann der interne Ansprechpartner bei Abwesenheit zu einem Engpass werden.

Outsourcing-Option: Externe Fachleute und SOC

Die ACN-Bestimmung sieht vor, dass der CSIRT-Ansprechpartner extern sein kann: Leiter eines SOC, ausgelagertes CERT oder externer IT-Dienstleister.

Vorteile des Outsourcings

  • H24/7-Präsenz: Spezialisierte Partner garantieren eine kontinuierliche Abdeckung, was für die Einhaltung der Vorabmeldung innerhalb von 24 Stunden entscheidend ist.
  • Vertikale Kompetenzen: Zugang zu zertifizierten Experten, die über aktuelle Bedrohungen informiert sind.
  • Reduzierung der Fixkosten: Für KMU oder Unternehmen ohne internes Cyber-Team wird die direkte Einstellung von Spezialisten vermieden.

Obligatorische vertragliche Bindungen

  • Operative Verantwortlichkeiten und Vertraulichkeitsverpflichtungen.
  • Zugriffsmodalitäten auf die IT-Systeme des Unternehmens zur Erfassung von Logs und Beweismitteln.
  • Garantierte Reaktionszeiten (SLA) im Falle eines Vorfalls.
  • Zuständigkeit für die Kommunikation gegenüber dem CSIRT Italia und Datenschutzrollen (DSGVO).

Unternehmen wie Infor (BeeCyber), Argo Cyber, Axitea und Axera bieten „Referente CSIRT as a Service“-Dienste an, wobei eine vorherige Bewertung und Gap-Analyse obligatorisch sind.

Strategische Auswahlkriterien

  • Große/wesentliche Organisationen: Verfügen über einen internen CISO, unterstützt durch ein internes oder externes SOC für die Erkennung.
  • Mittlere/wichtige Organisationen: Nutzen oft ein gemischtes Modell mit internem Ansprechpartner und Unterstützung durch externe Berater.
  • KMU und kleine Einrichtungen: Greifen verstärkt auf Outsourcing zurück oder vereinen die Rolle des Kontaktpunkts (PdC) und des CSIRT-Ansprechpartners, was nur möglich ist, wenn die Rolle intern bleibt.

Die Stellvertreter: Betriebskontinuität

Artikel 7, Absatz 3 der Bestimmung 333017/2025 erlaubt die Ernennung eines oder mehrerer Stellvertreter für den CSIRT-Ansprechpartner. Diese Wahl ist eine wesentliche Best Practice.

  • Sie müssen über identische technische Anforderungen und Systemkenntnisse wie der Hauptansprechpartner verfügen.
  • Sie können auf dem ACN-Portal agieren und bei Abwesenheit des Hauptverantwortlichen Meldungen senden.
  • Jeder Stellvertreter muss sich individuell über SPID oder CIE auf dem Portal authentifizieren.

Das Fehlen von Stellvertretern kann die Vorabmeldung innerhalb von 24 Stunden verhindern und zu Verstößen gegen Artikel 25 des NIS2-Dekrets führen.

Operative Befugnisse und rechtliche Verantwortung

  • Der CSIRT-Ansprechpartner handelt auf Basis einer technisch-operativen Vollmacht.
  • Die endgültige Verantwortung für NIS2-Verpflichtungen und Sicherheitsmaßnahmen verbleibt bei den Verwaltungs- und Leitungsorganen gemäß Artikel 23 des D.Lgs. 138/2024.
  • Die Unternehmensführung muss den Incident-Management-Plan genehmigen und angemessene Ressourcen sicherstellen.

Grundlegendes NIS2-Organigramm

  1. Leitungsorgane: Sanktionsverantwortung und Genehmigung der Richtlinien.
  2. Kontaktpunkt (PdC): Institutioneller Vertreter gegenüber der ACN für die administrative Konformität.
  3. CSIRT-Ansprechpartner: Technische Schnittstelle zum CSIRT Italia.
  4. Unterstützungsfunktionen: IT, Rechtsabteilung, Datenschutzbeauftragter (DPO), Kommunikation.

Die Auswahl des CSIRT-Ansprechpartners sollte als Schaffung einer vitalen Schnittstelle zwischen technologischer und entscheidungsorientierter Komponente verstanden werden. Die Wirksamkeit hängt von der Fähigkeit ab, unter Druck zu arbeiten, und von der Integration in den Incident-Response-Plan der Organisation.

In

, , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *