Ein Kunde hat uns um Klärung bezüglich der Meldepflicht für den CSIRT-Ansprechpartner gebeten. Er wollte wissen, ob diese Verpflichtung nur für die öffentlichen Stellen gilt, die in Art. 1 Abs. 1 des Gesetzes Nr. 90/2024 genannt sind, oder ob sie die gesamte Gruppe der NIS-pflichtigen Subjekte betrifft. Die Antwort liefert einen präzisen regulatorischen Rahmen, der auf der ACN-Bestimmung Nr. 333017/2025 und dem Gesetzesdekret 138/2024 basiert, welches die NIS2-Richtlinie umsetzt.

Ist die Meldung des CSIRT-Ansprechpartners für alle NIS-Subjekte erforderlich oder nur für diejenigen gemäß Art. 1 Abs. 1 des Gesetzes 90/2024?

Nachfolgend die Antwort von Francesco Ongaro, Gründer von ISGroup:

Die Benennung des CSIRT-Ansprechpartners ist für alle NIS-Subjekte erforderlich, unabhängig davon, ob sie zu den in Art. 1 Abs. 1 des Gesetzes Nr. 90/2024 genannten Stellen gehören.

Diese Verpflichtung ist in Art. 7 Abs. 1 der ACN-Bestimmung Nr. 333017/2025 festgelegt. Dort wird bestimmt, dass der CSIRT-Ansprechpartner eine natürliche Person ist, die vom Kontaktpunkt über ein telematisches Verfahren auf dem ACN-Portal ab dem 20. November und bis zum 31. Dezember 2025 benannt werden muss.

Es gibt keinen Hinweis darauf, dass diese Verpflichtung auf die im Gesetz 90/2024 genannten Stellen beschränkt ist; dieses Gesetz betrifft hauptsächlich die Ernennung eines Cybersicherheitsbeauftragten im öffentlichen Bereich. Die Benennung des CSIRT-Ansprechpartners hingegen ist eine Verpflichtung aus der NIS2-Regelung (Gesetzesdekret 138/2024), die für alle registrierten NIS-Subjekte gilt.

Der Satz:

Die Benennung des Kontaktpunkts durch die in Artikel 1 Absatz 1 des Gesetzes vom 28. Juni 2024, Nr. 90, genannten Stellen, die in den Anwendungsbereich des NIS-Dekrets fallen, kann die Verpflichtung zur Ernennung und Meldung des Cybersicherheitsbeauftragten gemäß Artikel 8 Absatz 2 desselben Gesetzes erfüllen.

bedeutet, dass öffentliche Stellen (gemäß Art. 1 Abs. 1 des Gesetzes 90/2024), die gleichzeitig NIS-Subjekte sind, eine doppelte Benennung vermeiden können, d. h.:

• wenn sie bereits den NIS-Kontaktpunkt benannt haben,
• und diese öffentliche Stelle in den Anwendungsbereich des Gesetzes 90/2024 fällt,

dann gilt die Benennung des Kontaktpunkts auch als Erfüllung der Verpflichtung zur Ernennung eines Cybersicherheitsbeauftragten gemäß Gesetz 90/2024.

Für eine vertiefte Untersuchung der Unterscheidung zwischen den beiden Rollen siehe auch die Analyse zur Unterscheidung zwischen Kontaktpunkt und CSIRT-Ansprechpartner in der ACN-Bestimmung Nr. 333017/2025.

Diese Klarstellung ermöglicht es NIS-Subjekten, ihre Verpflichtungen zur Benennung des CSIRT-Ansprechpartners korrekt zu erfüllen, Duplikate zu vermeiden und die Konformität mit den ACN-Bestimmungen sowie der NIS2-Richtlinie sicherzustellen. Für Subjekte, die ihre Registrierung noch abschließen oder ihren Anwendungsbereich überprüfen müssen, ist es zudem nützlich, den Leitfaden zu ACN und der NIS2-Liste: Konformität bis zum 31. März zu konsultieren.

Bei ISGroup unterstützen wir NIS-Subjekte bei der korrekten Anwendung der durch die NIS2-Richtlinie vorgesehenen Verpflichtungen – von der Überprüfung des Anwendungsbereichs bis hin zur Definition eines strukturierten NIS2-Konformitätspfads, inklusive technischer Beratung und Unterstützung bei der Benennung und Meldung des CSIRT-Ansprechpartners.

[Callforaction-NIS2-Footer]