ISGroup Cybersicherheitsberatung

Verpflichtende Nominierung des CSIRT-Referenten auf dem ACN-Portal 2025

Die Institutionalisierung des CSIRT-Referenten, die durch die Agentur für Cybersicherheit (Agenzia per la Cybersicurezza Nazionale – ACN) mittels der Bestimmung Nr. 333017/2025 formalisiert wurde, legt einen verbindlichen Prozess und präzise Zeitpläne für alle Akteure fest, die unter den Geltungsbereich der NIS2-Richtlinie fallen. Das gesamte Verfahren wird über das ACN-Dienstleistungsportal mit definierten Phasen, technischen Verantwortlichkeiten und Überprüfungen auf Basis einer robusten digitalen Authentifizierung abgewickelt.

Fristen und Zeitplan auf dem ACN-Portal

  • 20. November 2025: Start des elektronischen Verfahrens zur Benennung des CSIRT-Referenten und etwaiger Stellvertreter im ACN-Portal.
  • 31. Dezember 2025: Letzter Termin für den Abschluss des Ernennungsverfahrens. Nach diesem Datum gilt der NIS-Akteur als nicht konform und unterliegt Sanktionen gemäß Artikel 38 des NIS2-Dekrets.
  • Dezember 2025: Monat der Aussetzung der Übermittlung von Erklärungen, um den Übergang zu den Systemen für 2026 zu ermöglichen.
  • 1. Januar – 28. Februar 2026: Öffnung der Registrierung 2026 für die jährliche Erklärung. Alle Akteure müssen die Daten des CSIRT-Referenten und der Stellvertreter bestätigen oder ändern.
  • 15. April – 31. Mai: Jährliches Zeitfenster zur Aktualisierung der Informationen und zur Sicherstellung der ständigen Erreichbarkeit.

Vorabprüfung: Rolle und Daten des Kontaktpunkts (PdC)

  1. Der Kontaktpunkt (Punto di Contatto – PdC) ist die einzige Stelle, die berechtigt ist, das Benennungsverfahren einzuleiten.
  2. Überprüfen Sie, ob der PdC auf der NIS-Plattform registriert ist und ob die Daten aktuell sind.
  3. Der PdC greift über eine digitale Identität (SPID oder CIE) auf das ACN-Portal zu.
  4. Die Zuordnung der wesentlichen/wichtigen Dienste muss abgeschlossen sein, einschließlich der Identifizierung der als CSIRT-Referent beauftragten Person.

Elektronisches Benennungsverfahren

  • Der PdC greift auf den Bereich „Datenaktualisierung“ (Aggiornamento dati) innerhalb des ACN-Portals zu.
  • Die Eingabe der Steuernummer (Codice Fiscale) und der E-Mail-Adresse des CSIRT-Referenten ist obligatorisch.
  • Es können Daten von einem oder mehreren Stellvertretern (Steuernummer und E-Mail) eingegeben werden, was dringend empfohlen wird, um die 24/7-Erreichbarkeit zu gewährleisten.
  • Das System generiert nach dem Absenden automatisch eine Benachrichtigung an die betroffenen Personen.

Abschluss der Ernennung: Maßnahmen von Referent und Stellvertretern

  • Der CSIRT-Referent (und jeder Stellvertreter) greift persönlich über seinen persönlichen SPID oder CIE auf das Portal zu.
  • Er vervollständigt das Stammdatenprofil durch Eingabe der erforderlichen Daten.
  • Er bestätigt die Registrierung als CSIRT-Referent oder Stellvertreter für den NIS-Akteur.
  • Es ist kein Hochladen von Dokumenten erforderlich: Die Ernennung erfolgt durch starke Authentifizierung.

Stellvertreter und Betriebskontinuität

  • Die Benennung von Stellvertretern ist nicht obligatorisch, vermeidet jedoch das Risiko eines „Single Point of Failure“.
  • Die Stellvertreter müssen über dieselben Kompetenzen wie der Hauptreferent verfügen und können in dessen Abwesenheit agieren.
  • Das Benennungsverfahren ist identisch mit dem des Referenten.

Jährliche Erklärung und Datenaktualisierung

  • Vom 1. Januar bis zum 28. Februar 2026 müssen alle Akteure die Erklärung 2026 einreichen und dabei die Daten des CSIRT-Referenten und der Stellvertreter bestätigen oder ändern.
  • Nach dem 31. Dezember 2025 kann im Falle von Fehlern oder Dringlichkeiten vorübergehend der Name des PdC eingetragen werden, wobei der Referent später nach Überprüfung der Kompetenzen aktualisiert werden muss.
  • Ordentliches Aktualisierungsfenster vom 15. April bis zum 31. Mai.

Technische Anforderungen für den Portalzugang

  • Der Zugang ist ausschließlich über einen persönlichen SPID oder CIE gestattet, einfache Anmeldedaten sind nicht zulässig.
  • Die Rollen des CSIRT-Referenten und der Stellvertreter sind in der Kategorie „Benutzer“ mit Berechtigungen für die Verwaltung von Vorfallmeldungen erfasst.
  • Das Portal unterstützt auch die englische Sprache und setzt keine Beschränkungen hinsichtlich der Staatsangehörigkeit, sofern die Authentifizierungsinstrumente vorhanden sind.

Sanktionen und Risiken bei Nichteinhaltung

  • Die Nichtbeendigung des Verfahrens bis zum 31. Dezember 2025 führt zu verwaltungsrechtlichen Geldbußen gemäß Artikel 38 des Gesetzesdekrets 138/2024.
  • Ohne einen registrierten Referenten ist es nicht möglich, Vorabmeldungen innerhalb von 24 Stunden oder Meldungen innerhalb von 72 Stunden über das Portal zu versenden, was die Position im Falle eines tatsächlichen Vorfalls verschlechtert.
  • Das Fehlen eines Referenten weist auf Mängel in der Cybersicherheits-Governance hin und kann zu Inspektionen durch die ACN führen.

Operative Checkliste

  1. Bis 20.11.2025: Identifizierung von Referent und Stellvertretern, Überprüfung der technischen Anforderungen.
  2. Vom 20.11. bis 31.12.2025: Der PdC gibt die Daten im Bereich „Datenaktualisierung“ des Portals ein.
  3. Gleichzeitig: Referent und Stellvertreter greifen mit SPID/CIE zu und schließen die Registrierung ab.
  4. Überprüfung des Status „abgeschlossen“ oder „aktiv“ der Benennung.
  5. Januar-Februar 2026: Einreichung der jährlichen Erklärung.

Das Verfahren stellt eine funktionale und operative Delegation dar: Der Referent agiert im Portal, aber die rechtliche Verantwortung für die Korrektheit und Rechtzeitigkeit der Informationen verbleibt bei den Verwaltungsorganen des NIS-Akteurs.

In

, , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *