Die Institutionalisierung des CSIRT-Referenten, wie sie in der ACN-Bestimmung Nr. 333017/2025 vorgesehen ist, festigt eine solide Cyber-Governance-Struktur. Der CSIRT-Referent fungiert als technische und operative Schnittstelle zwischen dem NIS-subjekt (wesentlich oder wichtig) und dem CSIRT Italia. Die Integration dieser Rolle in das Incident-Response-Team ist entscheidend, um eine effektive Resilienz gegenüber Cyber-Vorfällen aufzubauen.

Incident-Response-Team: Rollen und Funktionsweise

Der CSIRT-Referent agiert als zentraler Knotenpunkt im Incident Response Team (IRT) und gewährleistet eine kontinuierliche multidisziplinäre Koordination zwischen verschiedenen Unternehmensabteilungen:

• IT-Abteilung und Systemadministratoren: Sie verwalten Netzwerke, Systeme und Anwendungen. Sie unterstützen bei der Isolierung kompromittierter Systeme, wenden Notfall-Patches an und kümmern sich um die Wiederherstellung der Dienste. Sie arbeiten mit dem CSIRT-Referenten zusammen, um Protokolle und Indikatoren für eine Kompromittierung (IoCs) zu sammeln, die für die Meldung erforderlich sind.
• Security Operations Center (SOC): Falls vorhanden, überwacht es Ereignisse und meldet mögliche Vorfälle. Der CSIRT-Referent validiert diese Meldungen technisch, um festzustellen, ob es sich gemäß Art. 25 des NIS2-Dekrets um einen signifikanten Vorfall handelt.
• Rechtsabteilung und Datenschutzbeauftragter (DSB): Sie bewerten die Meldepflichten, die Mindestinhalte gegenüber dem CSIRT Italia und anderen Behörden sowie die Verwaltung von Cybersicherheitsklauseln in IKT-Verträgen. Die rechtliche Unterstützung ist auch bei Meldungen an die Datenschutzbehörde im Falle einer Verletzung personenbezogener Daten erforderlich.
• Unternehmenskommunikation: Sie steuert die Kommunikation gegenüber Kunden, Nutzern und Medien während signifikanter Vorfälle, beugt Panik sowie Desinformation vor und stimmt sich regelmäßig mit dem CSIRT-Referenten ab.
• Geschäftsführung und Verwaltungsorgane: Sie genehmigen Incident-Management-Pläne und Sicherheitsrichtlinien. Der CSIRT-Referent berichtet den Entscheidungsträgern über Auswirkungen und kritische Punkte, um zeitnahe Entscheidungen zur Betriebskontinuität zu ermöglichen.

Operative Delegation und rechtliche Verantwortung

Die Ernennung des CSIRT-Referenten stellt eine operative und funktionale Delegation dar. Der Referent ist der Ausführende der Meldepflichten und bildet die technische Schnittstelle zu den Behörden. Die letztendliche Verantwortung für die Nichteinhaltung der NIS2-Pflichten verbleibt jedoch gemäß Art. 23 des Gesetzesdekrets 138/2024 bei den Verwaltungs- und Leitungsorganen. Diese müssen angemessene Ressourcen und Unterstützung bereitstellen und sicherstellen, dass die Entscheidungskette effektiv und schnell ist, um die Rechtzeitigkeit der Meldungen (innerhalb von 24 oder 72 Stunden) zu gewährleisten. Im Falle einer Verletzung der Pflichten liegen die Verantwortung und die verwaltungsrechtlichen Geldbußen ausschließlich bei der Unternehmensführung.

Praktische Instrumente für die Resilienz

• Playbooks: Die ACN empfiehlt die Einführung spezifischer Playbooks für verschiedene Angriffsarten (z. B. Ransomware, DDoS, Spear-Phishing). Jede Phase der Reaktion ist mit präzisen Aktivitäten und Rollen verknüpft, was die Abhängigkeit von einzelnen Personen verringert und die Verwaltung auch bei Abwesenheit dedizierter Kräfte erleichtert.
• Table-top Exercises: Simulationen signifikanter Vorfälle, die es ermöglichen, die Funktionsweise der Befehlskette und die internen Kommunikationskanäle zu testen. Diese Übungen helfen auch nicht-technischen Mitgliedern des IRT, die Notfallverfahren und die Informationsanforderungen des CSIRT Italia zu verstehen.
• Referenzstandards: Der Incident-Management-Prozess muss im Einklang mit dem Nationalen Cybersicherheits-Framework, dem NIST SP 800-61r3 und den CAD-Leitlinien stehen und sich in die Phasen Vorbereitung, Erkennung, Reaktion, Wiederherstellung und Verbesserung gliedern.

Zusammenfassung

Der CSIRT-Referent nimmt eine operative Rolle innerhalb eines strukturierten und multidisziplinären Incident Response Teams ein, in einem Ökosystem, das von klaren Verantwortlichkeiten und praktischen Instrumenten geprägt ist. Das durch das NIS2-Dekret skizzierte Modell erfordert angemessene Ressourcen, formalisierte Verfahren und eine fließende Governance, um eine resiliente und regelkonforme Reaktion zu gewährleisten.