ISGroup Cybersicherheitsberatung

CSIRT-Referent und NIS2-Verpflichtungen gemäß Gesetzesdekret 138/2024

Die Institutionalisierung des CSIRT-Ansprechpartners (Referente CSIRT) ergibt sich aus der Notwendigkeit, die operative Resilienz für öffentliche und private Stellen zu gewährleisten, die gemäß der NIS2-Richtlinie und deren nationaler Umsetzung durch das Gesetzesdekret (D.Lgs.) 138/2024 als kritisch eingestuft werden. Es handelt sich hierbei nicht um eine bürokratische Pflicht, sondern um eine offizielle technisch-operative Schnittstelle zwischen den Organisationen und dem CSIRT Italia im Rahmen der Nationalen Agentur für Cybersicherheit (ACN).

Rechtlicher Rahmen und Durchführungsbestimmungen

Der CSIRT-Ansprechpartner wurde mit dem Gesetzesdekret vom 4. September 2024, Nr. 138, eingeführt, das am 16. Oktober 2024 in Kraft trat und die Richtlinie (EU) 2022/2555 (NIS2) umsetzt. Er betrifft die als „wesentlich“ und „wichtig“ eingestuften Stellen und legt spezifische Sicherheits- und Meldepflichten fest.

  • ACN-Bestimmung Nr. 250916/2025 (19. September 2025): Definiert das Verfahren zur Benennung des CSIRT-Ansprechpartners.
  • ACN-Bestimmung Nr. 333017/2025: Aktualisiert die Regelungen bezüglich des Ansprechpartners und seiner Stellvertreter.
  • ACN-Bestimmung Nr. 164179/2025: Legt die Kriterien für die Definition eines „erheblichen Vorfalls“ sowie die meldepflichtigen Typen IS-1, IS-2, IS-3 und IS-4 fest.

Die Ernennung muss bis zum 31. Dezember 2025 erfolgen.

Identikit und Anforderungen an den CSIRT-Ansprechpartner

Der CSIRT-Ansprechpartner muss eine natürliche Person sein, keine Struktur oder Gesellschaft. Er muss mit Vorname, Nachname, Steuernummer und E-Mail-Adresse identifiziert werden. Die Ernennung ist erst wirksam, nachdem die Person ihre Registrierung mittels SPID oder CIE auf dem Dienstleistungsportal der ACN abgeschlossen hat.

Erforderliche Mindestkompetenzen

  • Cybersicherheit: Verständnis digitaler Bedrohungen.
  • Vorfallmanagement: Operative Erfahrung in der Bewältigung digitaler Krisen.
  • Organisationskenntnis: Beherrschung der Informationssysteme, Netzwerkarchitekturen und digitalen Infrastrukturen der Stelle, für die er tätig ist.

Der Ansprechpartner muss in der Lage sein, Protokolle (Logs) zu analysieren, mit Überwachungssystemen zu kommunizieren und die Erheblichkeit von Ereignissen gemäß Art. 25 des Dekrets zu bewerten.

Ernennung und operative Modalitäten

Die Ernennung muss zwischen dem 20. November und dem 31. Dezember 2025 erfolgen und gliedert sich in zwei Phasen:

  1. Der Kontaktpunkt (PdC) gibt die Daten des Ansprechpartners im ACN-Portal ein.
  2. Der Ansprechpartner greift persönlich auf das Portal zu, um die Registrierung abzuschließen.

Ohne diese zweite Phase bleibt die Ernennung rechtlich unwirksam.

Operative Aufgaben des CSIRT-Ansprechpartners

Der CSIRT-Ansprechpartner nimmt eine technische und organisatorische Überwachungsfunktion für das Management von IT-Sicherheitsvorfällen wahr.

  • Erkennung und Analyse von Anomalien sowie technische Validierung der Meldungen.
  • Interne Koordination zwischen IT-Abteilung, CISO, Rechtsabteilung, Datenschutzbeauftragtem (DPO) und Unternehmensleitung.
  • Technische Kommunikation und Übermittlung der vorgeschriebenen Meldungen an das CSIRT Italia.

Dadurch wird eine zeitnahe und fundierte Information der nationalen Behörde in Krisenzeiten sichergestellt.

Management der Meldungen

  1. Vorabmeldung innerhalb von 24 Stunden: Erste Meldung mit Details zur Art und etwaigen grenzüberschreitenden Auswirkungen.
  2. Meldung innerhalb von 72 Stunden: Aktualisierung mit Bewertung des Schweregrads, der Auswirkungen und Indikatoren für eine Kompromittierung (IoC).
  3. Abschlussbericht innerhalb von 1 Monat: Details zu den Ursachen, ergriffenen Minderungsmaßnahmen und den Gesamtauswirkungen.

Der Ansprechpartner kann gemäß Art. 26 auch freiwillige Meldungen zu Bedrohungen oder Beinahe-Vorfällen vornehmen, ohne dass dem Meldenden zusätzliche Lasten entstehen.

Kontaktpunkt und CSIRT-Ansprechpartner: Unterschiede

  • Kontaktpunkt (PdC) – Institutionelle Managementrolle: Verwaltet Registrierung, Datenaktualisierung und empfängt offizielle Mitteilungen. Ist immer intern in der Organisation angesiedelt.
  • CSIRT-Ansprechpartner – Technisch-operative Rolle: Verwaltet Vorfälle, sendet technische Meldungen, interagiert mit dem CSIRT Italia. Kann intern oder extern sein.

In kleineren Unternehmen können die beiden Rollen zusammenfallen, wobei die Funktionen in den internen Verfahren dennoch getrennt bleiben sollten.

Delegationen, Stellvertreter und Verantwortlichkeiten

Die Benennung des CSIRT-Ansprechpartners stellt eine operative und funktionale Delegation für das Management der Meldungen dar. Die materielle Ausführung obliegt dem Ansprechpartner, während die endgültige rechtliche Verantwortung für die Sicherheitsmaßnahmen und die NIS2-Pflichten bei den Verwaltungs- und Leitungsorganen verbleibt, wie in Art. 23 des Dekrets vorgesehen.

Es ist möglich, einen oder mehrere Stellvertreter zu ernennen, die dieselben technischen Anforderungen erfüllen und ebenfalls die persönliche Registrierung abschließen müssen. Die Nichtbenennung von Stellvertretern kann die 24/7-Erreichbarkeit und die operative Kontinuität gefährden.

Folgen der fehlenden Benennung

  • Verwaltungssanktionen gemäß Art. 38 D.Lgs. 138/2024.
  • Unmöglichkeit, ab dem 1. Januar 2026 die vorgeschriebenen Meldungen vorzunehmen.
  • Reputationsschaden und Risiko von Inspektionen durch die ACN.

Der CSIRT-Ansprechpartner ist die zentrale operative Figur für die Cybersicherheit im Unternehmen im Rahmen der NIS2: Er fungiert als Bindeglied zwischen Technikern, Geschäftsführung und nationaler Behörde und stellt Kontinuität, Schnelligkeit und Qualität bei der Bewältigung von IT-Vorfällen sicher.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *