Ein Kunde bat darum, in der Bestimmung des ACN-Direktors Nr. 333017/2025 die Stelle zu identifizieren, an der explizit festgelegt ist, dass der CSIRT-Ansprechpartner nicht mit dem Kontaktpunkt oder dessen Stellvertreter identisch sein darf. Die regulatorische Analyse zeigt, dass die Bestimmung kein ausdrückliches Verbot enthält, jedoch Elemente einführt, die eine funktionale Trennung zwischen den beiden Rollen implizieren, was mit den operativen und organisatorischen Zielen der NIS2-Richtlinie im Einklang steht.

An welcher genauen Stelle in der Bestimmung des ACN-Direktors 333017 wird explizit behauptet, dass der CSIRT-Ansprechpartner nicht mit dem Kontaktpunkt identisch sein darf? Und auch nicht mit dessen Stellvertreter?

Nachfolgend die Antwort von Francesco Ongaro, Gründer von ISGroup:

Die Bestimmung enthält kein ausdrückliches Verbot in diesem Sinne.

Jedoch:

Art. 7 Abs. 1 legt fest, dass der CSIRT-Ansprechpartner vom Kontaktpunkt benannt wird. Diese Formulierung impliziert eine funktionale Unterscheidung zwischen den beiden Rollen.

Der CSIRT-Ansprechpartner muss mindestens über Grundkenntnisse im Bereich der Cybersicherheit und des Managements von IT-Vorfällen verfügen (Art. 7 Abs. 5), während für den Kontaktpunkt keine technischen Anforderungen gestellt werden.

Aufgrund dieser Elemente wird, auch wenn keine ausdrückliche regulatorische Unvereinbarkeit vorliegt, eine Trennung der Rollen dringend empfohlen, insbesondere um die operative Effektivität und die materielle Konformität mit den Prinzipien der NIS2-Governance zu gewährleisten, insbesondere im Hinblick auf das Management signifikanter Vorfälle und die Rechtzeitigkeit der Meldungen (innerhalb von 24 Stunden).

Diese Notwendigkeit der Trennung ist besonders in kleinen und mittleren Unternehmen offensichtlich, in denen der einzige interne IT-Experte bereits zum Kontaktpunkt ernannt wurde: In solchen Fällen wird die Rolle des CSIRT-Ansprechpartners wahrscheinlich einem externen CISO übertragen.

Diese Klarstellung ermöglicht es NIS-pflichtigen Unternehmen, ihre Verpflichtungen zur Benennung des CSIRT-Ansprechpartners korrekt zu erfüllen, Duplikate zu vermeiden und die Konformität mit den ACN-Bestimmungen sowie der NIS2-Richtlinie sicherzustellen.

Für Unternehmen, die ihren Weg zur NIS2-Konformität strukturieren, ist die korrekte Zuweisung dieser Rollen einer der operativen Schritte, die von Anfang an angegangen werden müssen, zusammen mit den anderen Anforderungen, die durch die Registrierung im ACN-Verzeichnis vorgesehen sind.

[Callforaction-NIS2-Footer]