ISGroup Conseil en Cybersécurité

Référent CSIRT et obligations NIS2 Décret législatif 138 2024

L’institutionnalisation du Référent CSIRT découle de la nécessité de garantir la résilience opérationnelle aux entités publiques et privées considérées comme critiques selon la directive NIS2 et sa transposition nationale par le décret législatif 138/2024. Il ne s’agit pas d’une simple formalité bureaucratique, mais d’un dispositif technique et opérationnel officiel entre les organisations et le CSIRT Italia, sous l’égide de l’Agence pour la Cybersécurité Nationale (ACN).

Contexte réglementaire et actes d’application

Le Référent CSIRT a été introduit par le décret législatif du 4 septembre 2024, n° 138, en vigueur depuis le 16 octobre 2024, qui transpose la directive (UE) 2022/2555 (NIS2). Il concerne les entités définies comme « essentielles » et « importantes », imposant des obligations spécifiques en matière de sécurité et de notification.

  • Détermination ACN n° 250916/2025 (19 septembre 2025) : définit la procédure de désignation du Référent CSIRT.
  • Détermination ACN n° 333017/2025 : met à jour la réglementation relative au Référent et à ses suppléants.
  • Détermination ACN n° 164179/2025 : établit les critères de définition d’un « incident significatif » et les types IS-1, IS-2, IS-3, IS-4 soumis à notification.

L’obligation de nomination est fixée au plus tard le 31 décembre 2025.

Identikit et exigences du Référent CSIRT

Le Référent CSIRT doit être une personne physique, et non une structure ou une société. Il doit être identifié par son nom, prénom, code fiscal et adresse e-mail. La nomination n’est effective qu’après l’enregistrement personnel via SPID ou CIE sur le portail des services de l’ACN.

Compétences minimales requises

  • Cybersécurité : compréhension des menaces numériques.
  • Gestion des incidents : expérience opérationnelle dans le traitement des crises numériques.
  • Connaissance de l’organisation : maîtrise des systèmes d’information, des architectures réseau et des infrastructures numériques de l’entité au sein de laquelle il opère.

Le référent doit être capable d’analyser les journaux (logs), de dialoguer avec les systèmes de surveillance et d’évaluer la significativité des événements conformément à l’art. 25 du décret.

Nomination et modalités opérationnelles

La nomination doit avoir lieu entre le 20 novembre et le 31 décembre 2025 et se déroule en deux phases :

  1. Le Point de Contact (PdC) saisit les données du référent sur le portail de l’ACN.
  2. Le référent accède personnellement au portail pour finaliser le recensement.

En l’absence de cette seconde phase, la désignation reste inefficace au regard de la réglementation.

Missions opérationnelles du Référent CSIRT

Le Référent CSIRT assure un rôle de supervision technique et organisationnelle pour la gestion des incidents informatiques.

  • Détection et analyse des anomalies et validation technique des signalements.
  • Coordination interne entre le service informatique, le CISO, le service juridique, le DPO et la direction de l’entreprise.
  • Communications techniques et envoi des notifications obligatoires au CSIRT Italia.

Cela garantit une information rapide et fiable auprès de l’autorité nationale en période de crise.

Gestion des notifications

  1. Pré-notification sous 24 heures : signalement initial avec détails sur la nature et l’éventuel impact transfrontalier.
  2. Notification sous 72 heures : mise à jour avec évaluation de la gravité, de l’impact et indicateurs de compromission (IoC).
  3. Rapport final sous 1 mois : détails sur les causes, les mesures d’atténuation adoptées et l’impact global.

Le référent peut également gérer des notifications volontaires concernant des menaces ou des quasi-incidents selon l’art. 26, sans charge supplémentaire pour le déclarant.

Point de contact et Référent CSIRT : différences

  • Point de Contact (PdC) – Rôle institutionnel de gestion : gère l’enregistrement, la mise à jour des données, reçoit les communications officielles. Il est toujours interne à l’organisation.
  • Référent CSIRT – Rôle technique opérationnel : gère les incidents, envoie les notifications techniques, interagit avec le CSIRT Italia. Il peut être interne ou externe.

Dans les petites structures, les deux rôles peuvent être cumulés, tout en maintenant une distinction des fonctions dans les procédures internes.

Délégations, suppléants et responsabilités

La désignation du Référent CSIRT constitue une délégation opérationnelle et fonctionnelle pour la gestion des notifications. L’exécution matérielle incombe au référent, tandis que la responsabilité juridique finale concernant les mesures de sécurité et les obligations NIS2 demeure celle des organes d’administration et de direction, comme prévu par l’art. 23 du décret.

Il est possible de nommer un ou plusieurs suppléants, répondant aux mêmes exigences techniques et soumis à l’obligation de finaliser personnellement leur recensement. L’absence de suppléants peut compromettre la disponibilité 24h/24 et la continuité opérationnelle.

Conséquences de l’absence de désignation

  • Sanctions administratives selon l’art. 38 du D.Lgs. 138/2024.
  • Impossibilité de gérer les notifications obligatoires à partir du 1er janvier 2026.
  • Dommage réputationnel et exposition à des inspections de la part de l’ACN.

Le Référent CSIRT représente la figure opérationnelle centrale de la cybersécurité d’entreprise dans le cadre de la NIS2 : il agit comme un trait d’union entre les techniciens, la direction et l’autorité nationale, assurant continuité, rapidité et qualité dans la gestion des incidents informatiques.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *