Un client a demandé d’identifier, dans la Détermination du Directeur de l’ACN n° 333017/2025, le point où il serait explicitement indiqué que le référent CSIRT ne peut pas être la même personne que le point de contact ou son remplaçant. L’analyse réglementaire montre que la Détermination ne contient pas d’interdiction expresse, mais introduit des éléments qui impliquent une séparation fonctionnelle entre les deux rôles, cohérente avec les finalités opérationnelles et organisationnelles prévues par la directive NIS2.

Quel est le point précis dans la Détermination du Directeur de l’ACN
333017 où il est explicitement affirmé que le référent CSIRT
ne peut pas être la même personne que le point de contact ? Ni son
remplaçant ?

Voici la réponse de Francesco Ongaro, fondateur d’ISGroup :

La Détermination ne contient pas d’interdiction explicite en ce sens.

Toutefois :

L’art. 7, alinéa 1, établit que le référent CSIRT est désigné par le point de contact. Cette formulation implique une distinction fonctionnelle entre les deux rôles.

Le référent CSIRT doit posséder au moins des compétences de base en matière de cybersécurité et de gestion des incidents informatiques (art. 7, alinéa 5), alors qu’aucune exigence technique n’est requise pour le point de contact.

En vertu de ces éléments, bien qu’il n’y ait pas d’incompatibilité réglementaire expresse, la séparation des rôles est fortement recommandée, surtout pour garantir l’efficacité opérationnelle et la conformité substantielle aux principes de gouvernance NIS2, en particulier en ce qui concerne la gestion des incidents significatifs et la rapidité des notifications (sous 24 heures).

Cette nécessité de séparation est particulièrement évidente dans les petites et moyennes structures, où le seul expert informatique interne a déjà été nommé point de contact : dans de tels cas, le rôle de référent CSIRT sera vraisemblablement confié à un CISO externe.

Cette clarification permet aux entités NIS de remplir correctement leurs obligations de désignation du référent CSIRT, en évitant les duplications et en garantissant la conformité aux dispositions de l’ACN et à la réglementation NIS2.

Pour les entités qui structurent leur parcours de conformité à la NIS2, l’attribution correcte de ces rôles est l’une des étapes opérationnelles à aborder dès les premières phases, avec les autres obligations prévues par l’inscription sur la liste de l’ACN.

[Callforaction-NIS2-Footer]