L’identification du Référent CSIRT influence la capacité d’une organisation à répondre aux crises cybernétiques et à se conformer au décret législatif italien 138/2024. Avec la Détermination ACN n° 333017/2025, les entités essentielles et importantes doivent désigner cette figure entre le 20 novembre et le 31 décembre 2025. Le choix entre une ressource interne ou externe nécessite une analyse des compétences techniques, des processus d’entreprise et des responsabilités légales prévues par le cadre réglementaire national.

Exigences minimales obligatoires pour le référent CSIRT

L’article 7 de la Détermination 333017/2025 établit que le Référent CSIRT et ses éventuels remplaçants doivent posséder des compétences multidisciplinaires indispensables pour opérer et interagir avec le CSIRT Italia. Ces critères sont substantiels et ne peuvent être négligés.

• Compétences en cybersécurité : Une compétence de base est requise pour comprendre la nature des menaces et dialoguer techniquement avec l’autorité nationale. Une capacité d’analyse des journaux (logs) et un dialogue avec les équipes de surveillance (SOC) sont nécessaires.
• Gestion des incidents (Incident management) : Une expérience pratique du traitement des crises numériques est nécessaire. Le référent doit savoir distinguer une anomalie de routine d’un « incident significatif » selon l’article 25 du décret NIS2 et la Détermination ACN n° 164179/2025.
• Connaissance des réseaux et des systèmes : Une maîtrise de l’architecture IT/OT de l’entité NIS est requise pour gérer des notifications opportunes et complètes dans les fenêtres temporelles de 24 et 72 heures.

Cette figure se rapproche du profil du “Cyber Incident Responder” selon l’ENISA, avec des tâches de reporting technique et de collaboration avec les fonctions juridiques et techniques.

Option interne : CISO et responsable informatique

De nombreuses organisations sélectionnent le Référent CSIRT en interne. Les rôles les plus indiqués sont le CISO, le Responsable informatique, le CTO ou le Responsable cybersécurité.

Avantages de la figure interne

• Intégration dans les processus : une ressource interne connaît les dynamiques décisionnelles, les systèmes d’information et les interlocuteurs clés (juridique, communication, direction).
• Préférence de l’Autorité : les FAQ de l’ACN soulignent une préférence pour le référent interne.
• Contrôle direct : permet une réponse immédiate sans nécessité d’escalades contractuelles.

Inconvénients et risques

• Surcharge opérationnelle : dans des structures moyennes, le CISO ou le Responsable informatique pourrait ne pas avoir assez de temps pour assurer la surveillance 24h/24, surtout lors d’incidents complexes.
• Point de défaillance unique (Single Point of Failure) : sans remplaçants, le référent interne peut devenir un goulot d’étranglement en cas d’absence.

Option externalisation : professionnels et SOC externes

La Détermination ACN prévoit que le Référent CSIRT puisse être externe : responsable d’un SOC, CERT externalisé ou gestionnaire informatique en sous-traitance.

Avantages de l’externalisation

• Présence 24h/24 et 7j/7 : les partenaires spécialisés garantissent une couverture continue, essentielle pour respecter la pré-notification dans les 24 heures.
• Compétences verticales : accès à des experts certifiés et à jour sur les menaces.
• Réduction des coûts fixes : pour les PME ou les structures sans équipe cyber interne, cela évite l’embauche directe de spécialistes.

Contraintes contractuelles obligatoires

• Responsabilités opérationnelles et obligations de confidentialité.
• Modalités d’accès aux systèmes informatiques de l’entreprise pour la collecte des logs et des preuves.
• Temps de réponse garantis (SLA) en cas d’incident.
• Titularité des communications vers le CSIRT Italia et rôles en matière de protection des données (RGPD).

Des sociétés comme Infor (BeeCyber), Argo Cyber, Axitea et Axera proposent des services de « Référent CSIRT as a Service », avec l’obligation d’une évaluation préliminaire et d’une analyse des écarts (gap analysis).

Critères stratégiques pour le choix

• Grandes organisations / essentielles : disposent d’un CISO interne, épaulé par un SOC interne ou externe pour la détection.
• Organisations moyennes / importantes : utilisent souvent un modèle mixte avec un référent interne et le support de consultants externes.
• PME et petits organismes : ont davantage recours à l’externalisation ou unifient le Point de Contact (PdC) et le Référent CSIRT, ce qui n’est possible que si la fonction reste interne.

Les remplaçants : continuité opérationnelle

L’article 7, paragraphe 3, de la Détermination 333017/2025 autorise la nomination d’un ou plusieurs remplaçants du Référent CSIRT. Ce choix est une bonne pratique essentielle.

• Ils doivent posséder des exigences techniques et une connaissance des systèmes identiques à celles du référent principal.
• Ils peuvent opérer sur le portail ACN et envoyer des notifications en cas d’absence du titulaire.
• Chaque remplaçant doit s’authentifier individuellement sur le portail via SPID ou CIE.

L’absence de remplaçants peut empêcher la pré-notification dans les 24 heures et entraîner des violations de l’article 25 du décret NIS2.

Délégations opérationnelles et responsabilité légale

• Le Référent CSIRT agit par délégation technico-opérationnelle.
• La responsabilité finale concernant les obligations NIS2 et les mesures de sécurité incombe aux organes d’administration et de direction, conformément à l’article 23 du décret législatif 138/2024.
• Les dirigeants de l’entreprise doivent approuver le plan de gestion des incidents et garantir des ressources adéquates.

Organigramme NIS2 de base

1. Organes de direction : responsabilité sanctionnatrice et approbation des politiques.
2. Point de Contact (PdC) : représentant institutionnel auprès de l’ACN pour la conformité administrative.
3. Référent CSIRT : interface technique auprès du CSIRT Italia.
4. Fonctions de support : informatique, juridique, DPO, communication.

La sélection du Référent CSIRT doit être vécue comme la création d’un nœud vital entre la composante technologique et décisionnelle. L’efficacité dépend de la capacité à opérer sous pression et de l’intégration avec le plan de réponse aux incidents de l’organisation.