Un de nos clients a demandé des précisions concernant l’obligation de communication du référent CSIRT, en demandant si cette obligation ne concerne que les entités publiques identifiées par l’art. 1, alinéa 1, de la loi n° 90/2024, ou si elle concerne l’ensemble des entités NIS. La réponse fournit un cadre réglementaire précis, basé sur la Détermination ACN n° 333017/2025 et sur le décret législatif 138/2024, qui transpose la directive NIS2.

La communication du référent CSIRT est-elle requise pour toutes les entités NIS ou seulement pour celles visées à l’art. 1, alinéa 1, de la loi 90/2024 ?

Voici la réponse de Francesco Ongaro, fondateur d’ISGroup :

La désignation du référent CSIRT est requise pour toutes les entités NIS, indépendamment de leur inclusion parmi celles identifiées à l’art. 1, alinéa 1, de la loi n° 90/2024.

Cette obligation est prévue à l’art. 7, alinéa 1 de la Détermination ACN n° 333017/2025, qui établit que le référent CSIRT est une personne physique désignée par le point de contact via une procédure télématique sur le portail ACN à partir du 20 novembre et au plus tard le 31 décembre 2025.

Il n’existe aucune référence limitant cette obligation aux seules entités mentionnées par la loi 90/2024, qui concerne principalement l’obligation de nommer un référent pour la cybersécurité dans le secteur public. La désignation du référent CSIRT est, en revanche, une obligation prévue par la réglementation NIS2 (décret législatif 138/2024), applicable à toutes les entités NIS enregistrées.

La phrase :

La désignation du point de contact par les entités visées à l’article 1, alinéa 1, de la loi du 28 juin 2024, n° 90, qui entrent dans le champ d’application du décret NIS, peut satisfaire à l’obligation de nomination et de communication du référent pour la cybersécurité visée à l’article 8, alinéa 2, de la même loi.

signifie que les entités publiques (indiquées à l’art. 1, alinéa 1 de la loi 90/2024) qui sont également des entités NIS peuvent éviter une double nomination, c’est-à-dire :

• si elles ont déjà désigné le point de contact NIS,
• et que cette entité publique relève du champ d’application de la loi 90/2024,

alors la désignation du point de contact vaut également comme accomplissement de l’obligation de nommer un référent pour la cybersécurité conformément à la loi 90/2024.

Pour approfondir la distinction entre les deux fonctions, voir également l’analyse sur la distinction entre point de contact et référent CSIRT dans la Détermination ACN n° 333017/2025.

Cette précision permet aux entités NIS de remplir correctement leurs obligations de désignation du référent CSIRT, en évitant les duplications et en garantissant la conformité aux dispositions de l’ACN et à la réglementation NIS2. Pour les entités qui doivent encore terminer leur enregistrement ou vérifier leur périmètre, il est utile de consulter également le guide sur l’ACN et la liste NIS2 : conformité avant le 31 mars.

Chez ISGroup, nous accompagnons les entités NIS dans l’application correcte des obligations prévues par la réglementation NIS2, de la vérification du périmètre jusqu’à la définition d’un parcours structuré de conformité à la NIS2, avec une assistance technique et de conseil pour la désignation et la communication du référent CSIRT.

[Callforaction-NIS2-Footer]