ISGroup Conseil en Cybersécurité

Nomination obligatoire du référent CSIRT sur le portail ACN 2025

L’institutionnalisation du Référent CSIRT, formalisée par l’Agence pour la Cybersécurité Nationale (ACN) à travers la Détermination n° 333017/2025, fixe un parcours obligatoire et des délais précis pour tous les sujets inclus dans le périmètre de la Directive NIS2. Toute la procédure se déroule sur le Portail des Services de l’ACN avec des étapes définies, des responsabilités techniques et des vérifications basées sur une authentification numérique robuste.

Échéances et calendrier sur le portail ACN

  • 20 novembre 2025 : Ouverture de la procédure télématique de désignation du Référent CSIRT et de ses éventuels remplaçants sur le Portail ACN.
  • 31 décembre 2025 : Date limite pour compléter la procédure de nomination. Au-delà de cette date, le sujet NIS est considéré comme non conforme et est passible de sanctions conformément à l’article 38 du Décret NIS2.
  • Décembre 2025 : Mois de suspension de la transmission des déclarations pour permettre la transition vers les systèmes de 2026.
  • 1er janvier – 28 février 2026 : Ouverture de l’Enregistrement 2026 pour la Déclaration annuelle. Tous les sujets doivent confirmer ou modifier les données du Référent CSIRT et des remplaçants.
  • 15 avril – 31 mai : Fenêtre annuelle pour mettre à jour les informations et assurer une disponibilité constante.

Vérification préliminaire : rôle et données du Point de Contact (PdC)

  1. Le Point de Contact est le seul habilité à lancer la procédure de désignation.
  2. Vérifiez que le PdC est enregistré sur la plateforme NIS et que les données sont à jour.
  3. Le PdC accède au Portail ACN via une identité numérique (SPID ou CIE).
  4. La cartographie des services essentiels/importants doit être finalisée, avec l’identification de la personne désignée comme Référent CSIRT.

Procédure télématique de désignation

  • Le PdC accède à la section « Mise à jour des données » au sein du Portail ACN.
  • Il saisit obligatoirement le code fiscal et l’e-mail du Référent CSIRT.
  • Il peut saisir les données d’un ou plusieurs remplaçants (code fiscal et e-mail), ce qui est fortement recommandé pour garantir une disponibilité 24h/24.
  • Le système génère une notification automatique aux personnes concernées après l’envoi.

Finalisation de la nomination : actions du Référent et des Remplaçants

  • Le Référent CSIRT (et chaque remplaçant) accède personnellement au portail via son SPID ou sa CIE personnelle.
  • Il complète le profil personnel en saisissant les données requises.
  • Il confirme son inscription en tant que Référent CSIRT ou Remplaçant pour le sujet NIS.
  • Aucun téléchargement de document n’est requis : la nomination s’effectue par authentification forte.

Remplaçants et continuité opérationnelle

  • La désignation de remplaçants n’est pas obligatoire mais évite le risque de « point de défaillance unique » (single point of failure).
  • Les remplaçants doivent posséder les mêmes compétences que le référent principal et peuvent opérer en son absence.
  • La procédure de désignation est identique à celle du référent.

Déclaration annuelle et mise à jour des données

  • Du 1er janvier au 28 février 2026, tous les sujets doivent présenter la Déclaration 2026 en confirmant ou en modifiant les données du Référent CSIRT et des remplaçants.
  • Après le 31 décembre 2025, en cas d’erreurs ou d’urgences, le nom du PdC peut être inséré temporairement, en mettant ensuite à jour le référent après vérification des compétences.
  • Fenêtre de mise à jour ordinaire du 15 avril au 31 mai.

Exigences techniques d’accès au portail

  • L’accès est autorisé exclusivement via SPID ou CIE personnelle, sans identifiants simples.
  • Les rôles de Référent CSIRT et de remplaçants sont recensés dans la catégorie « utilisateurs » avec des permissions liées à la gestion des notifications d’incidents.
  • Le portail supporte le dialogue en anglais et ne pose aucune limite de nationalité si l’utilisateur dispose des outils d’authentification requis.

Sanctions et risques en cas de non-conformité

  • Le non-achèvement de la procédure avant le 31 décembre 2025 entraîne des sanctions administratives pécuniaires conformément à l’article 38 du Décret législatif 138/2024.
  • Sans référent recensé, il est impossible d’envoyer des pré-notifications sous 24 heures ou des notifications sous 72 heures via le portail, ce qui aggrave la situation en cas d’incident réel.
  • L’absence de référent signale des lacunes dans la gouvernance de la cybersécurité et peut conduire à des inspections de la part de l’ACN.

Checklist opérationnelle

  1. Avant le 20/11/2025 : Identifier le Référent et les Remplaçants, vérifier les exigences techniques.
  2. Du 20/11 au 31/12/2025 : Le PdC saisit les données dans la section « Mise à jour des données » du portail.
  3. Conjointement : Le Référent et les Remplaçants accèdent avec SPID/CIE et complètent le recensement.
  4. Vérification du statut « complété » ou « actif » de la désignation.
  5. Janvier-Février 2026 : Présentation de la déclaration annuelle.

La procédure réalise une délégation fonctionnelle et opérationnelle : le Référent agit sur le portail, mais la responsabilité juridique concernant l’exactitude et la ponctualité des informations incombe aux organes de direction du sujet NIS.

In

, , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *