El Referente CSIRT NIS2: Lo Que Debes Saber

La Directiva NIS2 introduce nuevas obligaciones de conformidad para las organizaciones. Uno de los principales es el nombramiento del Referente CSIRT, un rol clave para la gestión de los requisitos técnicos de seguridad y la respuesta a los incidentes.

¿Quién es el Referente CSIRT?

El Referente CSIRT es la figura designada para proporcionar apoyo técnico y operativo al Punto de Contacto NIS2. Su objetivo es colaborar para cumplir con las obligaciones técnicas previstas por la Directiva NIS2, adoptada en España con el Decreto Legislativo 138/2024.

Cómo y cuándo se nombra

El nombramiento del Referente CSIRT debe ser una prioridad absoluta y completarse sin demoras. La Agencia de Ciberseguridad Nacional (ACN) pondrá a disposición un portal en línea, similar al utilizado para la designación del Punto de Contacto NIS2.

Plazo

Solo tienes del 20 de noviembre al 31 de diciembre de 2025 para nombrar al Referente CSIRT. Pasada esta fecha, el riesgo de incumplimiento es real.

Proceso

El Punto de Contacto NIS2 debe acceder rápidamente al portal e ingresar los datos del Referente CSIRT y de los posibles sustitutos. El portal será similar al utilizado para el nombramiento del Punto de Contacto NIS2.

Actúa ahora para evitar retrasos y sanciones: prepárate con tiempo y asegúrate de cumplir con los plazos.

Responsabilidades principales

A partir del 1 de enero de 2026, el Referente CSIRT gestionará operativamente las notificaciones de los posibles incidentes de seguridad. Esta obligación concierne a todas las organizaciones registradas en el portal NIS2 de la ACN como sujetos "esenciales" o "importantes".

Cómo elegir a la persona adecuada

Elegir de inmediato al Referente CSIRT es esencial para garantizar la conformidad y prevenir bloqueos operativos. No esperes al último momento: cualquier retraso en identificar el recurso adecuado puede comprometer la puntualidad en el nombramiento y la actualización de los procesos internos, exponiendo a la organización a riesgos y sanciones.

Aspectos a considerar

Competencias requeridas: selecciona perfiles con experiencia técnica comprobada en seguridad informática. IT Manager, Cybersecurity Manager, CTO, CISO o CIO son las figuras más indicadas.
Interno vs. Externo: elige preferentemente un recurso interno; evalúa una figura externa solo si la gestión IT actual está encargada a un proveedor tercero.
Acción inmediata: completa la elección antes del 20 de noviembre de 2025. Luego tendrás una ventana de aproximadamente 40 días para completar las comunicaciones a través del portal de ACN.

¿Puede coincidir con el punto de contacto NIS2?

Hasta la fecha no hay aclaraciones oficiales sobre la posibilidad de que la misma persona asuma ambos roles. La determinación de la ACN no lo prohíbe explícitamente, a diferencia de lo previsto para el sustituto del Punto de Contacto NIS2. Se esperan indicaciones de la ACN en las próximas semanas o directamente con la apertura del portal de nombramiento. Prepárate para ambas posibilidades.

Plazos

No olvides que el plazo para cumplir con la normativa es el 31 de diciembre. Consulta nuestra lista de verificación para el nombramiento del referente CSIRT.

No arriesgues sanciones. Gestiona la conformidad NIS2 sin estrés.

Contacta hoy a nuestros expertos para obtener más información, mantenerte actualizado y recibir un soporte rápido y eficaz para alcanzar con éxito la conformidad.