Il punto di contatto NIS2 e la persona che funge da interfaccia tra l'organizzazione e l'ACN. E obbligatorio designarlo e registrarlo sulla piattaforma dell'Agenzia. Ma chi dovrebbe essere? Quali competenze deve avere? E come si formalizza la nomina?
Requisiti del punto di contatto
La normativa non specifica requisiti formali precisi, ma nella pratica il punto di contatto deve: avere accesso e conoscenza dei sistemi informativi dell'organizzazione, essere raggiungibile h24 per le emergenze, avere l'autorita per coordinare le risposte agli incidenti, saper interagire con l'ACN e il CSIRT a livello tecnico e organizzativo.
Chi nominare
| Profilo | Pro | Contro |
|---|---|---|
| CISO | Competenza tecnica completa | Potrebbe mancare in azienda |
| Responsabile IT | Conosce l'infrastruttura | Potrebbe non avere visione strategica |
| DPO | Esperienza normativa | Potrebbe mancare competenza tecnica cyber |
| Manager dedicato | Focus esclusivo NIS2 | Costo aggiuntivo |
| Consulente esterno | Competenza specialistica | Meno conoscenza del business |
Come formalizzare la nomina
La nomina deve essere formalizzata con una delibera del CdA o una lettera di incarico che specifichi: identita del punto di contatto, ambito delle responsabilita, deleghe operative, risorse assegnate, obblighi di reportistica verso il management. Il punto di contatto va poi registrato sulla piattaforma ACN.
Backup del punto di contatto
Cosa succede se il punto di contatto e in ferie quando arriva un'ispezione ACN? Serve un sostituto. Designa almeno una persona come backup, con le stesse credenziali sulla piattaforma ACN e la stessa conoscenza dei processi. Un incidente alle 3 di notte di sabato non aspetta il lunedi.