NIS2: Regulatorische Änderungen im Bereich der Cybersicherheit in Italien

veröffentlicht am 12. November 2024 | Lesedauer ca. 3 Minuten

Cybersicherheit war noch nie ein so dringendes und entscheidendes Thema für Organisationen, sowohl im privaten als auch im öffentlichen Sektor.

Mit der Einführung der Richtlinie 2022/2555 („NIS 2”) am 16. Oktober 2024 und dem Inkrafttreten des Umsetzungsdekrets Nr. 138/2024 („Dekret”) erfährt die Regulierungslandschaft eine bedeutende Entwicklung, die sofortige Aufmerksamkeit erfordert, da strengere Anforderungen an das Risikomanagement und die Meldung von Zwischenfällen eingeführt und der Anwendungsbereich auf mehr Akteure und Sektoren ausgedehnt werden.

In aller Kürze, NIS2 verlangt von den Organisationen, dass sie:

Entwicklung eines risikobasierten Ansatzes zur Überprüfung der Sicherheit von Infrastrukturen und zur Verbesserung der operationellen Widerstandsfähigkeit („Bewertung” oder „assessment”);
den Grad ihres Sicherheitsrisikos zu bewerten („Lückenanalyse” oder „gap analysis”);
Ermittlung und Ergreifung geeigneter und verhältnismäßiger technischer, betrieblicher und organisatorischer Abhilfemaßnahmen zur Beherrschung der Sicherheitsrisiken für die Informations- und Netzsysteme, die diese Stellen bei ihren Tätigkeiten oder bei der Erbringung ihrer Dienste nutzen, und zur Verhinderung oder Minimierung der Auswirkungen von Zwischenfällen für die Empfänger ihrer Dienste und für andere Dienste, die ein hohes Maß an Cybersicherheit gewährleisten („Abhilfemaßnahmen”). Dazu gehören die Meldung von Vorfällen an das CSIRT und die Einführung von Zertifizierungssystemen für Cybersicherheit;
ihre Wirksamkeit zu überwachen („Monitoring”), unter anderem durch die Erwägung der Ernennung eines Cybersicherheitsbeauftragten.

Um eine angemessene Einhaltung der Vorschriften zu erreichen, gibt das Dekret den Organisationen die durchzuführenden Tätigkeiten und den Zeitrahmen vor und hilft ihnen so, Prioritäten zu setzen.

Das Dekret sieht vor, dass sich Organisationen ab dem 1. Januar 2025 auf der digitalen Plattform der Nationalen Agentur für Cybersicherheit (ACN) registrieren lassen müssen, und zwar nur dann, wenn die Prüfung der Anwendbarkeit oder Nichtanwendbarkeit der Verordnung auf die einzelne Organisation positiv ausfällt.

Das Screening sollte daher vor Beginn des Registrierungszeitraums und somit bis Ende 2024 abgeschlossen sein.

Außerdem ist zu bedenken, dass:

Januar 2025 müssen Anbieter von Domänennamensystemen, Betreiber von Registern für Top-Level-Domänennamen, Anbieter von Domänennamenregistrierungsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Content-Delivery-Netzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerke die Registrierung abschließen;
Zwischen dem 1. April 2025 und dem 15. April 2025 wird ACN über die Plattform die registrierten Fächer über ihre Aufnahme in die Liste der wesentlichen oder wichtigen Fächer informieren;
Bis zum 15. April 2025 müssen diejenigen, die die Mitteilung erhalten haben, durch einen besonderen Rechtsakt eine Person benennen, die für die Erfüllung der Verpflichtungen des Dekrets verantwortlich ist;
Zwischen dem 15. April und dem 31. Mai 2025 müssen diejenigen, die die Mitteilung erhalten haben, die in der Verordnung geforderten zusätzlichen Informationen vorlegen. Informationen, die sich genau aus den oben genannten Bewertungs- und Lückenanalyseaktivitäten ergeben;
Ab 2026 müssen dann Sanierungs- und Überwachungsmaßnahmen ergriffen werden.

Bei Nichteinhaltung dieser Vorschriften können Organisationen mit empfindlichen Strafen belegt werden (z. B. maximal 0,1 Prozent des gesamten Jahresumsatzes bei wesentlichen Themen; 0,07 Prozent des gesamten Jahresumsatzes bei wichtigen Themen). Darüber hinaus kann ACN in bestimmten Fällen sogar die Dienste von Organisationen aussetzen.

In Anbetracht dessen ist es für alle privaten und öffentlichen Organisationen erforderlich, zunächst eine erste Prüfung der Anwendbarkeit der neuen Rechtsvorschriften bis Ende 2024 vorzunehmen.