Die wichtigsten Auswirkungen der europäischen Cyber-Gesetzgebung für italienischen Unternehmen? Die NIS2

Das Gesetzesdekret (Italien: „Decreto Legislativo“) Nr. 138/2024 („NIS2-Dekret“), mit dem die NIS2-Richtlinie umgesetzt wird, verlangt von öffentlichen und privaten Organisationen, die in kritischen Sektoren tätig sind (z. B. Produktion, Herstellung und Vertrieb von Produkten, PCs, Software, Geräten, Maschinen, Kraftfahrzeugen, Verkehr, Energie, IKT-Diensten digitale Infrastruktur, Gesundheit, Wasser, Raumfahrt, elektronische Kommunikation, Anbieter digitaler Dienste, Forschung, Abfallwirtschaft, Postdienste, Registrierung von Domänennamen, Cloud usw.) und systemische Lieferanten, die Teil der Lieferkette, einschließlich der digitalen Lieferkette, einer oder mehrerer NIS2-regulierter Stellen sind.

Um eine angemessene Einhaltung der Vorschriften zu erreichen, gibt das Dekret den Organisationen insbesondere die durchzuführenden Tätigkeiten sowie den Zeitrahmen vor. Insbesondere:

Bis zum 17. Januar 2025 müssen sich Einrichtungen wie Cloud-Anbieter, Rechenzentren, Anbieter von Domänennamen oder Online-Marktplätze und bis zum 28. Februar 2025 auch andere Organisationen, die von der Verordnung betroffen sind, bei der Nationalen Agentur für Cybersicherheit (ACN) registrieren lassen, nachdem sie eine Prüfung der Anwendbarkeit der Verordnung erfolgreich abgeschlossen haben. Im Anschluss daran wird die ACN ab April 2025 die Anwendbarkeit der NIS2 für die registrierten Organisationen bestätigen oder nicht bestätigen, die dann mit den notwendigen Aktivitäten zur Einhaltung der Vorschriften beginnen können.

Bis zum 2025 müssen die Organisationen eine Bewertung ihrer technischen und organisatorischen Maßnahmen durchführen, einschließlich der Einführung von Mitarbeiterschulungsprogrammen zur IT-Sicherheit, und ab 2026 ihre Maßnahmen aktualisieren, die nicht vollständig mit den Vorschriften übereinstimmen, insbesondere in Bezug auf:

Bei Nichtregistrierung oder verspäteter Registrierung auf der digitalen Plattform innerhalb der in Art. 7 des Gesetzesdekrets (Italien: „Decreto Legislativo“) 138/2024 NIS 2 festgelegten Fristen kommen die in Art. 38 festgelegten Verwaltueurngsstrafen zur Anwendung. Verstöße im Zusammenhang mit der Nichtregistrierung werden mit Strafen in Höhe von bis zu 0,1 Prozent des weltweiten Jahresumsatzes (bzw. 0,07 Prozent des Jahresumsatzes bei größeren Unternehmen) sanktioniert. Darüber hinaus können im Falle der Nichtregistrierung auch andere Verstöße angefochten werden (in diesem Fall erhöht sich die Sanktion für den schwersten Verstoß um das bis zu Dreifachen).

Im Folgenden fassen wir die kommenden Fristen zusammen, die sich je nach den Festlegungen der Nationalen Agentur für Cybersicherheit (ACN) ändern können:

• ​17. Januar 2025

Bis zu diesem Zeitpunkt müssen bestimmte Kategorien von Organisationen, wie z. B. Anbieter von Domänennamensystemen, Betreiber von Domänennamenregistern, Anbieter von Cloud Computing und Datenzentren, die Registrierung auf der digitalen Plattform abschließen;

• ​28. Februar 2025

Bis zum 28. Februar 2025 müssen alle anderen in dem Erlass genannten wesentlichen und wichtigen Akteure die Registrierung oder Aktualisierung der erforderlichen Informationen auf der digitalen Plattform abschließen;

Die für die NIS zuständige nationale Behörde wird bis zum 31. März eines jeden Jahres die Liste der wesentlichen und wichtigen Themen auf der Grundlage der vorgenommenen Registrierungen erstellen. Die Einhaltung dieser Frist wird aller Voraussicht nach auch von der tatsächlichen Aktivierung der Plattform abhängen;

Unternehmen, die über ihre Aufnahme in die Liste der wesentlichen oder bedeutenden Unternehmen benachrichtigt wurden (fällig bis zum 31. März 2025), müssen über die digitale Plattform folgende Informationen bereitstellen oder aktualisieren: den öffentlichen IP-Adressraum und die verwendeten Domänennamen, die Liste der Mitgliedstaaten, in denen sie für das Dekret relevante Dienstleistungen erbringen, und die Namen der leitenden Personen, die für die Erfüllung der Verpflichtungen aus dem Dekret verantwortlich sind;

Ab dem Datum der Benachrichtigung über die Aufnahme ins Register haben die Unternehmen neun Monate Zeit, um ihren Meldepflichten gemäß Artikel 25 nachzukommen;

Die Verpflichtung zur Meldung der Liste der Tätigkeiten und Dienstleistungen, einschließlich ihrer Charakterisierung und Kategorisierung, wird am 1. Januar 2026 in Kraft treten. Ab diesem Zeitpunkt müssen die Unternehmen diese Informationen jährlich vorlegen;

Innerhalb von 18 Monaten nach Erhalt der Bekanntmachung, voraussichtlich ab Oktober 2026, müssen wichtige und bedeutende Einrichtungen ihre Verpflichtungen in Bezug auf Risikomanagement und Sicherheitsmaßnahmen erfüllen. Dazu gehören die Genehmigung von IT-Risikomanagement-Politiken und die Umsetzung von geeigneten Sicherheitsmaßnahmen.

Abschließend lässt sich sagen, dass die NIS2 eine neue Ära für die Unternehmensführung in Europa einläutet, die durch eine zunehmende Konzentration auf Sicherheit, Ethik und verantwortungsvolle Datenverwaltung gekennzeichnet ist. Die Unternehmen müssen daher eine strategische Vision entwickeln und in Technologie und Fachwissen investieren, um die Einhaltung der Vorschriften und die Wettbewerbsfähigkeit zu gewährleisten. Außerdem müssen sie geeignete technische und organisatorische Maßnahmen ergreifen, um eine rechtzeitige Meldung von Zwischenfällen und den Schutz von Netzen und Systemen zu gewährleisten. Die Schulung in Bezug auf alle genannten Maßnahmen spielt dann eine Schlüsselrolle sowohl bei der Verwaltung als auch bei der Einhaltung der Vorschriften. Die Anpassung an diese Vorschriften ist also nicht nur eine Verpflichtung, sondern auch eine Chance, sich einen Wettbewerbsvorteil zu verschaffen, der auf Sicherheit, Transparenz und Innovation beruht.​