Was die NIS2-Richtlinie beinhaltet und wie sich Unternehmen auf die neuen Cybersicherheitsstandards einstellen können
Am 1. Oktober 2024 veröffentlichte die italienische Regierung das Gesetzesdekret zur Umsetzung der NIS2-Richtlinie im Amtsblatt. Ziel der Richtlinie ist es, das allgemeine Cybersicherheitsniveau in den EU-Mitgliedstaaten zu stärken, indem die Einführung angemessener technischer und organisatorischer Maßnahmen zur Bewältigung von Cyberrisiken sichergestellt wird. Dazu gehört die Verbesserung der unternehmerischen Resilienz entlang des gesamten Risikomanagementprozesses – von der Prävention bis zur Minimierung der Auswirkungen möglicher Vorfälle.
Der Rechtsrahmen für Netzwerk- und Informationssicherheit (NIS) wurde mit anderen europäischen sektoralen Regelwerken abgestimmt, darunter der Digital Operational Resilience Act (DORA), der die Cybersicherheit im Finanzsektor stärken soll, sowie die Richtlinie über die Resilienz kritischer Einrichtungen (CER), die darauf abzielt, die Anfälligkeit kritischer Infrastrukturen wie Energieversorgung, Verkehr und Trinkwasserversorgung gegenüber hybriden Angriffen, Naturkatastrophen, terroristischen Bedrohungen und Gesundheitskrisen zu reduzieren.
Die neue Gesetzgebung entsteht in einem beispiellosen historischen Kontext: Die COVID-19-Pandemie und der Russland-Ukraine-Krieg haben die digitale Welt grundlegend verändert und Schwachstellen sowie Risiken erhöht. NIS2 stellt daher eine strategische und systematische Antwort dar, um die Resilienz in 18 besonders kritischen Sektoren zu stärken, darunter Energie, Telekommunikation, Logistik und Abfallwirtschaft. Sicherheit ist nicht nur eine regulatorische Verpflichtung, sondern auch eine strategische Entscheidung und kann für Unternehmen einen Wettbewerbsvorteil darstellen: Der Schutz des digitalen Perimeters gewährleistet Stabilität und Wettbewerbsfähigkeit.
Wesentliche Neuerungen der NIS2-Richtlinie
Die Richtlinie verpflichtet die Mitgliedstaaten zur Einführung nationaler Cybersicherheitsstrategien sowie zur Benennung nationaler Behörden, Notfallreaktionsstellen, zentraler Ansprechpartner sowie Überwachungs- und Sanktionsmechanismen. Darüber hinaus werden eine schnelle Reaktion auf schwerwiegende Vorfälle und die Zusammenarbeit zwischen den Mitgliedstaaten vorgeschrieben. Vorgesehen ist zudem die Einrichtung von Computer Security Incident Response Teams (CSIRT), die die Mitgliedstaaten und Wirtschaftsakteure unterstützen.
Die Richtlinie führt das Konzept der Sicherheit von Lieferketten und die damit verbundenen Anforderungen ein und erweitert die Kategorien der betroffenen Organisationen. Dazu zählen wesentliche Einrichtungen in besonders kritischen Sektoren sowie wichtige Einrichtungen innerhalb kritischer Bereiche, beispielsweise Betreiber wesentlicher Dienste und Anbieter digitaler Dienstleistungen.
Ein zentrales Thema ist der Schutz der Lieferkette: Jeder Akteur – von Lieferanten bis zu Wartungsdienstleistern – muss abgesichert werden, damit eine einzelne Schwachstelle nicht das gesamte System gefährdet. Die italienische Nationale Agentur für Cybersicherheit arbeitet bereits an der Definition flexibler und risikobasierter Maßnahmen, die bis April 2025 konkrete Leitlinien zum Schutz vor zunehmend komplexen Cyberangriffen bereitstellen sollen.
Pflichten und Fristen der NIS2-Richtlinie
Das Gesetzesdekret Nr. 138/2024 legt die Verpflichtungen und Fristen für die Umsetzung von NIS2 fest:
- Unternehmen und öffentliche Verwaltungen müssen prüfen, ob sie unter die Anforderungen der Richtlinie fallen.
- Vom 1. Dezember 2024 bis zum 28. Februar 2025 müssen die benannten Ansprechpartner sich mit SPID-Zugangsdaten auf dem Portal der Nationalen Agentur für Cybersicherheit (ACN) authentifizieren. In diesem Zeitraum müssen sie über den NIS-Registrierungsdienst eine Erklärung abgeben und die Vollständigkeit sowie Aktualität der bereitgestellten Informationen gewährleisten. Dazu gehören insbesondere: die Angabe, ob die Organisation Teil einer Unternehmensgruppe ist, einschließlich der Steuernummer der Muttergesellschaft; die Angabe verbundener Unternehmen und deren Steuernummern; die Nennung der Ateco-Codes, die die Tätigkeit der Organisation beschreiben; die Angabe relevanter europäischer Branchenvorschriften; die Bereitstellung von Umsatz-, Bilanz- und Mitarbeiterdaten zur Bestimmung der Unternehmenskategorie.
- Bis zum 17. Januar 2025 müssen Anbieter von DNS-Diensten, Betreiber von Top-Level-Domains, Domainregistrierungsdienste, Cloud-Computing-Anbieter, Rechenzentrumsbetreiber, Anbieter von Content-Delivery-Netzwerken, Managed-Service- und Sicherheitsdienstleister sowie Betreiber von Online-Marktplätzen, Suchmaschinen und sozialen Netzwerken ihre Registrierung auf der Plattform vornehmen.
- Bis zum 31. März 2025 erstellt die ACN auf Grundlage der Registrierungen eine Liste der wesentlichen und wichtigen Einrichtungen.
- Zwischen dem 1. und 15. April 2025 informiert die ACN die betroffenen Organisationen über ihre Einstufung als wesentliche oder wichtige Einrichtung.
- Bis zum 15. April 2025 müssen die benachrichtigten Organisationen durch einen formellen Beschluss eine verantwortliche Person für die Einhaltung der gesetzlichen Anforderungen benennen.
Die von der Richtlinie betroffenen Organisationen müssen darüber hinaus weitere Verpflichtungen erfüllen, darunter die Meldung von Sicherheitsvorfällen ab dem 1. Januar 2026 sowie die Einhaltung der Anforderungen an Verwaltungsorgane und Sicherheitsmaßnahmen bis zum 1. Oktober 2026.
Die Nationale Agentur für Cybersicherheit wird die Liste der betroffenen Organisationen jährlich aktualisieren. Unternehmen und öffentliche Verwaltungen haben jeweils zwischen Januar und Februar die Möglichkeit, sich neu zu registrieren, sofern sie davon ausgehen, in den Anwendungsbereich der Richtlinie zu fallen.
Nach Inkrafttreten von NIS2 und der Identifizierung der betroffenen Akteure können stichprobenartige Kontrollen und Überwachungsmaßnahmen durchgeführt werden, um die Einhaltung der Vorschriften zu überprüfen. Verstöße gegen die Anforderungen können für die betroffenen Unternehmen Sanktionen nach sich ziehen.
