Home

Internal

Global

Kontakt

de|it

1 Unternehmen | 50 Länder – Über 6.000 Kolleginnen und Kollegen |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.

NIS2-Richtlinie: Einhaltungsanforderungen nach der Benachrichtigung durch die ACN

veröffentlicht am 6. Mai 2025 | Lesedauer ca. 4 Minuten

Die Nationale Agentur für Cybersicherheit (ACN) hat offiziell die Umsetzungsphase der Richtlinie (EU) 2022/2555 („NIS2-Richtlinie“) eingeleitet, die in Italien durch das Gesetzesdekret 138/2024 („NIS-Dekret“) umgesetzt wurde.

Seit dem 15. April 2025 hat die ACN mit dem Versand von Benachrichtigungen an Unternehmen und Organisationen begonnen, die sich bis zum 10. März 2025 im offiziellen ACN-Portal registriert haben, wobei in einigen Fällen davon ausgegangen wird, dass sie in den Anwendungsbereich der Richtlinie fallen, was den Beginn der Verpflichtungen zur Einhaltung der neuen Cybersicherheitsstandards markiert. Nachfolgend fassen wir die wichtigsten Compliance-Verpflichtungen für die betroffenen Parteien zusammen.

Die von der Agentur über PEC (zertifizierte E-Mail) versandten Mitteilungen stellen die offizielle Bestätigung der Aufnahme (oder des Ausschlusses) des Empfängers unter die Verpflichteten zur Einhaltung der NIS2-Richtlinie dar, wie sie in Italien durch das NIS2-Dekret umgesetzt wurde. Der Erhalt dieser Mitteilung löst für diese Organisationen und Einrichtungen eine Reihe von Verpflichtungen mit unterschiedlichen Fristen aus.

Die von der ACN verfolgte Strategie sieht eine schrittweise Umsetzung vor, die darauf abzielt, Unternehmen und Organisationen schrittweise zur vollständigen Einhaltung zu führen, regulatorische Überlastungen zu vermeiden und die Einführung strukturierter und tatsächlich wirksamer Maßnahmen zu fördern.

Ab dem 15. April und bis zum 31. Mai 2025 müssen die sogenannten „essentiellen“ und „wichtigen“ Akteure, die als Teil des NIS2-Geltungsbereichs betrachtet werden, die Informationen gemäß Artikel 7 des NIS-Dekrets übermitteln oder aktualisieren, einschließlich:

der vollständige Liste der öffentlichen IP-Adressen, die von der Organisation verwendet oder zur Verfügung gestellt werden, sowie der registrierten oder anderweitig verfügbaren Domainnamen, einschließlich derjenigen, die derzeit inaktiv, aber weiterhin verwaltet werden;
der Liste der Mitgliedstaaten der Europäischen Union, in denen die von der Verordnung betroffenen Dienste angeboten werden (sofern zutreffend);
der natürlichen Personen, die für die Organisation verantwortlich sind (gesetzlicher Vertreter und/oder Bevollmächtigter mit der Befugnis zur Vertretung), mit Angabe ihrer Rolle innerhalb der Organisation und ihrer aktualisierten Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern;
eines Ersatzes für den bereits im ACN-Portal bei der Registrierung angegebenen Ansprechpartner, mit Angabe der Rolle innerhalb der Organisation und der aktualisierten Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern.

Die ACN wird einen speziellen Bereich im Service-Portal bereitstellen, in dem die Akteure diese Informationen eintragen und aktualisieren können. Jede Änderung muss innerhalb von 14 Tagen mitgeteilt werden.

Zudem hat die ACN-Verordnung Nr. 164179 vom 14. April 2025 weitere Fristen für die Erfüllung der Verpflichtungen gemäß der NIS2-Verordnung festgelegt:

innerhalb von 9 Monaten nach Erhalt der Mitteilung über die Aufnahme in die Liste der NIS2-Akteure (d.h. bis Januar 2026) müssen die Empfänger eine geeignete Cybersicherheits-Governance einführen, indem sie geeignete Richtlinien und Verfahren zur Meldung von signifikanten Vorfällen gemäß den Anhängen 3 und 4 der Verordnung implementieren;
innerhalb von 18 Monaten nach derselben Mitteilung (d.h. bis Oktober 2026) müssen die grundlegenden Sicherheitsmaßnahmen gemäß den Anhängen 1 und 2 der Verordnung umgesetzt werden. Im Wesentlichen handelt es sich dabei um die Implementierung von 37 technischen und organisatorischen Maßnahmen, unterteilt in 87 Anforderungen, für die wichtigen Akteure, die im Rahmen des Nationalen Rahmens für Cybersicherheit und Datenschutz entwickelt wurden. Essenzielle Akteure müssen zusätzlich 6 weitere Maßnahmen und 29 Anforderungen umsetzen, insgesamt also 43 Maßnahmen und 116 Anforderungen.

Die NIS2-Richtlinie stellt eine wichtige Weiterentwicklung der europäischen Cybersicherheitsgesetzgebung dar. Angesichts des Risikos erheblicher finanzieller Sanktionen (bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes) ist es von entscheidender Bedeutung, dass Organisationen die genannten Verpflichtungen und die vorgesehenen technischen und organisatorischen Maßnahmen zeitnah umsetzen, indem sie so schnell wie möglich die notwendigen Bewertungsaktivitäten einleiten, um ihre aktuelle Cybersicherheitslage zu „fotografieren“ und etwaige Lücken im Vergleich zu den Anforderungen der neuen Gesetzgebung zu identifizieren.

Die Einhaltung der Vorschriften bedeutet nicht nur, eine gesetzliche Verpflichtung zu erfüllen, sondern stellt auch eine konkrete Gelegenheit dar, den Schutz der eigenen Systeme zu stärken und Cybervorfälle zu verhindern.