Die NIS2-Richtlinie, die am 17. Januar 2023 (in Italien am 16. Oktober) in Kraft trat, stellt eine tiefgreifende Veränderung gegenüber der vorherigen NIS-Richtlinie dar. Dieser Rechtsrahmen zielt darauf ab, eine gemeinsame Cyber-Strategie für alle EU-Mitgliedstaaten zu schaffen, mit dem Hauptziel, das Sicherheitsniveau digitaler Dienste in der gesamten EU zu erhöhen
Die Umsetzungssaison der europäischen NIS2-Richtlinie hat offiziell begonnen, was einen mehr als bedeutenden Wandel im Ansatz des Informationssicherheitsmanagements darstellt.
Bei aller Wertschätzung für die kommunikativen Bemühungen der Nationalen Agentur für Cybersicherheit (NCA), die den Aspekt des repressiven und sanktionierenden Prozesses hinter die Förderung der aktiven Beteiligung zurückstellt, ist es offensichtlich, dass der Prozess der Umsetzung der Ziele der Richtlinie nicht nur in einer formalen Verbeugung vor dem Sicherheitsmanagementsystem - was gemeinhin als "Sicherheit auf dem Papier" bezeichnet wird - gelöst werden kann, sondern stattdessen eine erhebliche Anstrengung erfordert, um konkrete und nachhaltige Sicherheitsziele zu definieren.
Die NIS2-Richtlinie ist ein wichtiger Schritt hin zu mehr Cybersicherheit und Widerstandsfähigkeit in ganz Europa. Wenn es um Verordnungen und Richtlinien geht, sehen viele Unternehmen die Einhaltung von Vorschriften als das ultimative Ziel an: etwas, das sie erfüllen müssen, indem sie Mindestanforderungen einhalten. Dies sollte jedoch als Ausgangspunkt für das Erreichen eines höheren Niveaus der Cybersicherheit gesehen werden.
Die NIS2-Richtlinie ist das Ergebnis einer umfassenden Überarbeitung der NIS und stellt einen weiteren wichtigen Schritt auf dem Weg zur vollständigen Definition der europäischen Cyber-Strategie dar, die angemessene, koordinierte und innovative Reaktionen der Mitgliedstaaten vorsieht, um die Kontinuität digitaler Dienste im Falle von Sicherheitsvorfällen zu gewährleisten.
Die NIS2 erweitert den Anwendungsbereich im Vergleich zur vorherigen NIS-Richtlinie erheblich und schließt wichtige Sektoren wie die Abfallwirtschaft, den Verkehr, die Lebensmittelindustrie, die Trinkwasserversorgung und -verteilung, die digitale Infrastruktur, die öffentliche Verwaltung, die Produktion, Forschung und Entwicklung von Arzneimitteln und Medizinprodukten sowie den Raumfahrtsektor ein.
Das Gesetzesdekret 138/2024, mit dem die NIS2-Richtlinie in italienisches Recht umgesetzt wird, besagt, dass die Bestimmungen ab dem 16. Oktober 2024 gelten werden.
Die Verordnung gilt nicht für kleine Unternehmen , es sei denn, das Unternehmen ist als "kritisch" im Sinne der Richtlinie über den Schutz kritischer Infrastrukturen eingestuft, ein Anbieter öffentlicher elektronischer Kommunikationsnetze, ein Anbieter von Vertrauensdiensten oder fällt in eine andere Kategorie, die als wesentlich angesehen wird.
Die NIS2 gilt auch für Unternehmen mit weniger als 50 Beschäftigten, wenn sie eine wesentliche Dienstleistung in einem Mitgliedstaat erbringen, wenn ihre Dienstleistung für die öffentliche Sicherheit oder Gesundheit von entscheidender Bedeutung ist oder wenn sie Teil der Lieferkette eines wesentlichen oder wichtigen Unternehmens sind.
Diese operative Komplexität spiegelt sich in der Entscheidung des italienischen Gesetzgebers für ein "Schichtenmodell" wider. Die erste Ebene ist die Standardebene, d. h. die Ebene der wesentlichen oder wichtigen Subjekte, die die Größengrenzen für kleine Unternehmen überschreiten. Die zweite Ebene besteht aus den Unternehmen, die unabhängig von ihrer Größe oder ihrem Umsatz in bestimmte vorgeschriebene Kategorien fallen.
Ein erhebliches Problem stellt die tatsächliche Messung des Größenaspekts dar, da auf den Begriff "verbundene Unternehmen" Bezug genommen wird, über den in der Geschäftswelt nicht immer absolute Klarheit herrscht.
Die Verbindung zwischen zwei oder mehreren Unternehmen ist theoretisch unabhängig von der Absicht, eine echte formalisierte Gruppe zu bilden, was zur Folge hat, dass diejenigen Unternehmen von der Gruppe der kleinen und mittleren Unternehmen ausgeschlossen werden, die selbst bei einer Einzelbetrachtung die in der Vorschrift vorgesehenen Größengrenzen nicht erreichen würden.
Wenn wir von der Idealität des Prozesses zum konkreten Ansatz übergehen, stellt sich das Problem etwas anders dar, da es mit der wirtschaftlichen Größe eines Landes kollidiert, dessen grundlegende Struktur aus einer großen Anzahl von kleinen und mittleren Unternehmen besteht. Dies stellt eine große Herausforderung für die Umsetzung der NIS2 dar, die für kleinere Unternehmen eine zu große Belastung darstellen könnte.
Die NIS2-Richtlinie wurde mit dem Ziel geschaffen, die Cybersicherheit in der Europäischen Union zu verbessern, und sieht nur verwaltungsrechtliche und strafrechtliche Sanktionen vor. Wesentliche Betreiber können mit Geldbußen von bis zu 10 Mio. EUR oder 2 % des weltweiten Gesamtumsatzes belegt werden. Gegen große Betreiber können dagegen Geldbußen von bis zu 7 Millionen Euro oder bis zu 1,4 Prozent des gesamten weltweiten Umsatzes verhängt werden.
Das Gesetzesdekret führt eine Gewissheit ein: Es wird eine Verantwortung der Geschäftsführung und der Leitungsorgane geben. Die Leitungsorgane der Unternehmen werden aufgefordert, eine aktive Rolle bei der Einhaltung der Rechtsvorschriften zu spielen, sie müssen die Durchführung von Maßnahmen zum Sicherheitsrisikomanagement genehmigen, die Umsetzung der in den Rechtsvorschriften festgelegten Verpflichtungen überwachen und werden bei Verstößen haftbar gemacht.
Das Umsetzungsdekret verschärft die Anforderungen an die Meldung von Vorfällen und legt fest, dass Vorfälle, die erhebliche Auswirkungen auf die Erbringung von Dienstleistungen haben, dem CSIRT Italien unverzüglich gemeldet werden müssen. Das Meldeverfahren sieht strenge Fristen vor: eine Vorabmeldung innerhalb von 24 Stunden, eine Meldung innerhalb von 72 Stunden nach dem Ereignis und ein Abschlussbericht innerhalb eines Monats nach dem Ereignis.
Die NIS2-Richtlinie legt eine Reihe von Hauptanforderungen fest, die Organisationen erfüllen müssen, um ein hohes Maß an Cybersicherheit zu gewährleisten. Zu diesen Anforderungen gehören: Risikoanalysen und Strategien für die Sicherheit von Informationssystemen, Strategien zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen sowie grundlegende digitale Hygienepraktiken und Schulungen zur Cybersicherheit.
Es zeigt sich, dass sich die Gesetzgebung zur Umsetzung der NIS2-Richtlinie nicht nur auf die als sehr kritisch oder kritisch eingestuften Sektoren konzentriert, sondern in weitsichtiger Weise auch auf deren Zulieferer, wodurch die Zahl der von der Anwendung des Gesetzesdekrets voraussichtlich betroffenen Personen erheblich erweitert wird.
Die NIS-2-Richtlinie sieht vor, dass die Verpflichteten geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen müssen, um die Sicherheitsrisiken für Informationssysteme und -netze zu beherrschen, wobei auch die Sicherheit der Lieferkette zu berücksichtigen ist, einschließlich der Sicherheitsaspekte, die die Beziehungen zwischen jeder Einrichtung und ihren direkten Lieferanten oder Dienstleistern betreffen.
Damit beginnt der Wettlauf um die Einhaltung der Vorschriften, der bis Oktober 2026 abgeschlossen sein muss. Bis Anfang 2025 müssen die Unternehmen, die als NIS2-Subjekte identifiziert wurden, alle geplanten Maßnahmen, einschließlich der IT-Sicherheitsmanagementsysteme und der Verantwortlichkeiten des Managements, umsetzen. Bis Mai 2025 müssen die Unternehmen ihre Daten in der institutionellen Plattform aktualisieren. Im Januar 2026 tritt die formelle Verpflichtung zur rechtzeitigen Meldung bedeutender Vorfälle in Kraft, und bis September 2026 müssen die Organisationen alle erforderlichen Sicherheitsmaßnahmen umgesetzt haben.
Ab dem 16. Oktober 2024 ist die neue Verordnung über die Netz- und Informationssicherheit (NIS) in Kraft. ACN ist die für die NIS zuständige Behörde und die zentrale Anlaufstelle. Vom 1. Dezember 2024 bis zum 28. Februar 2025 müssen sich mittlere und große Unternehmen, in einigen Fällen auch Klein- und Kleinstunternehmen, sowie öffentliche Verwaltungen, für die die neue Gesetzgebung gilt, auf dem ACN-Serviceportal registrieren.
Die zunehmende Vernetzung und Digitalisierung der Gesellschaft hat dazu geführt, dass Institutionen, Unternehmen und Bürger zunehmend Cyber-Bedrohungen ausgesetzt sind.
Die oberste Leitung der Nationalen Agentur für Cybersicherheit hat sich öffentlich dazu verpflichtet, diesen Prozess nachhaltig zu gestalten, der einen echten Wendepunkt für die Fähigkeit des Landes darstellen kann, mit den wachsenden Bedrohungen umzugehen. Es wird abzuwarten sein, wie das Produktions- und Verwaltungsgefüge des Landes auf diesen ganz offensichtlich tiefgreifenden kulturellen Wendepunkt reagieren kann, der, wie man intuitiv weiß, weder ein Spaziergang noch "kostenneutral" sein wird.
Die Anpassung an NIS2 ist daher nicht nur eine Frage der Einhaltung des Standards, sondern kann auch eine gute Gelegenheit sein, eine Sicherheitskultur sowie technische und organisatorische Best-Practices im Unternehmen einzuführen, die das Niveau der IT-Sicherheit erheblich anheben können. Es ist jedoch wichtig, bereits jetzt mit der Ausarbeitung eines Anpassungsplans zu beginnen, um die verschiedenen Unternehmensressourcen und das Personal schrittweise und in angemessenen regelmäßigen Schulungszyklen auf den neuen Standard einzustellen.
Auch wenn Sie nicht zu den Unternehmen gehören, die zur Einhaltung der NIS2-Richtlinie verpflichtet sind, ist es wichtig, einen Kurs zur Sensibilisierung für Cyberrisiken zu beginnen, um die Zukunft Ihres Unternehmens zu schützen.
NIS2 stellt daher eine komplexe, aber notwendige Herausforderung für italienische Unternehmen dar. Während sie neue Verpflichtungen und Verantwortlichkeiten auferlegt, die belastend erscheinen mögen, bietet sie auch die Möglichkeit, IT-Sicherheit als strategisches Element und nicht nur als Kostenfaktor zu überdenken.
.svg)
.svg)
.svg)
.jpeg)
.jpeg)