Find results in Italiano
Please search something!

NIS-2-Richtlinie: Was ist das, wer muss sich daran halten und wie erreicht man die Konformität

Die NIS-2-Richtlinie (EU-Richtlinie 2022/2555), in Kraft getreten am 17. Januar 2023, stellt eine entscheidende Aktualisierung der EU-Gesetzgebung zur Sicherheit von Netzwerken und Informationen dar.
Group 29 Copy 2Created with Sketch.
Group 29 Copy 2Created with Sketch.
NIS-2-Richtlinie: Was ist das, wer muss sich daran halten und wie erreicht man die Konformität

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist ein bedeutender Schritt vorwärts in der europäischen Gesetzgebung und zielt darauf ab, das Niveau der Informationssicherheit innerhalb der Europäischen Union zu stärken, auch dank der Wechselwirkung mit anderen Richtlinien.

Die Einhaltung dieser Vorschriften beschränkt sich nicht nur darauf, eine gesetzliche Verpflichtung zu erfüllen, sondern stellt auch einen strategischen Meilenstein für Organisationen dar, die ihre digitalen und physischen Vermögenswerte schützen, das Vertrauen der Verbraucher stärken und ihre Wettbewerbsfähigkeit auf dem Markt verbessern wollen.

NIS2 in Italien: vom Inkrafttreten zu den operativen Fristen

Das Gesetzesdekret Nr. 138, das die Richtlinie (EU) 2022/2555, besser bekannt als NIS2-Richtlinie, umsetzt, wurde am 1. Oktober 2024 im Amtsblatt veröffentlicht. Nach dem üblichen Verfahren tritt das Gesetzesdekret 15 Tage nach der Veröffentlichung in Kraft; daher tritt das neue NIS2-Dekret offiziell am 16. Oktober 2024 in Kraft. Der vollständige Text des Gesetzesdekrets Nr. 138 kann über die offiziellen Kanäle unter diesem Link eingesehen werden.

Die operative Umsetzungsphase hat 2025 und 2026 begonnen. Die ACN hat die Mitteilungen über die Aufnahme in die NIS-Liste zwischen April und Mai 2025 versandt: Ab diesem Datum laufen neun Monate bis zur Aufnahme der Meldepflichten für Vorfälle an das CSIRT Italia und achtzehn Monate für die Einführung der grundlegenden Sicherheitsmaßnahmen, mit einer Konzentration der Fristen im Oktober 2026.

Erstmals im Jahr 2026 in die Liste aufgenommene Unternehmen folgen einem verschobenen Zeitplan: Vorfallsmeldung ab dem 1. Januar 2027 und grundlegende Sicherheitsmaßnahmen bis zum 31. Juli 2027. Jährlich müssen alle NIS-Unternehmen bis zum 31. Mai ihre Angaben auf der ACN-Plattform aktualisieren.

NIS2: Definition und Ziele

Die neue NIS2-Richtlinie zielt darauf ab, eine gemeinsame Cybersicherheitsstrategie für alle Mitgliedstaaten zu etablieren und die Sicherheitsniveaus digitaler Dienste auf europäischer Ebene zu erhöhen. Sie integriert sich mit anderen Vorschriften und Leitlinien zum Datenschutz, wie der DSGVO, der DORA-Verordnung und dem Cyber Resilience Act, um den immer komplexeren und invasiveren Cyberbedrohungen zu begegnen, die in den letzten Jahren signifikant zugenommen haben.

Unterschiede zur NIS-Richtlinie

Die NIS 2-Richtlinie erweitert die frühere NIS-Richtlinie um eine Reihe bedeutender Änderungen. Erstens beseitigt sie die Unterscheidung zwischen Betreibern wesentlicher Dienste (OSE) und Anbietern digitaler Dienste (DSP), indem sie neue Betreiberkategorien auf der Grundlage der Bedeutung des angebotenen Dienstes einführt.

Darüber hinaus erweitert sie die Cybersicherheitspflichten auf eine größere Anzahl von Sektoren und Diensten, die als kritisch für das sozioökonomische Funktionieren der EU angesehen werden. Dazu gehören neben bereits abgedeckten Sektoren auch Cloud-Computing-Plattformen, Rechenzentren und Gesundheitsdienste.

Die Richtlinie legt auch einen detaillierteren Rahmen für Sicherheitsmaßnahmen fest, der einen multiriskanten Ansatz und die rechtzeitige Meldung bedeutender Vorfälle an die zuständigen Behörden erfordert.

NIS2: Erfüllung und Anforderungen

Wer unterliegt NIS2

Die NIS 2-Richtlinie erweitert den Anwendungsbereich im Vergleich zur früheren NIS-Richtlinie und umfasst eine breite Palette von Sektoren und Organisationen, sowohl öffentliche als auch private, mit dem Ziel, die Cybersicherheit innerhalb der Europäischen Union zu stärken.

  • Hochkritische Sektoren: Diese Sektoren gelten als lebenswichtig für das sozioökonomische Funktionieren der EU, und daher unterliegen Organisationen, die in diesen Sektoren tätig sind, strengen Sicherheitsanforderungen.
  • Andere kritische Sektoren: Darüber hinaus identifiziert NIS 2 "andere kritische Sektoren", zu denen eine weitere Gruppe von Organisationen gehört, die den Sicherheitsanforderungen der Richtlinie entsprechen müssen.

Konkret gilt die Richtlinie für alle mittleren und großen Organisationen, die in den genannten Sektoren tätig sind, gemäß den in der Empfehlung 2003/361/EG der Europäischen Kommission definierten Größenkriterien.

Für die Zwecke der NIS2 ist die relevante Schwelle die eines mittleren Unternehmens: mindestens 50 Beschäftigte oder ein Jahresumsatz bzw. eine Jahresbilanz von mehr als 10 Millionen Euro. Organisationen unterhalb beider Schwellenwerte sind in der Regel ausgenommen, es sei denn, ihre Tätigkeit wird auf nationaler Ebene als kritisch eingestuft.

Hauptanforderungen von NIS2

Die NIS 2-Richtlinie legt eine Reihe von Hauptanforderungen fest, die Organisationen erfüllen müssen, um ein hohes Maß an Informationssicherheit zu gewährleisten. Diese Anforderungen umfassen:

  • Risikoanalyse- und Sicherheitspolitiken für Computersysteme
  • Incident Management
  • Business Continuity
  • Supply Chain Security
  • Sicherheit bei der Beschaffung, Entwicklung und Wartung von Computersystemen und Netzwerken
  • Strategien und Verfahren zur Bewertung der Wirksamkeit von Cybersecurity-Risikomanagementmaßnahmen
  • Grundlegende digitale Hygiene-maßnahmen und Schulungen zur Cybersicherheit
  • Richtlinien und Verfahren zur Nutzung von Verschlüsselung
  • Sicherheit des Personals, Zugriffssteuerungsstrategien und Asset-Management (Hardware, Software, Daten)
  • Verwendung von Mehrfaktor-Authentifizierungslösungen oder kontinuierlicher Authentifizierung

Besonderes Augenmerk gilt der Sicherheit der Lieferkette. Die Richtlinie verpflichtet Unternehmen dazu, die mit Lieferanten und Partnern verbundenen Risiken zu identifizieren, zu bewerten und sorgfältig zu managen — durch präventive Maßnahmen und regelmäßige Kontrollen, um potenzielle Schwachstellen entlang der gesamten Lieferkette zu reduzieren. Diese Anforderungen sollen sicherstellen, dass Organisationen in der Lage sind, Cyberbedrohungen zu identifizieren, zu verhindern und effektiv darauf zu reagieren, und so kritische Infrastrukturen und sensible Daten zu schützen.

Ab dem 15. April 2026, mit dem ACN-Beschluss Nr. 127437/2026, ist das Management der Lieferkettensicherheit zu einer formellen Pflicht geworden: Jährlich müssen NIS-Unternehmen der ACN eine Liste ihrer relevanten Lieferanten mitteilen, unter Angabe von Name, Land, CPV-Codes und Relevanzkriterium. Ein Lieferant gilt als relevant, wenn er IKT-Dienstleistungen erbringt oder wenn seine eventuelle Unterbrechung die Kontinuität der NIS-Dienste gefährden würde, auch wenn keine Alternativen verfügbar sind.

Die Regelung schließt auch kritische nicht-digitale Abhängigkeiten ein: nicht nur Cloud-Anbieter und MSPs, sondern jeden für den Betrieb unverzichtbaren Lieferanten. Für Unternehmen in Norditalien mit komplexen Lieferketten — Produktion, Logistik, Unternehmensdienstleistungen — bedeutet dies eine strukturierte Lieferantenanalyse und eine Überprüfung der Vertragsklauseln mit als relevant eingestuften Lieferanten.

Vorteile von NIS2 und wie man sie umsetzt

Vorteile von NIS2 für Unternehmen

Die NIS2-Richtlinie bietet zahlreiche konkrete Vorteile für Unternehmen, indem sie ein sichereres und widerstandsfähigeres digitales Umfeld fördert. Zunächst einmal kann die Einführung von Cyber-Resilienz-Strategien auf Basis der Anforderungen der NIS2 dazu beitragen, die digitale Hygiene und die Sicherheitslage einer Organisation zu verbessern, mit dem Ziel, das Risiko von Cybervorfällen zu verringern, die Cyberresilienz zu stärken und die Geschäftskontinuität zu fördern.

Die Einführung von Risikomanagement- und IT-Sicherheits-Governance-Praktiken, wie sie in der Richtlinie gefordert werden, kann auch positiv zur Entwicklung einer internen Kultur der Cybersicherheit und Cyber Resilience beitragen. Die Verbreitung einer Unternehmenskultur der Cybersicherheit kann das Bewusstsein und die Vorbereitung der Mitarbeiter erhöhen, wodurch das Unternehmen potenziell robuster gegenüber aufkommenden Bedrohungen wird.

Darüber hinaus sind die Bestimmungen der Richtlinie seit 2024 geltendes Recht, und die Nichteinhaltung wird vom italienischen Staat sanktioniert. Es ist daher unerlässlich, dass alle Organisationen, die in den Anwendungsbereich der NIS2 fallen, die Konformität mit der Richtlinie erlangen, um Sanktionen durch die zuständigen Behörden zu vermeiden.

Vorbereitung auf die Implementierung

Um sich auf die Umsetzung der NIS2 vorzubereiten, müssen Unternehmen mit einer Risikobewertung beginnen, um geeignete Maßnahmen zu planen. Es ist entscheidend, einen ein solides Governance-Framework zu etablieren, um Rollen und Verantwortlichkeiten der wichtigsten Stakeholder zu identifizieren und zu dokumentieren.

Ein weiterer wichtiger Aspekt ist die regelmäßige Schulung der Mitarbeiter, um ihr Bewusstsein zu schärfen und gemeinsame digitale Hygienepraktiken zu verbreiten. Es ist notwendig, einen strukturierten Ansatz bei den Cybersecurity-Lösungen für die NIS2 zu verfolgen, mit dem Support eines qualifizierten Teams mit tiefem Know-how im IT-Bereich, um die Sicherheitslage zu erhöhen und die Widerstandsfähigkeit zu stärken. Schließlich ist es wichtig, regelmäßige Risikobewertungen und Sicherheitsüberprüfungen durchzuführen, um die Cybersicherheitslösungen auf dem neuesten Stand zu halten.

Ab Januar 2026 ist die Pflicht zur Meldung bedeutender Vorfälle vollständig in Kraft für die in der NIS-Liste 2025 eingetragenen Unternehmen. Die Organisationen müssen in der Lage sein, einen Vorfall zu erkennen, ihn gemäß den Kriterien des ACN-Beschlusses Nr. 379907/2025 zu qualifizieren und den Meldefluss an das CSIRT Italia zu aktivieren: Vorankündigung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb von 30 Tagen. Dies erfordert operative Überwachungstools, definierte Rollen und dokumentierte Verfahren. Eine präventive Bewertung der eigenen Reaktionsfähigkeit ist der nützlichste Ausgangspunkt.

Wesentliche und wichtige Einrichtungen: Was sind die Unterschiede?

Die NIS2 klassifiziert die verpflichteten Einrichtungen in zwei Kategorien mit unterschiedlichen Pflichten und Sanktionsregelungen. Wesentliche Einrichtungen sind in den elf hochkritischen Sektoren tätig (Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastrukturen, IKT-Dienste B2B, öffentliche Verwaltung, Weltraum) und unterliegen der proaktiven Aufsicht der ACN.

Wichtige Einrichtungen sind in den anderen sieben kritischen Sektoren tätig (Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Herstellung bestimmter Produkte, Anbieter digitaler Dienste, Forschung) und unterliegen einer reaktiven Aufsicht, die durch Meldungen oder Vorfälle ausgelöst wird. In beiden Fällen gelten dieselben Sicherheits- und Meldepflichten; was sich unterscheidet, ist die Intensität der Kontrollen und der maximale Sanktionsrahmen.

NIS2-Sanktionen: Was droht bei Verstößen?

Das durch das Gesetzesdekret 138/2024 eingeführte Sanktionssystem ist nach Kategorie gestaffelt. Für wesentliche Einrichtungen können Verwaltungssanktionen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes erreichen, je nachdem, was höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes. Neben Geldstrafen kann die ACN obligatorische Korrekturmaßnahmen, Sicherheitsaudits und — in den schwerwiegendsten Fällen bei wesentlichen Einrichtungen — die vorübergehende Einstellung der Tätigkeit anordnen.

Ein häufig unterschätztes Element ist die persönliche Verantwortung der Unternehmensleitung: Die NIS2 sieht vor, dass die Verwaltungs- und Leitungsorgane direkt für die Einhaltung der Pflichten verantwortlich sind und bei schwerwiegenden Verstößen persönlich haften können. Dies macht die Compliance zu einer Angelegenheit, die den Vorstand und die Geschäftsführung betrifft, nicht nur die IT-Abteilung.

Die NIS2-Fristen im Überblick

Die wichtigsten NIS2-Fristen 2026 für die bereits 2025 in die NIS-Liste aufgenommenen Einrichtungen — im Überblick:

  • Meldepflicht für bedeutende Vorfälle an das CSIRT Italia ab Januar 2026 in Kraft;
  • Einführung der grundlegenden Sicherheitsmaßnahmen bis Oktober 2026;
  • Jährliche Aktualisierung der Angaben auf der ACN-Plattform bis zum 31. Mai jeden Jahres; Mitteilung der relevanten Lieferanten im Rahmen der jährlichen Aktualisierung (ACN-Beschluss 127437/2026). Für erstmals 2026 in die Liste aufgenommene Einrichtungen: Vorfallsmeldung ab dem 1. Januar 2027; grundlegende Sicherheitsmaßnahmen bis zum 31. Juli 2027.

Häufig gestellte Fragen zur NIS2-Richtlinie

Ist mein Unternehmen zur NIS2-Konformität verpflichtet?

Die Pflicht gilt für Organisationen mit mindestens 50 Beschäftigten oder einem Jahresumsatz von mehr als 10 Millionen Euro, die in einem der von der Richtlinie erfassten Sektoren tätig sind. Wenn Ihr Unternehmen in Bereichen wie Herstellung von Medizinprodukten, Energie, Verkehr, digitale Infrastrukturen oder IKT-Dienste B2B tätig ist, sollten Sie Ihre Position prüfen. In einigen Fällen fallen auch kleinere Organisationen unter die Pflichten, wenn sie kritische Funktionen für den Staat erfüllen oder unverzichtbare Elemente in der Lieferkette eines NIS-Unternehmens sind.

Was ist der Unterschied zwischen einer wesentlichen und einer wichtigen Einrichtung?

Wesentliche Einrichtungen sind in den elf hochkritischen Sektoren tätig und unterliegen der proaktiven Aufsicht der ACN. Wichtige Einrichtungen sind in den anderen sieben kritischen Sektoren tätig und werden reaktiv kontrolliert. Die Sicherheits- und Meldepflichten sind für beide Kategorien gleich; was sich ändert, sind die Kontrollintensität und die Sanktionsobergrenzen: bis zu 10 Millionen Euro (oder 2% des Umsatzes) für wesentliche Einrichtungen, bis zu 7 Millionen Euro (oder 1,4% des Umsatzes) für wichtige Einrichtungen.

Welche technischen Maßnahmen erfordert die NIS2 konkret?

Die Richtlinie erfordert einen multiriskanten Ansatz, der umfasst: Mehrfaktor-Authentifizierung, Datenverschlüsselung, kontinuierliches Systemmonitoring, strukturiertes Incident Management, Business-Continuity- und Disaster-Recovery-Pläne, Kontrolle der Lieferkettensicherheit und Mitarbeiterschulung. Die Maßnahmen müssen dem Risikoprofil der Organisation angemessen und gegenüber der Aufsichtsbehörde nachvollziehbar dokumentiert sein.

Was riskiert ein Unternehmen, das die NIS2 nicht einhält?

Für wesentliche Einrichtungen können Sanktionen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes erreichen. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4% des Umsatzes. Die Behörden können obligatorische Audits, Korrekturmaßnahmen und — in den schwerwiegendsten Fällen — die vorübergehende Einstellung der Tätigkeit anordnen. Die Unternehmensleitung kann bei schwerwiegenden Verstößen persönlich haftbar gemacht werden.

Wie startet man einen NIS2-Konformitätsprozess?

Der Ausgangspunkt ist eine Gap-Analyse: eine Bestandsaufnahme der aktuellen Situation im Vergleich zu den Anforderungen der Richtlinie, die es ermöglicht, die prioritären Lücken zu identifizieren und einen Aktionsplan mit definierten Zeiten und Verantwortlichkeiten zu erstellen. Für viele KMU in Norditalien zeigt dieser Schritt, dass die vorhandenen Maßnahmen — Backup, Firewall, Antivirus — nicht ausreichen, um die NIS2-Anforderungen zu erfüllen, die einen systematischeren und dokumentierteren Sicherheitsansatz voraussetzen. ACS führt strukturierte Assessments durch, um Unternehmen in Trentino-Südtirol, Venetien und der Emilia-Romagna in dieser Phase zu begleiten.

Gilt die NIS2 auch für KMU?

Kleinstunternehmen und Kleinunternehmen (unter 50 Beschäftigte und 10 Millionen Umsatz) sind in der Regel ausgenommen. Es gibt jedoch Ausnahmen: Wenn ein KMU der einzige Anbieter einer wesentlichen Dienstleistung ist, kritische Funktionen für den Staat erfüllt oder sein Ausfall erhebliche Auswirkungen auf nationaler Ebene hätte, kann es unabhängig von seiner Größe unter die NIS2-Pflichten fallen. Ab 2026, mit der Pflicht zur Mitteilung relevanter Lieferanten, könnten auch einige KMU als Lieferanten von NIS-Unternehmen indirekt in den Regulierungsperimeter einbezogen werden.

Haben Sie noch Zweifel oder Fragen?