Vektor-Illustration eines blauen Hintergrunds, in dessen Mitte NIS zwei steht. Um den Begriff ist ein Kreis aus gelben Sternen. Auf dem blauen Hintergrund ist eine Karte des Kontinenten Europas
© Konsta | stock.adobe.com

Italien setzt auf Cybersecurity

Das NIS-2-Dekret: Ein Überblick über die neuen Anforderungen für Unternehmen

Lesedauer: 6 Minuten

Italien
04.12.2024

Mit dem Gesetzesdekret vom 4. September 2024, Nr. 138 (“NIS-2-Dekret”), hat Italien die Richtlinie (EU) 2022/2555 umgesetzt, die Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union enthält (sog. “NIS-2-Richtlinie”).

Dieser Artikel wurde mit freundlicher Unterstützung unserer Vertrauenskanzlei Salatinolex - Avv. Gregorio Salatinoverfasst, die Ihnen für nähere Auskünfte gerne zur Verfügung steht.

Die darin vorgesehenen Bestimmungen gelten seit dem 18. Oktober 2024.

Verpflichtete Einrichtungen

Das NIS-2-Dekret legt unter anderem Verpflichtungen für die folgenden Einrichtungen fest:

  1. öffentliche und private Einrichtungen, die in den in Anhang I (hochkritische Sektoren) und Anhang II (andere kritische Sektoren) aufgeführten Sektoren tätig sind und die in Artikel 2 Absatz 1 des Anhangs der Empfehlung 2003/361/EG festgelegten Größenbeschränkungen für Kleinstunternehmen und kleine Unternehmen überschreiten;
  2. unabhängig von der Größe der Einrichtungen:
    1. Einrichtungen, die gemäß dem Gesetzesdekret Nr. 134/2024 (“CER-Dekret”) als kritisch identifiziert wurden;
    2. Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;
    3. Vertrauensdiensteanbietern;
    4. Namenregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern;
    5. Anbieter von Domänennamenregistrierungsdiensten;
    6. öffentliche Verwaltungen, die den Kategorien des Anhangs III zugeordnet sind (zentrale, regionale, lokale und andere Verwaltungen);
    7. Einrichtungen der in Anhang IV (weitere Kategorien von Einrichtungen) sowie der Anhänge I, II und III aufgeführten Typen, die von der Nationalen Agentur für Cybersicherheit (“NAC”) identifiziert wurden;
    8. Unternehmen, die mit einer wesentlichen oder wichtigen Einrichtung verbunden sind, sofern bestimmte ausdrücklich in der Gesetzgebung vorgesehene Bedingungen vorliegen.

Das NIS-2-Dekret sieht vor, dass die verpflichteten Einrichtungen in wesentliche Einrichtungen

und wichtige Einrichtungen unterteilt werden, wobei ihre Bedeutung für den Sektor, in dem sie tätig sind, die Art der von ihnen erbrachten Dienste sowie ihre Größe berücksichtigt werden. Der Unterschied zwischen diesen beiden Kategorien wirkt sich auf die Höhe der Sanktionen im Falle eines Verstoßes gegen die Verpflichtungen aus, da die Sanktionen für wesentliche Einrichtungen höher sind.

Artikel 6 des NIS-2-Dekrets legt fest, welche Einrichtungen als wesentliche Einrichtungen gelten. Zu diesen gehören beispielsweise:

  1. Einrichtungen gemäß Anhang I, die die Größenbeschränkungen für mittlere Unternehmen gemäß Artikel 2 Absatz 1 des Anhangs der Empfehlung 2003/361/EG überschreiten;
  2. Die kritischen Einrichtungen gemäß dem CER-Dekret;
  3. Andere Einrichtungen, unabhängig von ihrer Größe.

Wichtige Einrichtungen sind die verpflichteten Einrichtungen, die nicht als wesentliche Einrichtungen gelten.

Die NAC aktualisiert regelmäßig die Liste der wesentlichen und wichtigen Einrichtungen.

Zur Erstellung dieser Liste müssen sich zwischen dem 1. Januar und dem 28. Februar 2025 (und so jedes Jahr) öffentliche und private Einrichtungen auf einer digitalen Plattform, die von der NAC bereitgestellt wird, registrieren und die entsprechenden Informationen angeben. Auf der Grundlage dieser Registrierungen erstellt die NAC die Liste der wesentlichen und wichtigen Einrichtungen bis zum 31. März 2025 (und so jedes Jahr) und teilt den registrierten Einrichtungen über die Plattform mit, ob sie in eine der beiden Kategorien aufgenommen wurden oder nicht.

Die Aufnahme in die Liste der wesentlichen oder wichtigen Einrichtungen verpflichtet zur Umsetzung bestimmter Maßnahmen zur Verwaltung von Cybersicherheitsrisiken und zur Meldung erheblicher Sicherheitsvorfälle.

Die Maßnahmen zur Verwaltung von Risiken

Hinsichtlich der Maßnahmen zur Verwaltung von Risiken müssen die wesentlichen und wichtigen Einrichtungen angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Auswirkungen von Vorfällen auf die Empfänger ihrer Dienste zu verhindern oder zu minimieren.

Die Maßnahmen müssen auf einem “Multi-Risiko”-Ansatz beruhen, der alle Arten von Bedrohungen für Informations- und Netzsysteme berücksichtigt, einschließlich physischer Bedrohungen wie Diebstahl, Brand, Überschwemmungen, Stromausfälle usw., und sie müssen die folgenden Elemente umfassen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informations-und Netzsystemen;
  2. Bewältigung von Sicherheitsvorfällen, einschließlich der Verfahren und Werkzeuge zur Meldung von Vorfällen;
  3. Aufrechterhaltung des Betriebs, einschließlich des Backup-Managements, der Wiederherstellung nach einem Notfall, soweit zutreffend, und des Krisenmanagements;
  4. Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren direkten Anbietern oder Dienstleistern;
  5. Sicherheitsmaßnahmen beim Erwerb, der Entwicklung und der Wartung von Informations- und Netzsystemen, einschließlich des Managements und der Offenlegung von Schwachstellen;
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
  7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungsmaßnahmen im Bereich der Cybersicherheit;
  8. Konzepte und Verfahren zum Einsatz von Kryptografie und, falls erforderlich, Verschlüsselung;
  9. Sicherheit und Zuverlässigkeit des Personals, Konzepte zur Zugriffskontrolle und zum Management von Vermögenswerten und Infrastruktur;
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Die Verwaltungs-und Leitungsgremien der wesentlichen und wichtigen Einrichtungen sind dafür verantwortlich, die Modalitäten der Implementierung der Risikomanagementmaßnahmen zu genehmigen, müssen die Umsetzung der Verpflichtungen überwachen und übernehmen diesbezüglich die volle Verantwortung. Sie sind zudem verpflichtet, eine Schulung im Bereich der Cybersicherheit zu absolvieren und die regelmäßige Schulung der Mitarbeiter in diesen Bereichen zu fördern.

Verpflichtungen zur Meldung von erheblichen Vorfällen

Die wesentlichen und wichtigen Einrichtungen müssen ebenfalls jeden erheblichen Vorfall unverzüglich und ohne ungerechtfertigte Verzögerung an das Computer-Notfallteam Italia (“CSIRT Italia”) melden. Ein erheblicher Vorfall ist ein Vorfall, der (i) zu einer erheblichen Störung des Betriebs der Dienste oder zu finanziellen Verlusten für die betroffene Einrichtung geführt hat oder führen könnte, (ii) Auswirkungen auf andere natürliche oder juristische Personen hatte oder haben könnte, die zu erheblichen materiellen oder immateriellen Verlusten führen.

Die Meldung an CSIRT Italia muss gemäß den folgenden Modalitäten/Fristen erfolgen:

  1. innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls: eine “Vorabmeldung”, die, sofern möglich, angibt, ob der Vorfall möglicherweise durch illegale oder böswillige Handlungen verursacht wurde oder ob er grenzüberschreitende Auswirkungen haben könnte.
  2. innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls: die “echte” Meldung, die die Informationen der Vorabmeldung aktualisiert und eine erste Bewertung des Vorfalls (einschließlich seiner Schwere und Auswirkungen) sowie, sofern verfügbar, Indikatoren für eine Kompromittierung enthält
  3. auf Anfrage des CSIRT Italia: ein Zwischenbericht, der Aktualisierungen zur Situation enthält;
  4. innerhalb eines Monats nach der Übermittlung der “echten” Meldung: ein Abschlussbericht, der eine detaillierte Beschreibung des Vorfalls, der Art der Bedrohung oder ihrer Ursache, der ergriffenen und laufenden Minderungsmaßnahmen sowie der grenzüberschreitenden Auswirkungen des Vorfalls (sofern bekannt) enthält. Falls der Vorfall zum Zeitpunkt der Übermittlung des Abschlussberichts noch andauert: ein monatlicher Fortschrittsbericht und ein Abschlussbericht innerhalb eines Monats nach Abschluss der Vorfallsbewältigung.

Sofern es angemessen und möglich ist, nach Anhörung des CSIRT Italia, informieren die wesentlichen und wichtigen Einrichtungen die Empfänger der von ihnen bereitgestellten Dienste, die möglicherweise betroffen sind, über die Art der signifikanten Cyberbedrohung sowie über die Maßnahmen oder Korrektur- bzw. Milderungsmaßnahmen, die diese Empfänger ergreifen können.

Zusätzlich kann die NAC die Öffentlichkeit über den erheblichen Vorfall informieren, wenn sie der Ansicht ist, dass die Offenlegung im öffentlichen Interesse liegt.

Es besteht auch die Möglichkeit, dem CSIRT Italia auf freiwilliger Basis Mitteilungen zu übermitteln (d.h. die Meldung von nicht erheblichen Vorfällen, auch von Einrichtungen, die nicht in die Kategorie der wesentlichen oder wichtigen Einrichtungen fallen).

Die NAC kann die wesentlichen und wichtigen Einrichtungen Inspektionen und Überprüfungen unterziehen, um die Einhaltung der Verpflichtungen gemäß der geltenden Gesetzgebung zu überprüfen.

Geldstrafen

Das Dekret NIS 2 sieht auch eine Reihe von Sanktionen für die Verletzung der darin festgelegten Pflichten vor. Bei Verstößen gegen die Pflichten zur Verwaltung von Risiken und die Meldepflichten für erhebliche Vorfälle:

  1. wesentliche Einrichtungen (mit Ausnahme der öffentlichen Verwaltungen) können mit einer Geldstrafe von bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes des vorherigen Geschäftsjahres belegt werden.
  2. wichtige Einrichtungen (mit Ausnahme der öffentlichen Verwaltungen) können mit einer Geldstrafe von bis zu 7.000.000 Euro oder 1,4 % des weltweiten Jahresumsatzes des vorherigen Geschäftsjahres belegt werden.

Öffentliche Verwaltungen unterliegen geringeren Geldstrafen.

Die ersten Schritte zur Compliance mit dem Dekret NIS 2

In chronologischer Reihenfolge sind die ersten Schritte zur Compliance mit dem Dekret NIS 2 wie folgt:

  1. bis zum 31. Dezember 2024 müssen Unternehmen und öffentliche Verwaltungen eine Bewertung durchführen, um zu überprüfen, ob sie gemäß dem Dekret NIS 2 zu den verpflichteten Einrichtungen gehören;
  2. zwischen dem 1. Januar und dem 28. Februar 2025 müssen die öffentlichen und privaten Einrichtungen, die nach der Bewertung der Ansicht sind, zu den verpflichteten Einrichtungen gemäß dem Dekret NIS 2 zu gehören, sich auf der digitalen Plattform registrieren, die vom NAC zur Verfügung gestellt wird, und die entsprechenden Informationen angeben. Auf Grundlage dieser Registrierungen wird die NAC bis zum 31. März 2025 eine Liste der wesentlichen und wichtigen Einrichtungen erstellen.

Diese Ausführungen haben ausschließlich informativen Charakter und stellen keine professionelle Beratung dar, noch können sie als solche interpretiert werden.

Avv. Gregorio Salatino (E gregorio.salatino@salatinolex.com) bietet rechtliche Beratung und Unterstützung in Bezug auf die Compliance-Anforderungen des Dekrets NIS 2.

Für weitere Informationen kontaktieren Sie uns einfach auf mailand@wko.at

Weitere interessante Artikel