ISGroup Cybersicherheitsberatung

ACN und die NIS2-Liste: Alles, was Sie über die Konformität mit der NIS2-Richtlinie bis zum 31. März wissen müssen

Die NIS2-Richtlinie hat eine Reihe strenger Maßnahmen eingeführt, um die Cybersicherheit kritischer Infrastrukturen und wesentlicher Dienste in der gesamten Europäischen Union zu verbessern. In Italien ist die Nationale Agentur für Cybersicherheit (Agenzia per la Cybersicurezza Nazionale, ACN) die für die Umsetzung der Vorschriften zuständige Behörde, deren Aufgabe es ist, das endgültige Verzeichnis der Unternehmen zu erstellen, die die Anforderungen erfüllen müssen.

Da die Frist für die Registrierung auf den 28. Februar 2025 festgelegt wurde, sind viele Unternehmen nun aufgefordert, den Anpassungsprozess abzuschließen. Es ist jedoch möglich, die Registrierung bis zum 10. März 2025 abzuschließen, sofern die Erfassung (Censimento) bereits erfolgt ist. Bis zum 31. März 2025 wird die ACN das endgültige NIS2-Verzeichnis veröffentlichen und damit offiziell die Organisationen identifizieren, die zur Einhaltung der neuen Sicherheitsanforderungen verpflichtet sind.

[Callforaction-NIS2]

Was sieht die NIS2-Richtlinie vor?

Im Vergleich zur vorherigen NIS1-Richtlinie legt die NIS2 (EU-Richtlinie 2022/2555) strengere Verpflichtungen für das Cybersicherheitsmanagement, die Risikoidentifizierung und die Meldung von Vorfällen fest. Zu den wichtigsten Neuerungen gehören:

  • Erweiterung des Kreises der betroffenen Akteure, wobei nicht nur Anbieter wesentlicher Dienste, sondern auch viele Privatunternehmen einbezogen werden.
  • Größeres Augenmerk auf die Lieferkette (Supply Chain) mit Kontrollpflichten für die Sicherheit von Zulieferern.
  • Meldepflichten für Sicherheitsvorfälle innerhalb präziser Zeitrahmen.
  • Hohe Sanktionen bei Nichteinhaltung, mit Bußgeldern von bis zu 2 % des weltweiten Jahresumsatzes.

ACN und das NIS2-Verzeichnis: Die Phasen der Anpassung

Die Umsetzung der NIS2-Richtlinie wurde in drei Hauptphasen unterteilt:

  1. Umsetzungsphase (Februar 2023 – Oktober 2024): Zeitraum für die Annahme der Vorschriften auf nationaler Ebene.
  2. Erste Umsetzungsphase (Oktober 2024 – April 2025): Zeitraum, in dem sich Unternehmen registrieren und auf die Anpassung vorbereiten müssen.
  3. Zweite Umsetzungsphase (April 2025 – April 2026): Praktische Implementierung der Sicherheitsmaßnahmen.
  4. Dritte Umsetzungsphase (ab April 2026): Volle Betriebsbereitschaft der NIS2 mit regelmäßigen Kontrollen und Konformitätsprüfungen.

Die Erfassung und die obligatorische Registrierung

Unternehmen, die der NIS2 unterliegen, sind verpflichtet, sich bis zum 28. Februar 2025 auf der digitalen Plattform der ACN zu registrieren. Wer das Verfahren noch nicht abgeschlossen hat, hat eine letzte Gelegenheit bis zum 10. März 2025. Um diese Fristverlängerung in Anspruch nehmen zu können, muss jedoch bereits die vorläufige Erfassung bis zum ersten Stichtag erfolgt sein.

Veröffentlichung des endgültigen NIS2-Verzeichnisses am 31. März 2025

Einer der wichtigsten Momente des Anpassungsprozesses ist die Veröffentlichung des endgültigen Verzeichnisses der Unternehmen, die die Anforderungen erfüllen müssen. Dieses von der ACN erstellte Verzeichnis wird am 31. März 2025 veröffentlicht und enthält:

  • Unternehmen und öffentliche Einrichtungen, die zur Einhaltung der Vorschriften verpflichtet sind.
  • Kategorien wesentlicher Betreiber, die in den NIS2-Anwendungsbereich fallen.
  • Spezifische Verpflichtungen für jede Kategorie von Akteuren.

Nach der Veröffentlichung des Verzeichnisses haben die betroffenen Unternehmen bis April 2026 Zeit, die erforderlichen Sicherheitsmaßnahmen umzusetzen.

Die wichtigsten NIS2-Konformitätsmaßnahmen

Unternehmen, die im NIS2-Verzeichnis aufgeführt sind, müssen eine Reihe von Maßnahmen ergreifen, um die Konformität zu gewährleisten, darunter:

  1. Cyber-Risikomanagement: Implementierung eines strukturierten Ansatzes zur Prävention und Minderung von Cyberangriffen.
  2. Schutz der Lieferkette: Überprüfung der Sicherheit von Zulieferern und Einführung angemessener Kontrollen.
  3. Meldepflicht bei Vorfällen: Unverzügliche Meldung jeder Verletzung oder jedes Cyberangriffs an die ACN und das CSIRT Italia. Für Organisationen im Verzeichnis ist die Benennung eines CSIRT-Ansprechpartners eine der operativen Aufgaben, die in der Umsetzungsphase zu erfüllen sind.
  4. Audits und regelmäßige Überprüfungen: Durchführung regelmäßiger Sicherheitskontrollen, um Sanktionen zu vermeiden.

Für Organisationen, die diesen Prozess strukturieren müssen, ist es sinnvoll, mit einer Bestandsaufnahme zu beginnen: Die NIS2-Konformitätsunterstützung von ISGroup begleitet Unternehmen von der Lückenanalyse bis zur Implementierung der gesetzlich geforderten Maßnahmen.

Sanktionen bei Nichteinhaltung

Die Nichteinhaltung der NIS2-Richtlinie führt zu strengen Sanktionen. Insbesondere drohen nicht konformen Unternehmen:

  • Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
  • Zusatzsanktionen für Führungskräfte, einschließlich der vorübergehenden Suspendierung von Verantwortungsbereichen.
  • Verpflichtung zur sofortigen Umsetzung von Korrekturmaßnahmen mit potenziellen unangekündigten Kontrollen.

Was ist zu tun, wenn Ihr Unternehmen im NIS2-Verzeichnis steht?

Die NIS2-Richtlinie stellt einen grundlegenden Wendepunkt für die Cybersicherheit in Europa dar. Das bis zum 31. März 2025 veröffentlichte ACN NIS2-Verzeichnis definiert endgültig die Unternehmen und Einrichtungen, die die neuen Regeln einhalten müssen.

Unternehmen, die noch nicht mit dem Anpassungsprozess begonnen haben, müssen sofort handeln, um Sanktionen zu vermeiden und den Schutz ihrer digitalen Infrastrukturen zu gewährleisten.

Die NIS2-Konformität ist nicht nur eine regulatorische Verpflichtung, sondern eine wesentliche Strategie, um die Widerstandsfähigkeit des Unternehmens gegenüber immer raffinierteren Cyberbedrohungen zu gewährleisten. Um den regulatorischen Rahmen zu vertiefen, steht auch das offizielle Dokument der NIS2-Richtlinie zur Verfügung.

Häufig gestellte Fragen zur NIS2-Konformität

  • Ich stehe im von der ACN veröffentlichten NIS2-Verzeichnis: Wo fange ich an?
  • Der Ausgangspunkt ist eine Lückenanalyse im Vergleich zu den Anforderungen der Richtlinie: Governance, Risikomanagement, Schutz der Lieferkette und Verfahren zur Meldung von Vorfällen. Erst nach dieser Bewertung kann ein realistischer Implementierungsplan bis zur Frist im April 2026 erstellt werden.
  • Was passiert, wenn ich mich nicht innerhalb der ACN-Fristen registriert habe?
  • Die Nichtregistrierung entbindet nicht von der Konformitätspflicht, wenn die Organisation die in der Richtlinie vorgesehenen Größen- und Sektorkriterien erfüllt. Die ACN kann das Unternehmen dennoch von Amts wegen in das Verzeichnis aufnehmen und Prüfungen einleiten. Es ist ratsam, die Position so schnell wie möglich zu regulieren.
  • Bis wann muss ich die von der NIS2 geforderten Sicherheitsmaßnahmen implementieren?
  • Unternehmen, die im endgültigen Verzeichnis aufgeführt sind, haben bis April 2026 Zeit, die geforderten technischen und organisatorischen Maßnahmen umzusetzen. Ab diesem Datum beginnen die regelmäßigen Kontrollen und Konformitätsprüfungen mit den entsprechenden Sanktionen bei Nichteinhaltung.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *