Die Nichteinhaltung der NIS2-Richtlinie innerhalb der von der ACN (Agenzia per la Cybersicurezza Nazionale) festgelegten Fristen setzt Unternehmen erheblichen Risiken in Bezug auf Sanktionen, Betriebsabläufe und Reputation aus.

Sanktionen gemäß Gesetzesdekret (D.Lgs.) 138/2024

Verletzung der Meldepflichten

Das Gesetzesdekret 138/2024 legt ein strenges Sanktionsregime fest: Die unterlassene, unvollständige oder verspätete Übermittlung der Meldungen bei erheblichen Vorfällen (Vorabmeldung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats), wie in Art. 25 vorgesehen, zieht bedeutende Verwaltungssanktionen nach sich.

Verletzung der Kommunikationspflichten

Die unterlassene Registrierung auf dem ACN-Portal oder die Nichtbenennung des CSIRT-Ansprechpartners bis zum 31. Dezember 2025 gelten als Verletzung der in Art. 24 vorgesehenen Kommunikationspflichten und unterliegen finanziellen Sanktionen.

Höhe der Bußgelder

Die Sanktionen können Millionen von Euro erreichen oder einen erheblichen Prozentsatz des weltweiten Jahresumsatzes der betroffenen Organisation ausmachen. Die genaue Höhe variiert je nach Schwere des Verstoßes und der Art des Subjekts (wesentlich oder wichtig).

Betriebliche und reputationsbezogene Risiken

• Betriebsunterbrechungen: Ohne einen erfahrenen CSIRT-Ansprechpartner und ohne Reaktionsplan führen Cyberangriffe zu längeren Ausfallzeiten und wirtschaftlichen Verlusten durch den Ausfall von Dienstleistungen.
• Reputationsschäden: Eine unangemessene Handhabung von Vorfällen oder die Verhängung von Sanktionen durch die ACN kann das Vertrauen von Kunden und Partnern untergraben und die Wettbewerbsfähigkeit des Unternehmens gefährden.
• Inspektionen und Aufsicht: Die fehlende Benennung eines Ansprechpartners stellt ein kritisches Signal dar, das Inspektionen und direkte Aufsichtsmaßnahmen durch die Nationale Agentur für Cybersicherheit auslösen kann.
• Verlust der Konformität: Ohne den Ansprechpartner bricht die Meldekette ab und die Organisation gilt als nicht konform mit der Richtlinie.

Die Gefahr des menschlichen „Single Point of Failure“

• Benennung von Stellvertretern: Die Bestimmung 333017/2025 erlaubt die Ernennung eines oder mehrerer Stellvertreter für den CSIRT-Ansprechpartner mit vergleichbaren technischen Qualifikationen. Diese Option verhindert, dass die Organisation bei Abwesenheit des Hauptansprechpartners handlungsunfähig bleibt.
• 24/7-Erreichbarkeit: Die Ansprechpartner (oder deren Stellvertreter) müssen jederzeit erreichbar sein, um die Rechtzeitigkeit der Meldungen zu gewährleisten und die gesetzlichen Fristen einzuhalten.
• Entscheidungslähmung: Ohne klare interne Verfahren und benannte Stellvertreter können bereits wenige Minuten der Unsicherheit darüber, „wer was zu tun hat“, die Schäden im Falle eines Angriffs verschlimmern.

Fristen und Pflichten

• Benennung des Ansprechpartners: Die Registrierung auf dem ACN-Portal ist vom 20. November bis zum 31. Dezember 2025 möglich.
• Dezember 2025: In diesem Monat können keine für die Registrierung nützlichen Erklärungen für 2025 mehr übermittelt werden.
• Neue Registrierung 2026: Vom 1. Januar bis zum 28. Februar 2026 müssen NIS-Organisationen eine neue Erklärung einreichen, um die im Vorjahr eingegebenen Daten zu bestätigen oder zu aktualisieren.

Konsequenzen einer oberflächlichen Verwaltung

Die Vernachlässigung der Benennung des CSIRT-Ansprechpartners oder das Arbeiten ohne angemessene Verfahren setzt die Organisation rechtlichen Sanktionen und betrieblichen Auswirkungen aus, die das Bestehen des Unternehmens in der heutigen digitalen Wirtschaft ernsthaft gefährden.

Analogie

Das Verteidigungssystem eines Unternehmens lässt sich mit einer Brandschutzanlage vergleichen. Der Kontaktpunkt fungiert als Verantwortlicher für die Außenbeziehungen, während der CSIRT-Ansprechpartner der Leiter des internen Notfallteams ist, der jederzeit einsatzbereit ist. Keine Stellvertreter vorzusehen ist so, als hätte man zwar Alarmanlagen, aber niemanden, der eingreifen kann, was das Unternehmen im Ernstfall schutzlos lässt.