30/04/2025
Phase 2 des NIS-Dekrets - Pflichten für als NIS-Subjekte identifizierte Unternehmen
Für detaillierte Informationen zu den betroffenen Unternehmen verweisen wir auf unsere Artikel „Cybersicherheit: EU-Richtlinie und Dekret in Italien“ sowie „NIS2, Plattform für die Registrierung ist aktiv“.
Die Nationale Agentur für Cybersicherheit (ACN) hat die erste Phase der Registrierung über ihre Plattform abgeschlossen. Seit dem 12. April 2025 beginnt die ACN offiziell, betroffene Unternehmen darüber zu informieren, ob sie in die Liste der NIS-Subjekte aufgenommen wurden oder nicht.
Mit diesen Mitteilungen beginnt die zweite Phase der Umsetzung des NIS-Dekrets (GvD Nr. 138/2024), die eine Reihe von Pflichten für als NIS-Subjekte identifizierte Unternehmen vorsieht. Diese Pflichten erstrecken sich über einen Zeitraum von 18 Monaten und beinhalten folgende Hauptpunkte:
1. Registrierung und Aktualisierung der Informationen (Art. 7 des NIS-Dekrets):
Vom 15. April bis 31. Mai 2025 müssen NIS-Subjekte die geforderten Daten über die Plattform der ACN bereitstellen bzw. aktualisieren, insbesondere IP-Adressen und Domainnamen, die sie verwenden oder besitzen. Zudem muss in diesem Zeitraum ein Ersatz-Kontaktpunkt benannt werden.
2. Benennung verantwortlicher Personen (Art. 23):
Bis spätestens Oktober 2026 sind die Mitglieder der Unternehmensleitung und -verwaltung zu benennen, die als Verantwortliche für die Cybersicherheit gelten.
3. Umsetzung von Sicherheitsmaßnahmen (Art. 24):
Die im Dekret vorgesehenen Maßnahmen zur Cybersicherheit müssen bis Oktober 2026 umgesetzt werden.
4. Meldepflicht bei Sicherheitsvorfällen (Art. 25):
Ab Jänner 2026 müssen Unternehmen bei sicherheitsrelevanten Vorfällen die Meldepflichten erfüllen.
5. Verpflichtungen im Zusammenhang mit der Domainnamen-Datenbank
Für betroffene Unternehmenskategorien müssen diese Verpflichtungen bis spätestens Oktober 2026 erfüllt werden.
6. Kategorisierung von Tätigkeiten und Dienstleistungen
Ab 2026 sind jährlich zwischen dem 1. Mai und dem 30. Juni die eigenen Tätigkeiten und Dienstleistungen zu klassifizieren.
7. Meldung von Informationsaustausch-Vereinbarungen
Freiwillige Vereinbarungen über den Austausch von Informationen zur Cybersicherheit mit anderen NIS-Subjekten oder Dienstleistern müssen gemeldet werden. Bereits vor Inkrafttreten des Dekrets abgeschlossene und noch gültige Vereinbarungen sind bis zum 31. Mai 2026 zu melden.
Weitere Informationen (in italienischer Sprache):
• Verfügung der ACN Nr. 136117 vom 10. April 2025 (ersetzt Nr. 38565 vom 26. November 2024)
• Verfügung der ACN Nr. 136118 vom 10. April 2025
• Verfügung der ACN Nr. 164179 vom 14. April 2025
• FAQ der ACN: Häufig gestellte Fragen zu NIS – ACN
