07/11/2024

Cybersicherheit: EU-Richtlinie und Dekret in Italien

Die EU-Richtlinie „NIS2“ führt Maßnahmen für ein hohes gemeinsames Niveau der Cybersicherheit in der Union ein und ändert frühere Verordnungen und Richtlinien in diesem Bereich.

In Italien wurde die EU-Richtlinie durch das Gesetzesdekret 138/2024 umgesetzt, das ab dem 18. Oktober 2024 gilt. Auch dieses Dekret legt Maßnahmen zur Gewährleistung eines hohen Niveaus der Cybersicherheit fest und sieht eine Reihe von Verpflichtungen in Bezug auf Maßnahmen des Cybersicherheitsrisikomanagements und die Meldung von Vorfällen vor.

Für wen gelten die neuen Bestimmungen?
Die neuen Bestimmungen gelten hauptsächlich für mittlere und große Unternehmen, sowie für öffentliche Einrichtungen und Unternehmen mit öffentlichen Beteiligungen. Die NIS2 definiert einige besonders kritische Sektoren, wie z.B.:
• Energiesektor: Elektrizitätsunternehmen (die in den Bereichen Erzeugung, Übertragung, Verteilung, Bündelung, Nachfragesteuerung, Speicherung, Lieferung oder Kauf von Energie tätig sind), Betreiber von Strom- und Gasnetzen, Energieerzeuger, Strommarktbetreiber, Betreiber von Wasserstofferzeugungs-, -transport- und -speicheranlagen usw.;
• Transportsektor: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr (Betreiber von intelligenten Verkehrssystemen oder IST);
• Trinkwassersektor: Lieferanten und Verteiler von Wasser für den menschlichen Gebrauch;
• Abwasserwirtschaft;
• Sektor digitale Infrastruktur: Anbieter von Internetknotenpunkten, Anbieter von Diensten für das Domain-Name-System (DNS), ausgenommen Betreiber von Root-Name-Servern; Betreiber von Registern für Domänen oberster Stufe (TLD), Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Content-Delivery-Netzen, Anbieter von Vertrauensdiensten, Anbieter von öffentlichen elektronischen Kommunikationsnetzen, Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten.

Andere Sektoren, die nicht als besonders kritisch definiert sind, aber dennoch in den Anwendungsbereich der Richtlinie fallen, sind:
• Post- und Kurierdienste;
• Dienstleistungen der Abfallwirtschaft;
• Lebensmittelproduktion, -verarbeitung und -vertrieb;
• Anbieter digitaler Dienstleistungen: Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen, Anbieter von Plattformen für soziale Netzwerke, Anbieter von Dienstleistungen zur Registrierung von Domänennamen.

Welche Unternehmen sind ausgeschlossen?
Kleine Unternehmen sind von der Anwendung der Richtlinie ausgeschlossen. Ein kleines Unternehmen ist definiert als ein Unternehmen, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz oder Jahresbilanz 10 Millionen Euro nicht übersteigt.

Achtung auf Ausnahmen!
Doch Vorsicht, es gibt Ausnahmen. In einigen Fällen finden die Neuigkeiten unabhängig von der Größe des Unternehmens und des Umsatzes, Anwendung. Hier einige Beispiele:
• Anbieter von öffentlichen elektronischen Kommunikationsnetzen;
• Anbieter von Vertrauensdiensten;
• Betreiber von Top-Level-Domain-Namen-Registern und Anbieter von Domain-Namen-Systemdiensten;
• Anbieter von Diensten zur Registrierung von Domänennamen;
Darüber hinaus gelten die Richtlinie und das Dekret für alle Unternehmen, unabhängig von ihrem Umsatz und der Zahl ihrer Beschäftigten, wenn sie mit wesentlichen oder wichtigen Einrichtungen im Sinne der Richtlinie, verknüpft sind.

Verpflichtungen für die betroffenen Unternehmen
• vom 1. Januar bis zum 28. Februar eines jeden Jahres müssen sich die Unternehmen auf der digitalen Plattform der zuständigen nationalen Behörde NIS (ACN) registrieren oder ihre Registrierung aktualisieren;
• innerhalb 31. März ermittelt die Behörde die wesentlichen und wichtigen Subjekte;
• die ermittelten Unternehmen müssen geeignete technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken zu minimieren;
• alle Vorfälle müssen der Behörde unverzüglich gemeldet werden.

Um abzuklären, ob das eigene Unternehmen von den Neuerungen betroffen ist, ist es ratsam, mit Unterstützung der eigenen Berater eine betriebliche Risikobewertung vorzunehmen und dadurch, neben der Branche, in der das Unternehmen tätig ist, genau zu prüfen, welche Tätigkeiten ausgeübt werden, die unter die Richtlinie fallen könnten.

Die Nichteinhaltung der in der NIS2 festgelegten Verpflichtungen führt zu Geldstrafen, aber auch zu zusätzlichen Sanktionen wie dem Entzug von Zertifizierungen, der vorübergehenden Aussetzung der Tätigkeiten usw.
 
 
 
 
 
 
 
Teilen. Empfehle diese News deinen Freunden weiter.
 
 
 

Ihr Ansprechpartner

 
 

Dott.ssa Jasmin Lumetta

Recht und Gewerkschaften
Bereichsleiterin
Sitz: Bozen
 
T: 0471 310 422
E-Mail:
 
 
 
 
 

Das könnte Sie auch interessieren
 

21/10/2024

Videoüberwachung im Betrieb: Das gilt es zu beachten


Meist wird sie aus Sicherheitsgründen oder zum Vorbeugen von Diebstählen installiert. Doch welche Regeln gilt es beim Installieren einer Videoüberwachungsanlage in einem Geschäft oder einem Betrieb für den Datenschutzgeber einzuhalten? Die ...
 
 

30/09/2024

Lieferung & Haftung: Was Händler wissen sollten

Immer mehr Waren werden dem Kunden geliefert. Wann endet die Haftung des Händlers für das Produkt und die Lieferung? Wann geht das Risiko an den Kunden über? Die Experten des Bereichs Rechtsberatung bieten Beratung zum Thema an. Es gilt, zwischen ...
 
 

04/07/2024

Nie mehr ohne

Der Saisonschlussverkauf löst oft Fragen zu Garantie und Umtausch aus. Aber auch für lästige Anrufe von Telefonanbietern oder offene Rechnungen von Kunden kommt die Unterstützung eines Rechtsberaters gelegen. Mit dem Paket „My legal adviser team“ ...
 
 

18/12/2023

Geschenkgutscheine: Einfach erklärt!

Das neue Jahr beginnt oft mit einem Stapel von Gutscheinen. Und damit auch mit einer Fülle von Fragen und Unsicherheiten. Was, wenn der Gutschein abläuft, bevor er eingelöst wird? Wer kann ihn nutzen? Und was ist mit Umtausch und ...