07/11/2024
Cybersicherheit: EU-Richtlinie und Dekret in Italien
In Italien wurde die EU-Richtlinie durch das Gesetzesdekret 138/2024 umgesetzt, das ab dem 18. Oktober 2024 gilt. Auch dieses Dekret legt Maßnahmen zur Gewährleistung eines hohen Niveaus der Cybersicherheit fest und sieht eine Reihe von Verpflichtungen in Bezug auf Maßnahmen des Cybersicherheitsrisikomanagements und die Meldung von Vorfällen vor.
Für wen gelten die neuen Bestimmungen?
Die neuen Bestimmungen gelten hauptsächlich für mittlere und große Unternehmen, sowie für öffentliche Einrichtungen und Unternehmen mit öffentlichen Beteiligungen. Die NIS2 definiert einige besonders kritische Sektoren, wie z.B.:
• Energiesektor: Elektrizitätsunternehmen (die in den Bereichen Erzeugung, Übertragung, Verteilung, Bündelung, Nachfragesteuerung, Speicherung, Lieferung oder Kauf von Energie tätig sind), Betreiber von Strom- und Gasnetzen, Energieerzeuger, Strommarktbetreiber, Betreiber von Wasserstofferzeugungs-, -transport- und -speicheranlagen usw.;
• Transportsektor: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr (Betreiber von intelligenten Verkehrssystemen oder IST);
• Trinkwassersektor: Lieferanten und Verteiler von Wasser für den menschlichen Gebrauch;
• Abwasserwirtschaft;
• Sektor digitale Infrastruktur: Anbieter von Internetknotenpunkten, Anbieter von Diensten für das Domain-Name-System (DNS), ausgenommen Betreiber von Root-Name-Servern; Betreiber von Registern für Domänen oberster Stufe (TLD), Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Content-Delivery-Netzen, Anbieter von Vertrauensdiensten, Anbieter von öffentlichen elektronischen Kommunikationsnetzen, Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten.
Andere Sektoren, die nicht als besonders kritisch definiert sind, aber dennoch in den Anwendungsbereich der Richtlinie fallen, sind:
• Post- und Kurierdienste;
• Dienstleistungen der Abfallwirtschaft;
• Lebensmittelproduktion, -verarbeitung und -vertrieb;
• Anbieter digitaler Dienstleistungen: Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen, Anbieter von Plattformen für soziale Netzwerke, Anbieter von Dienstleistungen zur Registrierung von Domänennamen.
Welche Unternehmen sind ausgeschlossen?
Kleine Unternehmen sind von der Anwendung der Richtlinie ausgeschlossen. Ein kleines Unternehmen ist definiert als ein Unternehmen, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz oder Jahresbilanz 10 Millionen Euro nicht übersteigt.
Achtung auf Ausnahmen!
Doch Vorsicht, es gibt Ausnahmen. In einigen Fällen finden die Neuigkeiten unabhängig von der Größe des Unternehmens und des Umsatzes, Anwendung. Hier einige Beispiele:
• Anbieter von öffentlichen elektronischen Kommunikationsnetzen;
• Anbieter von Vertrauensdiensten;
• Betreiber von Top-Level-Domain-Namen-Registern und Anbieter von Domain-Namen-Systemdiensten;
• Anbieter von Diensten zur Registrierung von Domänennamen;
Darüber hinaus gelten die Richtlinie und das Dekret für alle Unternehmen, unabhängig von ihrem Umsatz und der Zahl ihrer Beschäftigten, wenn sie mit wesentlichen oder wichtigen Einrichtungen im Sinne der Richtlinie, verknüpft sind.
Verpflichtungen für die betroffenen Unternehmen
• vom 1. Januar bis zum 28. Februar eines jeden Jahres müssen sich die Unternehmen auf der digitalen Plattform der zuständigen nationalen Behörde NIS (ACN) registrieren oder ihre Registrierung aktualisieren;
• innerhalb 31. März ermittelt die Behörde die wesentlichen und wichtigen Subjekte;
• die ermittelten Unternehmen müssen geeignete technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken zu minimieren;
• alle Vorfälle müssen der Behörde unverzüglich gemeldet werden.
Um abzuklären, ob das eigene Unternehmen von den Neuerungen betroffen ist, ist es ratsam, mit Unterstützung der eigenen Berater eine betriebliche Risikobewertung vorzunehmen und dadurch, neben der Branche, in der das Unternehmen tätig ist, genau zu prüfen, welche Tätigkeiten ausgeübt werden, die unter die Richtlinie fallen könnten.
Die Nichteinhaltung der in der NIS2 festgelegten Verpflichtungen führt zu Geldstrafen, aber auch zu zusätzlichen Sanktionen wie dem Entzug von Zertifizierungen, der vorübergehenden Aussetzung der Tätigkeiten usw.