NIS 2 Status in Italien
Was die Richtlinie fordert, wie Italien sie umsetzt, und wo ACN und CSIRT Italia im Bild stehen.
Überblick
Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Italien, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Italien muss dieses Niveau in italienisches Recht überführen und eine Aufsicht darunter führen.
Italien setzt NIS 2 über das Decreto Legislativo vom 4. September 2024, Nr. 138 um. Das Dekret wurde am 1. Oktober 2024 in der Gazzetta Ufficiale veröffentlicht und ist am 16. Oktober 2024 in Kraft getreten, also zur EU Umsetzungsfrist.
Die ACN (Agenzia per la Cybersicurezza Nazionale) ist alleinige zuständige NIS Behörde, einzige Anlaufstelle für die EU Kooperationsgruppe und Trägerin des nationalen CSIRT (CSIRT Italia). Neun Ministerien wirken als Sektorbehörden unter Koordination der ACN. Für den Finanzsektor gilt DORA als Lex specialis.
EU Richtlinie
La presente direttiva stabilisce misure volte a garantire un livello comune elevato di cibersicurezza nell'Unione in modo da migliorare il funzionamento del mercato interno.
Richtlinie (EU) 2022/2555 (NIS 2), Artikel 1. Sie legt die Pflichten fest, die jeder Mitgliedstaat umsetzen muss, einschließlich Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.
EU Durchführung
Durchführungsverordnung (EU) 2024/2690
Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Italien unmittelbar anwendbar, ohne nationale Umsetzung.
Italienische Umsetzung
Decreto Legislativo 4 settembre 2024, n. 138
Die italienische NIS 2 Umsetzung. Veröffentlicht in der Gazzetta Ufficiale am 1. Oktober 2024, in Kraft seit 16. Oktober 2024. Das Dekret bestätigt die ACN als zuständige Behörde, erweitert die Funktionen des CSIRT Italia, listet zehn Bereiche für Sicherheitsmaßnahmen, und konkretisiert den Meldeprozess und die Verantwortung des Leitungsorgans.
Decreto Legislativo 138/2024
Bringt die NIS 2 Pflichten in italienisches Recht. Definiert wesentliche (soggetti essenziali) und wichtige (soggetti importanti) Einrichtungen, die Aufsichtsbefugnisse der ACN, Meldepflichten und Verwaltungssanktionen. Der operative Detail steht in ACN Festlegungen und sektoralen Anhängen.
ACN und CSIRT Italia
Die ACN ist alleinige zuständige NIS Behörde und einzige Anlaufstelle. Das CSIRT Italia ist innerhalb der ACN angesiedelt und nimmt Meldungen erheblicher Sicherheitsvorfälle entgegen. Sektorministerien (Inneres, Energie, Verkehr, Gesundheit, Justiz, Kultur, Forschung, digitale Transformation, Umwelt) wirken als Sektorbehörden in einem ACN geführten Umsetzungsgremium mit.
Registrierung und Meldung
Das ACN Registrierungsportal ist seit 1. Dezember 2024 offen. Einrichtungen im Anwendungsbereich mussten sich bis 28. Februar 2025 registrieren oder ihre Daten aktualisieren. Erhebliche Vorfälle folgen dem Richtlinienrhythmus: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat, jeweils über das CSIRT Italia.
In Italien gilt italienisches Recht
Aktivitäten auf italienischem Staatsgebiet folgen der italienischen Umsetzung. Ein deutscher Geschäftsführer mit italienischer Tochter liest für diese Tochter das Decreto Legislativo 138/2024, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Registrierungsportal und Sanktionen stehen aber im italienischen Recht und laufen über die ACN.
Italien darf nicht unter das EU Niveau fallen
Die Richtlinie ist eine Mindestharmonisierung. Italien darf strenger werden, und beim Anwendungsbereich hat es das auch getan, mit öffentlichen Verwaltungen, lokalen Verkehrsanbietern, Forschungseinrichtungen und Einrichtungen von kulturellem Interesse über die Richtlinienbasis hinaus. Unter die Richtlinie darf Italien nicht fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Verantwortung des Leitungsorgans.
ACN
Alleinige zuständige NIS Behörde und einzige Anlaufstelle. Führt Audits, fordert Unterlagen an, verhängt Verwaltungssanktionen und erlässt verbindliche Festlegungen. Leitet das NIS Umsetzungsgremium, das die neun Sektorministerien koordiniert.
CSIRT Italia
Das nationale CSIRT, getragen von der ACN. Empfängt Meldungen erheblicher Sicherheitsvorfälle, leistet technische Unterstützung im Vorfall, und koordiniert grenzüberschreitend mit Schwester CSIRTs im EU CSIRTs Netzwerk.
ENISA
Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für italienische Einrichtungen. Die liegt bei der ACN.
Wir machen NIS 2 so wie unsere deutsche Mutter.
Die Pflichten der Richtlinie sind identisch, das Verfahren ist es nicht. Eine italienische Tochter registriert sich auf der ACN Plattform, meldet Vorfälle an das CSIRT Italia und untersteht der Aufsicht der ACN. Verweise auf BSIG, das deutsche BSI Portal oder deutsche Sektorbehörden gelten nicht. Die inhaltliche Compliancearbeit lässt sich konzernweit teilen, die nationalen Anzeigen und Meldungen nicht.
Eine italienische Registrierungspflicht gibt es noch nicht.
Die ACN Registrierungsplattform ist am 1. Dezember 2024 geöffnet worden, das erste Registrierungsfenster endete am 28. Februar 2025. Aktualisierungen folgen der Zweiwochenregel der Richtlinie. Eine Einrichtung im Anwendungsbereich, die sich nicht registriert hat, ist nicht freigestellt. Sie ist im Pflichtverstoß, und die ACN hat sowohl Sanktions als auch Anordnungsbefugnisse.
Unser Sektorregulator ist zuständig, nicht die ACN.
Italien hat sich für ein Modell mit einer einzigen zuständigen Behörde entschieden. Die ACN führt die Aufsicht über alle NIS 2 Sektoren und ist einzige Anlaufstelle für die EU Kooperationsgruppe. Sektorministerien wirken als Sektorbehörden mit Fachkenntnis im ACN geführten Umsetzungsgremium mit, die verbindliche NIS 2 Aufsicht und die Sanktionsbefugnis bleibt aber bei der ACN. Für den Finanzsektor gilt DORA als Lex specialis, und der Finanzregulator führt diesen Kanal.
Die meisten italienischen Mittelstandsbetreiber, die uns begegnen, lesen NIS 2 noch durch die Brille des alten D.Lgs. 65/2018 NIS 1 Perimeters, in dem nur eine Handvoll benannter Betreiber drin war. Das neue Dekret weitet den Anwendungsbereich um eine Größenordnung aus, bezieht öffentliche Verwaltungen, lokalen Verkehr und Forschungseinrichtungen ein, und verlagert die Verantwortung auf das Leitungsorgan. Der amministratore delegato oder legale rappresentante haftet persönlich für die Freigabe des Risikomanagements und die eigene Schulung.
Der praktische Schritt ist der gleiche wie überall in der EU. Anwendbarkeit gegen Richtlinie und Dekret prüfen, auf der ACN Plattform registrieren, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung über CSIRT Italia, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Sektorale ACN Anhänge konkretisieren den Detailrahmen, sie ersetzen das Pflichtenregister nicht.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine italienische Tochter unter Decreto Legislativo 138/2024, eine deutsche Mutter unter BSIG, eine französische Schwester unter Ordonnance n° 2024-1093 und eine niederländische unter dem Cyberbeveiligingswet. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.
Für den italienischen Scope startet man mit der Anwendbarkeitsprüfung, dann Meldetakt über das CSIRT Italia, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo die ACN Festlegungen oder Sektoranhänge veröffentlicht, verlinken wir sie. Wir kopieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2) — EUR-Lex
- Durchführungsverordnung (EU) 2024/2690
- Decreto Legislativo 4 settembre 2024, n. 138 — Gazzetta Ufficiale vom 1. Oktober 2024
- ACN — Agenzia per la Cybersicurezza Nazionale, offizielle Seite (acn.gov.it)
- CSIRT Italia — Nationales Computer Security Incident Response Team (csirt.gov.it)
- Europäische Kommission — NIS 2 Umsetzungsübersicht, Italien
- Banca d'Italia — zuständige Behörde für DORA im Finanzsektor