NIS2 in Italien

1. Kurzer Überblick zur Anwendbarkeit auf KMU in Italien

Gilt NIS2 für KMU in Italien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Italien niedergelassene Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die den italienischen Markt bedienen.

KMU sollten prüfen, ob sie unter das nationale Cybersicherheitsregime Italiens fallen, basierend auf der Sektorzuordnung und gesetzlichen Schwellenwerten.

2. Überblick über die Umsetzung der NIS2-Richtlinie in Italien

Italien hat die NIS2-Umsetzung mit dem Gesetzesdekret Nr. 138/2024 (4. September 2024) abgeschlossen, das am 1. Oktober 2024 im Gazzetta Ufficiale veröffentlicht wurde und seit dem 16. Oktober 2024 in Kraft ist. Das Dekret ersetzt das bisherige NIS1-Regime durch einen eigenständigen, umfassenden Cybersicherheitsrahmen.

Italien hat den Anwendungsbereich über die Mindestvorgaben der Richtlinie hinaus durch die nationalen Anhänge III und IV erweitert, die zusätzliche Einrichtungen wie zentrale Regierungsstellen, kommunale öffentliche Verkehrsbetriebe und Einrichtungen von kulturellem Interesse erfassen. Eine Schutzklausel (DPCM 221/2024, in Kraft seit 11. Februar 2025) erlaubt ICT-unabhängigen Konzerntochtergesellschaften, eine angepasste Behandlung zu beantragen. Das Dekret übernimmt zudem die weiter gefasste Terminologie der „Leitungs- und Geschäftsführungsorgane“ zur Klarstellung von Verantwortlichkeiten.

Die Compliance stützt sich auf das Nationale Rahmenwerk für Cybersicherheit und Datenschutz der ACN (Aktualisierung 2025, ausgerichtet an NIST CSF 2.0). Mindesttechnische Maßnahmen waren bis April 2025, langfristige Maßnahmen bis April 2026 umzusetzen; die vollständige Compliance mit den Sicherheitsmaßnahmen ist bis zum 1. Oktober 2026 erforderlich.

3. Anwendungsbereich in Italien

Italien geht über den Mindestanwendungsbereich der Richtlinie hinaus, indem es über die nationalen Anhänge III und IV zusätzliche Sektoren erfasst, etwa die zentrale Verwaltung, den kommunalen öffentlichen Nahverkehr und Einrichtungen von kulturellem Interesse. Auch verbundene Unternehmen, die die einschlägigen Kriterien erfüllen, sind erfasst.

4. Größenschwellen und Anwendbarkeit auf KMU in Italien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einheiten, die beide Kriterien innerhalb der erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Kontinuität wesentlicher Dienste erachtet werden.

Die italienischen Behörden behalten formelle Benennungsbefugnisse, wenn ein systemisches Risiko eine Einbeziehung rechtfertigt.

5. Einstufungsrahmen für Einheiten in Italien

Einheiten werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
• Wichtige Einrichtungen — Unterliegen vorrangig einer reaktiven Aufsicht, die durch schwerwiegende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Italien folgt dem zweistufigen Aufsichtsmodell der Richtlinie innerhalb seines etablierten nationalen Sicherheitsrahmens.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Italien

Das nationale Regelwerk Italiens entspricht den Basisanforderungen der Richtlinie für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

• Risikobewertung und Schutz der Systeme
• Erkennung und Reaktion auf Sicherheitsvorfälle
• Geschäftskontinuität und Krisenmanagement
• Risikokontrollen in der NIS2-Lieferkette in Italien
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Schulungen zur Cybersicherheit für Mitarbeitende

Die Maßnahmen müssen dem Stand der Technik und der Risikobelastung der Organisation entsprechen. Italiens Nationales Rahmenwerk für Cybersicherheit und Datenschutz (an NIST CSF 2.0 ausgerichtet) sowie die im April 2025 erlassene Durchführungsentschließung der ACN definieren die Mindestsicherheitsmaßnahmen, wobei Anhang 1 für wichtige Einrichtungen und Anhang 2 für wesentliche Einrichtungen gilt. ISO/IEC 27001 wird ebenfalls anerkannt. Die vollständige Compliance mit den Sicherheitsmaßnahmen ist bis zum 1. Oktober 2026 erforderlich.

Die Überwachung der Lieferkette umfasst die Anbietersorgfaltsprüfung (Due Diligence) und vertragliche Cybersicherheitsvorkehrungen. Einrichtungen müssen ihre relevanten NIS-Lieferanten jährlich über die ACN-Plattform identifizieren.

7. Managementhaftung und Governance in Italien

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem italienischen Rechtsrahmen:

• Aufsichtsgremien sind für die Überwachung der Compliance verantwortlich.
• Die Geschäftsleitung muss ausreichende Cybersicherheitskompetenz sicherstellen.
• Verwaltungssanktionen können Governance-Versäumnisse ahnden.
• Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die Erwartungen zur Managementhaftung nach NIS2 in Italien heben die Cybersicherheitsgovernance auf die Ebene einer Verantwortung der obersten Leitung.

8. Meldepflichten für Sicherheitsvorfälle in Italien

9. Aufsichtsbehörden und Durchsetzungsmodell in Italien

Hauptzuständige Behörde: National Cybersecurity Agency (ACN).

Italien verwendet ein zentrales Aufsichtsmodell, koordiniert durch ACN; sektorspezifische Behörden werden bei Bedarf einbezogen.

Zu den Aufsichtsbefugnissen gehören:

• Anforderungen von Auskünften und Unterlagen
• Sicherheitsaudits
• Vor-Ort-Kontrollen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Koordinationsmechanismen zur Cybersicherheit

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in Italien

Italien wendet richtlinienkonforme Verwaltungssanktionen an.

Die NIS2-Durchsetzung in Italien kann außerdem Folgendes umfassen:

• Verbindliche Abhilfsanordnungen
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung der Leitungsorgane

Strafrechtliche Haftung gilt nur, wenn sie nach italienischem Recht ausdrücklich vorgesehen ist.

11. NIS2-Lieferkette und Lieferantensicherheit in Italien

Einrichtungen müssen Cybersicherheitsrisiken durch Dritte wie folgt steuern:

• Lieferanten-Risikobewertungen
• Vertragliche Weitergabeklauseln für Sicherheitsanforderungen
• Kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Klumpenrisiken
• Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Italiens entspricht den grundlegenden Erwartungen der Richtlinie in Bezug auf das Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifizierungspflichten in Italien

Unter den Anwendungsbereich fallende Einheiten müssen:

• Registrierung bei der ACN über deren spezielles digitales Portal innerhalb des jährlichen Registrierungsfensters (1. Januar – 28. Februar). Das erste Registrierungsfenster (1. Dezember 2024 – 28. Februar 2025) und die frühere Frist für Anbieter digitaler Infrastruktur (17. Januar 2025) sind bereits abgelaufen.
• Angaben zur Unternehmensidentität bereitstellen
• die Sektorzuordnung offenlegen
• aktuelle Kontaktstellen für Meldungen vorhalten

Die ACN veröffentlicht jährlich bis zum 31. März die Liste der erfassten Einrichtungen und benachrichtigt diese bis zum 15. April. Das jährliche Aktualisierungsfenster läuft vom 15. April bis 31. Mai (im ersten Jahr 2025 verlängert bis 31. Juli). Ab 2026 müssen Einrichtungen zudem zwischen dem 1. Mai und 30. Juni ihre Aktivitäten/Dienstleistungen sowie relevanten NIS-Lieferanten angeben.

Die Selbstidentifizierung ist verpflichtend, wenn Einheiten die gesetzlichen Schwellenwerte erfüllen. Die Schutzklausel für ICT-unabhängige Konzerntochtergesellschaften kann zudem bei der Registrierung über die ACN-Plattform beantragt werden.

13. Wechselwirkung mit der DSGVO und anderen Gesetzen in Italien

Die Datenschutz-Grundverordnung findet weiterhin parallel Anwendung.

Zu den Überschneidungen zählen:

• Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden
• Koordinierung der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische italienische Cybersicherheitsgesetzgebung

Ein Cybervorfall kann Meldepflichten nach beiden Regelwerken auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Italien werden für grenzüberschreitende Dienste von den italienischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die in Italien Dienstleistungen erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Vertretungsanforderungen folgen den Standards der Richtlinie für nicht in der EU ansässige Anbieter, die den italienischen Markt bedienen.

15. Umsetzungszeitplan in Italien

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: D.Lgs. 138/2024 (Gazzetta Ufficiale 1. Oktober 2024); DPCM 221/2024 (in Kraft seit 11. Februar 2025); Durchführungsentschließung der ACN von April 2025; Nationales Rahmenwerk für Cybersicherheit und Datenschutz (Aktualisierung 2025, an NIST CSF 2.0 ausgerichtet)
• Inkrafttreten: 16. Oktober 2024 (keine Übergangsfrist; gestaffelte Compliance)
• Mitteilung an die Kommission: Vollständig an die Europäische Kommission notifiziert; nicht von einer offenen begründeten Stellungnahme betroffen
• Compliance-Meilensteine: Registrierungsfrist 28. Februar 2025 (abgelaufen); Anbieter digitaler Infrastruktur 17. Januar 2025 (abgelaufen); Vorfallmeldungen ab 1. Januar 2026; jährliche Informationsaktualisierungen 15. April – 31. Mai; Aktivitäten und Lieferanten 1. Mai – 30. Juni; vollständige Compliance mit Sicherheitsmaßnahmen bis 1. Oktober 2026

Italiens Umsetzung wurde am 16. Oktober 2024 abgeschlossen. Die ersten Registrierungsfristen sind bereits abgelaufen; der wichtigste anstehende Meilenstein ist die vollständige Compliance mit den von der ACN definierten Sicherheitsmaßnahmen bis zum 1. Oktober 2026. Die verpflichtende Vorfallmeldung an ACN/CSIRT Italia gilt seit dem 1. Januar 2026.

16. Kernaussagen für KMU in Italien

• Mittelgroße Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich. Italiens Anwendungsbereich geht über die Mindestvorgaben der Richtlinie hinaus, indem über die nationalen Anhänge III und IV zusätzliche Sektoren erfasst werden; ICT-unabhängige Konzerntochtergesellschaften können die Schutzklausel über die ACN-Plattform beantragen.
• Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Governance-Aufsicht auf Vorstandsebene ist verpflichtend.
• Meldepflichten für Vorfälle folgen Fristen von 24 Std. / 72 Std. / 1 Monat. Die verpflichtende Vorfallmeldung an ACN/CSIRT Italia gilt seit dem 1. Januar 2026.
• Finanzielle Sanktionen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist erforderlich.
• Eine frühzeitige Compliance-Planung ist unerlässlich — die vollständige Compliance mit den von der ACN definierten Sicherheitsmaßnahmen ist bis zum 1. Oktober 2026 erforderlich, jährliche Registrierungen und Informationsaktualisierungen sind zwischen Januar und Mai über das ACN-Portal vorzunehmen.

FAQ: NIS2-Leitfaden für KMU in Italien