Italienischer Gesetzesvorschlag zu NIS2 auf der Zielgeraden

Erweiterte Cyber-Sicherheitsstandards für Europa

Durch die Einführung der NIS2-Verordnung wird erwartet, dass die Cyber-Sicherheit in der EU gestärkt wird, insbesondere in kritischen Infrastrukturen wie Energie, Transport und Gesundheit. Dies trägt zu einem besseren Schutz sensibler Daten und firmeninterner Systeme bei.

Die Vorschriften verlangen einen Mehrfachrisiko-Ansatz basierend auf den folgenden Prinzipien:

• Risikomanagement: Risikoanalyse und Implementierung präventiver Sicherheitsmaßnahmen und -instrumente.
• Incident-Management: Erstellung eines Reaktionsplans zur schnellen Erkennung, Verwaltung und Meldung von Vorfällen.
• Governance-Management: Investition in die Ausbildung der Unternehmensführung und des Personals.

Die NIS2-Richtlinie zielt darauf ab, einen hohen gemeinsamen Sicherheitsstandard in der EU zu gewährleisten. Unternehmen müssen Risiken analysieren, entsprechende Sicherheitsmaßnahmen ergreifen, Pläne zur schnellen Erkennung und Bewältigung von Vorfällen erstellen und in die Ausbildung ihrer Mitarbeitenden und Führungskräfte investieren.

Auszug der NIS2-Richtlinien

Der neue Gesetzesentwurf basiert auf den EU-Richtlinien und legt fest, welche Maßnahmen im Bereich Cyber-Sicherheit und Risikomanagement getroffen werden müssen.

Die wichtigsten Anforderungen der angepassten NIS2-Verordnung umfassen:

• Detaillierte Richtlinien und Verfahren: Die Unternehmen unterliegen umfassenden Richtlinien zu verschiedenen Sicherheitsthemen, einschließlich Zugangskontrollen, Vorfallberichterstattung, Sicherheitstests, Patch-Management und Lieferkettensicherung.
• Genehmigung und Überprüfung: Die Richtlinien müssen von der Führungsebene genehmigt und regelmäßig überprüft werden.
• Vorfallbehandlung: Erstellung eines Leitfadens zur Behandlung von unerwünschten Sicherheitsvorfällen mit Kategorisierung und Eskalationsplan. 
• Geschäftskontinuität und Krisenmanagement: Damit nach einem Vorfall die üblichen Geschäftsprozesse weiterlaufen können, müssen mögliche Angriffe und Krisenszenarien durchdacht und Lösungsvorschläge erarbeitet werden.
• Überwachung und Protokollierung: Kontinuierliches Monitoring zur Identifikation und Reaktion auf Vorfälle.
• Lieferkettenverträge: Es muss sichergestellt werden, dass auch Lieferanten und Dienstleister ein ausreichendes Sicherheitsniveau bieten.
• Grundlegende Cyber-Hygiene und Schulung: Umsetzung von Maßnahmen zur Datenhygiene und Schulung für alle Mitarbeitenden.
• Insider-Bedrohungen und Zugangskontrollen: Regelmäßige Überprüfung und Bewusstseinsschulung des Personals bezüglich Sicherheitsrisiken.
• Identifikation von "Kronjuwelen": Bestandsaufnahme der Vermögenswerte und Klassifizierung des Risikoniveaus.
• Governance und Compliance-Überwachung: Ernennung von Zuständigen für Cyber-Sicherheit innerhalb des Verwaltungsrats, inklusive regelmäßiger Berichterstattung an die Unternehmensführung.

Auswirkungen von NIS2 für Unternehmen in Italien

Die neuen Anforderungen sind verpflichtend für Unternehmen ab einer bestimmten Größe, die in der EU ansässig sind und den folgenden Branchen angehören: Transport, Energie, Wasserversorgung, Abfallmanagement, Chemie, Lebensmittelproduktion und -verarbeitung, Gesundheitssektor, Finanzwesen, Post- und Lieferdienste sowie digitale Dienstleister.

Zusammengefasst verlangt die NIS2-Richtlinie, dass italienische Unternehmen der genannten Sektoren ihre Cyber-Sicherheitsmaßnahmen verbessern.

Die Richtlinien umfassen Investitionen in die interne IT-Struktur, die Erstellung von Vorfall-Managementplänen und die Schulung des Personals. Für den Verwaltungsrat bedeutet dies, sich kontinuierlich über Sicherheitsrisiken zu informieren und das Wissen an die Mitarbeitenden weiterzugeben. Es gilt, die neuen Anforderungen rechtzeitig umzusetzen, um Sanktionen zu vermeiden und den Schutz der eigenen Infrastruktur zu gewährleisten.