Mit dem Legislativdekret D.Lgs. 4. September 2024, Nr. 138 hat Italien die NIS-2-Richtlinie (EU) 2022/2555 in nationales Recht umgesetzt – als eines der ersten EU-Mitgliedstaaten noch vor Ablauf der Umsetzungsfrist am 17. Oktober 2024. Zuständige Aufsichtsbehörde ist die Agenzia per la Cybersicurezza Nazionale (ACN), das nationale CSIRT heißt CSIRT Italia und ist organisatorisch in die ACN eingegliedert. Für deutsche Unternehmen mit Tochtergesellschaften, Niederlassungen oder wesentlichen Lieferantenbeziehungen in Italien bedeutet dies: Neben den deutschen Pflichten nach dem NIS2UmsuCG können parallel eigenständige Compliance-Anforderungen nach D.Lgs. 138/2024 entstehen. Den europäischen Gesamtrahmen der NIS-2-Richtlinie – Anwendungsbereich, Sicherheitsmaßnahmen und Governance-Pflichten – erläutert der Leitfaden zu den NIS2-Grundlagen.
Italiens Rolle in der europäischen Cybersicherheitsarchitektur
Als siebtgrößte Volkswirtschaft der EU und bedeutender Handelspartner Deutschlands mit einem bilateralen Warenaustausch von über 130 Milliarden Euro pro Jahr ist Italien für zahlreiche deutsche Unternehmen ein zentraler Markt. Gleichzeitig verfügt Italien über eine der größten industriellen Infrastrukturen in Europa – von der Energieversorgung über die Automobilindustrie bis hin zum Finanzsektor. Die NIS2-Umsetzung ist daher nicht nur für italienische Unternehmen relevant, sondern hat direkte Auswirkungen auf grenzüberschreitende Lieferketten und Tochtergesellschaften deutscher Konzerne.
Auf europäischer Ebene ist Italien aktives Mitglied der NIS-Kooperationsgruppe, des CSIRT-Netzwerks und der EU-CyCLONe-Gruppe für das Management großflächiger Cybersicherheitsvorfälle. Die ACN arbeitet dabei eng mit dem deutschen BSI zusammen; gemeinsame Lageberichte und koordinierte Warnungen bei EU-weiten Bedrohungen sind etablierter Standard. Welche Einrichtungen generell in den Anwendungsbereich der NIS-2-Richtlinie fallen, beschreibt der Leitfaden zum NIS2-Anwendungsbereich detailliert.
D.Lgs. 138/2024 – Italiens nationales NIS2-Umsetzungsgesetz
Das Decreto Legislativo 4. September 2024, Nr. 138 („Attuazione della direttiva (UE) 2022/2555 … relativa a misure per un elevato livello comune di cibersicurezza nell’Unione“) wurde am 2. Oktober 2024 in der Gazzetta Ufficiale (Nr. 230) veröffentlicht und trat am 16. Oktober 2024 in Kraft. Es löste das vorherige italienische NIS1-Recht (D.Lgs. 65/2018) vollständig ab.
Zentrale Regelungsgegenstände des D.Lgs. 138/2024:
- Anwendungsbereich (Art. 3–7): Umsetzung der NIS2-Sektor-Systematik (Allegati I und II) mit nationalen Präzisierungen für besonders kritische Infrastrukturen
- Registrierungspflicht (Art. 7): Betroffene Einrichtungen müssen sich über die Online-Plattform der ACN registrieren; die Registrierung erfolgt stufenweise nach Sektor und Einrichtungsgröße
- Sicherheitsmaßnahmen (Art. 24): Spiegelgetreue Umsetzung der zehn Maßnahmenkategorien aus Artikel 21 der NIS-2-Richtlinie; die ACN gibt ergänzende Leitlinien heraus
- Meldepflichten (Art. 25): Dreistufiges Melderegime (Frühwarnung 24 Stunden, Erstmeldung 72 Stunden, Abschlussbericht 1 Monat) gegenüber CSIRT Italia
- Governance und Verantwortung der Führungsebene (Art. 23): Persönliche Verantwortung der Geschäftsführung; Schulungspflicht; entspricht Artikel 20 NIS2
- Sanktionen (Art. 38–42): Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für soggetti essenziali; bis zu 7 Millionen Euro oder 1,4 Prozent für soggetti importanti
Eine Besonderheit des italienischen Rechts ist die Verknüpfung mit dem Perimetro di Sicurezza Nazionale Cibernetica (PSNC), dem nationalen Cybersicherheitsperimeter für kritische Staatsinfrastrukturen. Einrichtungen, die bereits dem PSNC unterliegen – etwa Unternehmen im Bereich kritischer Infrastruktur mit nationaler Sicherheitsrelevanz –, haben zusätzliche Pflichten neben NIS2, darunter striktere Cloud-Nutzungsvoraussetzungen und eine ACN-Zertifizierung für bestimmte IT-Produkte und -Dienste.
ACN – Agenzia per la Cybersicurezza Nazionale
Die Agenzia per la Cybersicurezza Nazionale (ACN) wurde durch das Decreto-Legge Nr. 82/2021 (umgewandelt in Gesetz Nr. 109/2021) gegründet und hat ihren Sitz in Rom. Sie ist das direkte Pendant zum deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) – allerdings mit einer Besonderheit: Die ACN ist unmittelbar dem Präsidentenamt des Ministerrats (Presidenza del Consiglio dei Ministri) unterstellt, während das BSI dem Bundesinnenministerium gehört. Diese institutionelle Nähe zur höchsten Exekutive unterstreicht den strategischen Stellenwert der Cybersicherheit in der italienischen Regierungsarchitektur.
Die ACN übernimmt im Rahmen des D.Lgs. 138/2024 folgende Kernaufgaben:
- Nationale Cybersicherheitsbehörde (NCA): Umsetzung und Durchsetzung der NIS2-Vorgaben gegenüber betroffenen Einrichtungen; Aufsicht und Sanktionsbefugnisse
- Regulierung und Leitlinien: Erlass von Durchführungsbestimmungen und technischen Leitlinien zu Art.-24-Maßnahmen; Sektorguidelines für Energie, Gesundheit, Finanzen
- Nationale Cybersicherheitsstrategie: Umsetzung der Strategia Nazionale di Cybersicurezza 2022–2026 mit 82 operativen Maßnahmen
- CSIRT-Betrieb: Die ACN betreibt CSIRT Italia als integrale Abteilung; 24/7-Incident-Response und Koordination mit dem europäischen CSIRT-Netzwerk
- Cloud-Zertifizierung: Im Rahmen des PSNC betreibt die ACN das Cloud-Qualifizierungssystem für öffentliche und kritische Infrastrukturbeschaffung (Catalogo dei Servizi Cloud)
- Registrierungsplattform: Die ACN betreibt das Online-Portal für die NIS2-Registrierung, Übermittlung von Sicherheitsberichten und Vorfallsmeldungen
Die ACN-Aufsicht ist für wesentliche Einrichtungen (soggetti essenziali) proaktiv: regelmäßige Audits, Sicherheitsprüfungen vor Ort und die Möglichkeit, Penetrationstests anzuordnen. Für wichtige Einrichtungen (soggetti importanti) gilt wie in Deutschland eine reaktive Aufsicht, die jedoch bei begründetem Anlass ebenfalls proaktiv werden kann.
CSIRT Italia – Italiens nationales CERT
CSIRT Italia (“Computer Security Incident Response Team”) ist die national zuständige Stelle für die Entgegennahme und Koordination von Meldungen zu Cybersicherheitsvorfällen. Es ist als Abteilung in die ACN integriert und operiert rund um die Uhr. CSIRT Italia ist vollständiges Mitglied des europäischen CSIRT-Netzwerks nach Artikel 15 NIS2 und arbeitet über dieses Netzwerk mit dem deutschen CERT-Bund (BSI) zusammen.
Kernaufgaben von CSIRT Italia:
- Entgegennahme der dreistufigen Vorfallsmeldungen (24h Frühwarnung, 72h Erstmeldung, 1-Monats-Abschlussbericht) von betroffenen Einrichtungen in Italien
- Technische Unterstützung betroffener Einrichtungen bei der Vorfallsbewältigung
- Koordination EU-weiter Vorfälle über das CSIRT-Netzwerk und CyCLONe
- Veröffentlichung von Warnmeldungen, Schwachstellenhinweisen und Lageberichten (ähnlich dem BSI-Lagebericht)
- Betrieb der Meldeplättform im ACN-Portal für NIS2-Incident-Notifications
Vorfallsmeldungen an CSIRT Italia erfolgen ausschließlich über das ACN-Online-Portal. Ein direkter E-Mail- oder Telefon-Meldeweg für NIS2-Pflichtmeldungen ist nicht vorgesehen. Deutsche Unternehmen, die in Italien als NIS2-Einrichtung registriert sind, müssen daher sicherstellen, dass ihre lokalen Teams Zugang zum ACN-Portal und Kenntnisse über die Meldewege haben.
Soggetti essenziali und Soggetti importanti – Einstufungssystematik
Das D.Lgs. 138/2024 übernimmt die NIS2-Zweistufensystematik unverändert: Soggetti essenziali (besonders wichtige Einrichtungen, Allegato I) und Soggetti importanti (wichtige Einrichtungen, Allegato II). Die Größenschwellen entsprechen ebenfalls der Richtlinie: Mittelgroße und große Unternehmen mit mindestens 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz bzw. -bilanzsumme. Die folgende Tabelle vergleicht die zentralen Merkmale des deutschen und des italienischen NIS2-Systems:
| Merkmal | Deutschland (NIS2UmsuCG) | Italien (D.Lgs. 138/2024) |
|---|---|---|
| Zuständige Behörde (NCA) | BSI (Bundesinnenministerium) | ACN (Präsidentenamt) |
| Nationales CSIRT | CERT-Bund (BSI) | CSIRT Italia (ACN) |
| Umsetzungsgesetz | NIS2UmsuCG (2024) | D.Lgs. 138/2024 |
| Registrierungsplattform | BSI-Meldeportal (MELDP) | ACN-Online-Portal |
| Max. Bußgeld (wesentl. E.) | 10 Mio. € / 2 % Umsatz | 10 Mio. € / 2 % Umsatz |
| Max. Bußgeld (wichtige E.) | 7 Mio. € / 1,4 % Umsatz | 7 Mio. € / 1,4 % Umsatz |
| Meldeadressat | BSI (MELDP) | CSIRT Italia (ACN-Portal) |
| Paralleles nationales System | KRITIS-Dachgesetz (im Aufbau) | PSNC (seit 2019) |
| Inkrafttreten der Umsetzung | 2024 (NIS2UmsuCG) | 16. Oktober 2024 |
Meldepflichten nach D.Lgs. 138/2024
Artikel 25 des D.Lgs. 138/2024 setzt die NIS2-Meldepflicht wortgetreu um. In der Praxis bedeutet dies für in Italien registrierte Einrichtungen:
- Frühwarnung (entro 24 ore): Unverzügliche Erstmeldung an CSIRT Italia innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls. Inhalt: Vorfallstyp, erste Lageeinschätzung, mögliche grenzüberschreitende Auswirkungen.
- Erstmeldung (entro 72 ore): Detaillierte Meldung innerhalb von 72 Stunden; aktualisierte Beurteilung des Vorfalls; betroffene Systeme und Dienste; ergriffene Sofortmaßnahmen.
- Zwischenbericht (su richiesta del CSIRT): Auf Verlangen von CSIRT Italia können Zwischenberichte zum Vorfallsmanagement angefordert werden.
- Abschlussbericht (entro 1 mese): Vollständige Analyse des Vorfalls, Ursachen, eingeleitete Langzeitmaßnahmen, Veröffentlichungsempfehlung durch CSIRT Italia bei öffentlichem Interesse.
Ein erheblicher Vorfall (incidente significativo) liegt nach Art. 25 D.Lgs. 138/2024 vor, wenn er erhebliche Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen könnte, oder wenn andere natürliche oder juristische Personen erheblich beeinträchtigt werden. Die ACN hat ergänzende Leitlinien zur Erheblichkeitsschwelle veröffentlicht, die sektorspezifische Kriterien festlegen.
Relevanz für deutsche Unternehmen mit Italien-Bezug
Für deutsche Unternehmen entstehen durch das D.Lgs. 138/2024 folgende relevante Konstellationen:
1. Tochtergesellschaft oder rechtlich selbständige Niederlassung in Italien: Wenn die italienische Einheit die Schwellenwerte (mindestens 50 Beschäftigte oder mindestens 10 Mio. Euro Jahresumsatz) in einem der erfassten Sektoren erfüllt, ist sie als soggetto importanti oder soggetto essenziale eigenständig registrierungspflichtig bei der ACN. Die deutsche Muttergesellschaft hat dies sicherzustellen; eine etwaige BSI-Registrierung in Deutschland überträgt sich nicht auf die italienische Einheit.
2. Dienstleistungen für italianische KRITIS-Einrichtungen: Deutsche Unternehmen, die als Lieferanten für italienische NIS2-Einrichtungen tätig sind, müssen damit rechnen, dass ihre italienischen Kunden erhöhte vertragliche Sicherheitsanforderungen nach Art. 24 Abs. 2 lit. d D.Lgs. 138/2024 (Lieferkettensicherheit) stellen. Dies betrifft insbesondere IT-Dienstleister, Cloud-Anbieter und Softwarehersteller.
3. Grenzüberschreitende Vorfallsmeldungen: Ein Sicherheitsvorfall, der gleichzeitig eine in Deutschland registrierte Einrichtung und deren italienische Tochter trifft, erfordert parallele Meldungen: an das BSI (MELDP) nach deutschem Recht und an CSIRT Italia (ACN-Portal) nach D.Lgs. 138/2024. Unternehmen müssen ihre Incident-Response-Prozesse daher länderübergreifend koordinieren.
4. PSNC-Betroffenheit prüfen: Unternehmen, die für nationale Sicherheitsbehörden, Verteidigung, Energie oder Telekommunikation in Italien tätig sind, können zusätzlich dem Perimetro di Sicurezza Nazionale Cibernetica unterliegen. Dies führt zu deutlich strengeren Anforderungen als NIS2 allein. Wie Deutschland NIS2 im Detail umsetzt, zeigt der Leitfaden zur NIS2-Umsetzung in Deutschland im direkten Vergleich.
Art.-21-Sicherheitsmaßnahmen im deutsch-italienischen Unternehmenskontext
Die zehn Sicherheitsmaßnahmenkategorien aus Artikel 21 NIS2 gelten nach D.Lgs. 138/2024 Art. 24 in Italien inhaltsgleich. Mehrfach tätige Unternehmensgruppen können konzernweit einheitliche Rahmenwerke (z. B. ISO 27001, BSI-Grundschutz-Profil) einsetzen und auf beide nationale Rechtsordnungen anwenden. Einige praktische Anpassungen sind jedoch erforderlich:
| Maßnahmenbereich (Art. 21 Abs. 2) | Ital. Besonderheit / ACN-Leitlinie |
|---|---|
| Risikoanalyse und Sicherheitsrichtlinien (lit. a) | ACN publiziert sektoreigene Risikorahmen; insbesondere für Energie und Gesundheit liegen nationale Leitlinien vor |
| Behandlung von Sicherheitsvorfällen (lit. b) | Meldung ausschließlich über ACN-Portal; CSIRT Italia kann technische Unterstützung anbieten |
| Business Continuity (lit. c) | Keine zusätzlichen nationalen Spezifikationen; ISO-22301-konforme BCM-Dokumentation anerkannt |
| Lieferkettensicherheit (lit. d) | PSNC-Einrichtungen müssen ACN-qualifizierte Cloud-Dienste nutzen; Anforderung betrifft ggf. deutsche Cloud-Anbieter |
| Sicherheit bei Erwerb und Entwicklung (lit. e) | Keine nationalen Abweichungen; ENISA-Leitlinien gelten |
| Wirksamkeitsbewertung (lit. f) | ACN kann Penetrationstests für wesentliche Einrichtungen anordnen; empfohlen auch für wichtige Einrichtungen |
| Kryptografie und Verschlüsselung (lit. g) | Keine nationalen Mindeststandards jenseits von NIS2; ENISA-Kryptoempfehlungen referenziert |
| Personalsicherheit und Schulungen (lit. h) | Governance-Schulung für Führungsebene nach Art. 23 D.Lgs. 138/2024 verpflichtend; jährlicher Nachweis empfohlen |
| Grundlegende Cyberhygiene (lit. i) | ACN empfiehlt Orientierung am italienischen Framework Nazionale per la Cybersecurity e la Data Protection (FNSC) als Grundlage |
| Zugangskontrolle und Asset-Management (lit. j) | MFA für alle privilegierten Zugänge; PSNC-Einrichtungen: zusätzliche Anforderungen an Identitätsverwaltung |
Compliance-Fahrplan für deutsch-italienisch tätige Unternehmen
Schritt 1: Betroffenheitsanalyse für jede italian Einheit. Prüfen Sie für jede Tochtergesellschaft und rechtlich selbständige Niederlassung in Italien: Sektor gemäß Allegato I oder II, Mitarbeiterzahl und Jahresumsatz/-bilanzsumme. Bei Erfüllung der Schwellenwerte: Einstufung als soggetto essenziale oder soggetto importanti und Registrierungspflicht bei ACN.
Schritt 2: Registrierung über das ACN-Online-Portal. Die Registrierung erfolgt stufenweise; die ACN kommuniziert die Fristen je Sektor über das Portal und offizielle Mitteilungen. Benennen Sie einen lokalen Ansprechpartner (“punto di contatto”) nach Art. 7 D.Lgs. 138/2024, der mit der ACN kommunizieren kann.
Schritt 3: PSNC-Betroffenheit ausschließen oder adressieren. Prüfen Sie, ob die italienische Einheit Dienste für nationale Sicherheitsbehörden, Streitkräfte oder kritische Staatsinfrastrukturen erbringt. Im PSNC-Fall: erweiterte Anforderungen an Cloud-Beschaffung und IT-Sicherheitsarchitektur beachten.
Schritt 4: Konzernweites Sicherheits-Framework auf D.Lgs. 138/2024 mappen. Bestehende ISO-27001- oder BSI-Grundschutz-Dokumentation kann als Grundlage dienen. Prüfen Sie Abweichungen in ACN-sektoreigenen Leitlinien und ergänzen Sie die Dokumentation wo nötig. Besonderes Augenmerk: PSNC-Cloud-Anforderungen und ACN-FNSC-Framework als Referenz für Cyberhygiene.
Schritt 5: Parallele Meldeprozesse implementieren. Richten Sie für Sicherheitsvorfälle mit grenzüberschreitender Wirkung doppelte Meldewege ein: BSI (MELDP) für die deutsche Einheit, CSIRT Italia (ACN-Portal) für die italienische Einheit. Definieren Sie intern, wer welchen Meldeweg aktiviert, und testen Sie den Prozess jährlich.
Schritt 6: Lieferketten-Sicherheitsanforderungen an Kunden kommunizieren. Wenn Sie als IT-Dienstleister, Cloud-Anbieter oder kritischer Zulieferer für in Italien registrierte NIS2-Einrichtungen tätig sind, sollten Sie proaktiv dokumentieren, wie Ihre Dienste den Anforderungen des Art. 24 Abs. 2 lit. d D.Lgs. 138/2024 genügen. Bereiten Sie entsprechende Sicherheitsnachweise und Vertragsmuster vor.
Häufig gestellte Fragen
Muss eine deutsche Muttergesellschaft ihre italienische Tochter bei der ACN registrieren?
Die Registrierungspflicht trifft die rechtlich selbständige italienische Einheit – nicht die deutsche Muttergesellschaft. Wenn die Tochtergesellschaft in einem erfassten Sektor tätig ist und die Schwellenwerte erfüllt, muss sie sich eigenständig über das ACN-Online-Portal registrieren. Die Muttergesellschaft trägt jedoch als Governance-Ebene Mitverantwortung für die Compliance-Sicherstellung und sollte die Registrierung aktiv koordinieren.
Was ist der Unterschied zwischen ACN und CSIRT Italia?
Die ACN (Agenzia per la Cybersicurezza Nazionale) ist die nationale Aufsichtsbehörde für Cybersicherheit – sie setzt die Regelungen des D.Lgs. 138/2024 durch, verhängt Bußgelder und gibt Leitlinien heraus. CSIRT Italia ist die operative Abteilung innerhalb der ACN, die für Vorfallsmeldungen, Lageberichte und die technische Unterstützung bei Cyberangriffen zuständig ist. Formal vergleichbar: ACN ≈ BSI (regulatorisch), CSIRT Italia ≈ CERT-Bund (operativ).
Welche Fristen gelten für die NIS2-Registrierung in Italien?
Die ACN kommuniziert die Registrierungsfristen stufenweise über ihr Online-Portal und offizielle Veröffentlichungen. Das D.Lgs. 138/2024 ist seit dem 16. Oktober 2024 in Kraft; Unternehmen sollten die ACN-Website und das Portal regelmäßig prüfen, da Fristen nach Sektor und Einrichtungstyp gestaffelt sein können. Eine versпätete Registrierung kann bereits bußgeldpflichtig sein.
Was ist das PSNC und sind deutsche Unternehmen betroffen?
Das Perimetro di Sicurezza Nazionale Cibernetica (PSNC) ist ein italienisches Sicherheitsregime für Einrichtungen, die für staatliche Kernfunktionen und nationale Sicherheit kritische Dienste erbringen – ähnlich dem deutschen KRITIS-Regime, aber mit zusätzlichen technischen Anforderungen an ICT-Produkte und Cloud-Nutzung. Auch ausländische Unternehmen, die entsprechende Dienste in Italien erbringen, können PSNC-pflichtig sein. Die ACN entscheidet über die Einbeziehung im Einzelfall.
Gelten in Italien andere Bußgeldobergrenzen als in Deutschland?
Nein. D.Lgs. 138/2024 setzt die NIS2-Bußgeldobergrenzen unverändert um: für wesentliche Einrichtungen (soggetti essenziali) bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen (soggetti importanti) bis zu 7 Millionen Euro oder 1,4 Prozent. Es gilt – wie in Deutschland – der jeweils höhere Betrag. Zusätzlich kann die ACN vorläufige Maßnahmen wie die Aussetzung von Zertifizierungen und Genehmigungen anordnen.
Dieser Artikel stellt allgemeine Informationen bereit und stellt keine Rechts- oder Regulierungsberatung dar. Die konkreten Anforderungen variieren je nach Sektor, Einrichtungsgröße und Geschäftsmodell. Für eine auf Ihr Unternehmen zugeschnittene Einschätzung empfehlen wir die Hinzuziehung eines qualifizierten Rechtsanwalts oder NIS2-Compliance-Spezialisten.
Quellen
- Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS-2-Richtlinie) — EUR-Lex, insbesondere Artikel 2, 3, 15, 20, 21 und Anhänge I und II
- Decreto Legislativo 4 settembre 2024, n. 138 — Attuazione della direttiva (UE) 2022/2555 — Gazzetta Ufficiale della Repubblica Italiana, Nr. 230, 2. Oktober 2024
- Agenzia per la Cybersicurezza Nazionale (ACN) — Offizielle Website — Nationale Cybersicherheitsbehörde Italiens; Registrierungsportal, Leitlinien, Vorfallsmeldungen
- Strategia Nazionale di Cybersicurezza 2022–2026 — ACN, 2022 — 82 operative Maßnahmen der nationalen Cybersicherheitsstrategie
- NIS2 Directive — Transposition Status in the EU — European Union Agency for Cybersecurity (ENISA)
