Dekret NIS 2: neue Verpflichtungen zur Cybersicherheit für Unternehmen
Am 1. Oktober wurde das GvD Nr. 138/24, das die EU-Richtlinie 2022/2555 (sog. NIS 2) über Maßnahmen für ein hohes gemeinsames Niveau der Cybersicherheit in der Union umsetzt, im Amtsblatt veröffentlicht. Das Dekret legt nicht nur eine nationale Cybersicherheitsstrategie fest und benennt die Aufgaben der verschiedenen Behörden, die für den Schutz der nationalen Sicherheit zuständig sind, sondern auch die Identifikationskriterien der Unternehmen, mit bestimmten Cybersicherheitsverpflichtungen.
Zu den von der Gesetzgebung betroffenen Branchen gehören unter anderem das Gesundheitswesen, der Energiesektor, die Telekommunikation und die digitalen Dienstleistungen sowie das Bank-, Finanz- und Versicherungswesen.
Die betroffenen Unternehmen müssen sich darauf vorbereiten, Maßnahmen zu ergreifen, um die Widerstandsfähigkeit der Infrastruktur, den Datenschutz und die Risikominderung zu gewährleisten.
Von entscheidender Bedeutung sind hierbei die Festlegung von Cybersicherheitsrichtlinien sowie von Plänen für die Reaktion auf Zwischenfälle, die Geschäftskontinuität und die Wiederherstellung im Katastrophenfall, die Durchführung von Penetrationstests und Schulungen zur Cybersicherheit.
Die Sicherheitsmaßnahmen müssen auch von den Zulieferern eingehalten werden, so dass die Unternehmen auch in Bezug auf IT-Risiken strenge Kontrollen über die Lieferkette ausüben müssen.
***
Dieser Beitrag wurde für die Newsletter "Recht & Steuern" der Deutsch-Italienischen Handelskammer AHK Italien vom Oktober 2024 von unserem Unternehmensstrafrechtsteam verfasst.
Der Beitrag Newsletter "Recht & Steuern" der AHK Italien Oktober 2024 ist hier verfügbar.