NIS2: ACN-Klarstellungen
vom Clusit-Event am 29. April 2026

Was am 29. April 2026 geschah

Das Event «NIS2, von Basismaßnahmen zur Kategorisierung: Leitfaden zu den nächsten Schritten des Anpassungswegs», organisiert von Clusit (Italienische Vereinigung für Informationssicherheit) am 29. April 2026 mit Beteiligung der ACN (Italienische Nationale Cybersicherheitsagentur), lieferte lang erwartete Klarstellungen zu mehreren offenen Punkten des Anpassungswegs zur NIS2-Richtlinie: Kategorisierung von Aktivitäten und Diensten, Identifizierung relevanter Lieferanten, Qualifizierung und Beginn der Meldefristen für Vorfälle, Anwendungsbereich der Maßnahmen und Rolle der Leitungsorgane.

Der Beitrag von Dr. Milena Antonella Rizzi für die ACN bestätigte eine klare Richtung: Die italienische NIS2 tritt in eine reifere Phase ein. Nach der Registrierung der Subjekte und den ersten Mitteilungen über die Aufnahme in den Perimeter verlagert sich der Schwerpunkt auf die Fähigkeit, Aktivitäten, Dienste, Informationssysteme, Lieferanten und Verantwortlichkeiten konkret zu steuern.

Verhältnismäßigkeit: über die wesentlich/wichtig-Unterscheidung hinaus

In den letzten Monaten haben viele Organisationen die Verhältnismäßigkeit hauptsächlich als Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen interpretiert. Die ACN stellte klar, dass diese Lesart nicht mehr ausreicht. Die Verhältnismäßigkeit muss auch auf der Grundlage der tatsächlich erbrachten NIS-Aktivitäten und -Dienste, der sie unterstützenden Informations- und Netzsysteme und der zugewiesenen Relevanzkategorie ausgerichtet werden.

Die Frage lautet nicht mehr nur «bin ich eine wesentliche oder wichtige Einrichtung?». Sie wird zu: «welche Aktivitäten und Dienste erbringe ich, wie relevant sind sie, welche Systeme unterstützen sie und welche Maßnahmen müssen auf diese Systeme angewendet werden?». Angemessenheit und Verhältnismäßigkeit hören auf, eine allgemeine Formel zu sein, und werden zu einem operativen Kriterium.

Kategorisierung: die Grundlage zukünftiger Maßnahmen

Die Basisspezifikationen bilden die erste Stufe des Anpassungswegs, sind aber nicht als isolierter Block zu betrachten. Sie werden auch einen wesentlichen Teil des zukünftigen langfristigen Maßnahmenrahmens abdecken, der schrittweise auf der Grundlage der den Aktivitäten und Diensten zugewiesenen Relevanzkategorien kalibriert wird.

Die Kategorisierung dient also nicht nur dazu, einen Abschnitt des ACN-Portals auszufüllen. Sie wird zu einem der Instrumente, mit denen die Behörde zukünftige Verpflichtungen gezielt und verhältnismäßig ausgestalten kann. Sie als einfache Dateneingabe zu behandeln, wäre ein Fehler: Das Risiko besteht darin, ein formal korrektes, aber für das tatsächliche Risikomanagement wenig nützliches Ergebnis zu erzeugen.

In der Praxis entwickelt sich der Prozess in drei Schritten:

• 1Identifizieren der erbrachten Aktivitäten und Dienste in Bezug auf den NIS-Perimeter, unter Unterscheidung dessen, was instrumentell ist, von dem, was tatsächlich an Nutzer, Kunden oder Lieferketten geliefert wird.
• 2Zuordnung zu den von der ACN vorgesehenen Makrobereichen, unter Bewertung, ob die vorgeschlagene Klassifizierung die Realität der Organisation korrekt abbildet.
• 3Zuweisung der entsprechenden Relevanzkategorie, mit Begründung der Wahl durch objektive Elemente: Geschäftsauswirkungen, technologische Abhängigkeiten, Geschäftskontinuität, Auswirkungen auf Kunden, Nutzer oder Produktionsketten.

Die Einrichtung kann die vorgeschlagene oder zuvor zugewiesene Klassifizierung ändern, ohne der ACN für jede Änderung Anmerkungen übermitteln zu müssen, muss aber intern die Elemente aufbewahren, die zu der Wahl geführt haben. Entscheidungs-Nachvollziehbarkeit, nicht zusätzliche Bürokratie.

Anwendungsbereich: das Informations- und Netzsystem, nicht das einzelne Asset

Der Bezugspunkt der NIS2-Maßnahmen ist nicht das einzelne Asset, das einen Dienst direkt erbringt, sondern das Informations- und Netzsystem als Ganzes: Anwendungen, Infrastrukturen, Netzwerke, digitale Identitäten, Daten, Lieferanten, Prozesse, Überwachung, Wiederherstellungsfähigkeit und operative Abhängigkeiten.

Dies ändert den Ansatz für Inventare erheblich. Viele Unternehmensinventare werden noch von Assets ausgehend aufgebaut (Server, Anwendungen, Geräte, Lizenzen, Datenbanken). Die von NIS2 geforderte Logik ist umgekehrt: Zuerst werden Aktivitäten und Dienste identifiziert, dann die sie unterstützenden Informations- und Netzsysteme, schließlich gelangt man zu Assets und Abhängigkeiten. Ein Inventar, das Aktivitäten, Dienste, Systeme und Lieferanten nicht verbindet, bleibt eine geordnete Liste technologischer Objekte, ist aber kein nützliches Werkzeug für das Risikomanagement.

Relevante Lieferanten: Fungibilität ist der Schlüssel

Die für KMU im verarbeitenden Gewerbe und in der Logistik wichtigste Klarstellung betrifft die relevanten Lieferanten: Es genügt nicht, nur ICT-Lieferanten im engeren Sinne zu betrachten. Die Bewertung muss auch jene nicht-fungiblen Lieferanten einschließen, die die Kontinuität von NIS-Aktivitäten oder -Diensten beeinflussen können, auch wenn sie keine Technologie liefern.

Die ACN-Vorlage für die Eingabe der Lieferanten im Portal sieht drei unterschiedliche Kriterien vor:

• 1ICT-Lieferung — Software, Infrastrukturen, Cloud-Dienste, Wartung und technologischer Support im klassischen Sinne.
• 2Nicht-fungible Lieferung — Nicht-ICT-Lieferanten, die schwer zu ersetzen sind: Rohstoffe, spezifische Industriekomponenten, kritische Logistikdienste, exklusive Verarbeitungen.
• 3Nicht-fungible ICT-Lieferung — schwer zu ersetzende Technologielieferanten: vertikale Managementsoftware, Systemintegratoren, proprietäre OT-Anbieter.

Nicht alle ICT-Lieferanten sind automatisch nicht-fungibel. Nicht alle Nicht-ICT-Lieferanten sind irrelevant. Einige Lieferanten können gleichzeitig ICT und nicht-fungibel sein. Das operative Risiko ist zweifach: zu viele Lieferanten zu erfassen und die Liste in ein Verwaltungsverzeichnis zu verwandeln, oder zu wenige zu erfassen und grundlegende Abhängigkeiten zu vergessen, nur weil sie nicht in die klassische «Informatik»-Kategorie fallen.

Eine nützliche Klarstellung betrifft den Fall des ICT-Resellers: Wenn die Beziehung ein reiner Wiederverkauf ist, ohne Wartung oder kontinuierlichen Support, ist der Reseller möglicherweise nicht das tatsächlich relevante Subjekt. Die Aufmerksamkeit verlagert sich auf das zugrunde liegende Produkt oder Dienst. Eine offizielle ACN-FAQ wird zu diesem Punkt erwartet.

Vorfälle: 24 Stunden ab Kenntnisnahme

Eine weitere operative Klarstellung: Die 24-Stunden-Frist für die Vorabmeldung an CSIRT Italia läuft nicht ab dem materiellen Zeitpunkt des Vorfalls, sondern ab dem Moment, in dem die Einrichtung davon Kenntnis hat. Wenn ein Vorfall am Samstagabend stattfindet, die Organisation aber erst am Montagmorgen objektive Kenntnis davon erlangt, beginnt die Frist am Montagmorgen.

Dies legitimiert keine fehlende Überwachung: Es bedeutet, dass die Meldung auf tatsächlicher Kenntnis beruhen muss, nicht auf Annahmen. Die Vorfallmanagementpläne müssen klar zwischen fünf verschiedenen Momenten unterscheiden: Auftreten des Ereignisses, Erkennung, Kenntnisnahme des Vorfalls, Wesentlichkeitsbewertung und Auslösung der Vorabmeldung.

IS-3: erwartete Service-Levels ≠ SLA, RTO und RPO

Die ACN stellte klar, dass für den Typ IS-3 (Verletzung der erwarteten Service-Levels) die Bewertung nicht automatisch mit SLA, RTO oder RPO zusammenfällt. Diese Elemente können nützlich sein und in einigen Fällen überlappen, erschöpfen aber die geforderte Bewertung nicht.

Der Punkt ist zu verstehen, ob der Vorfall für einen bestimmten Zeitraum die Fähigkeit der Einrichtung beeinträchtigt hat, eine Aktivität oder einen Dienst in Übereinstimmung mit den eigenen Geschäftsanforderungen zu erbringen. Es handelt sich um eine substantielle Bewertung, nicht nur um eine vertragliche oder technische. Wenn eine Organisation nicht definiert hat, welche Dienste erwartet werden und wann ihre Nichtverfügbarkeit erheblich wird, riskiert sie während eines Vorfalls improvisieren zu müssen. Improvisieren produziert selten gute Ergebnisse.

Leitungsorgane und Audits durch Dritte

Zur Beteiligung der Leitungs- und Verwaltungsorgane ist die ACN-Botschaft eindeutig: Die Aufsicht über die Umsetzung kann delegiert werden, die Verantwortung bleibt jedoch kollegial. Dies verhindert, dass NIS2 auf ein rein technisches Thema oder eine Aufgabe reduziert wird, die vollständig der IT, dem Berater oder dem internen Ansprechpartner übertragen wird. Die Leitungsorgane müssen sich nicht in Cybersicherheitstechniker verwandeln, müssen aber in die Lage versetzt werden, das Modell zu verstehen, die Entscheidungen zu genehmigen, den Weg zu überwachen und risikokonforme Entscheidungen zu treffen.

Zu Audits durch Dritte hat die ACN schließlich einen wichtigen Punkt klargestellt: In Italien gibt es derzeit keine privaten Einrichtungen, die als NIS2-Compliance-Auditoren mit ACN-Mandat zertifiziert sind. Organisationen können qualifizierte Berater oder Auditoren hinzuziehen, um ihren Anpassungsstand zu überprüfen, aber kein Dritter kann offiziell die NIS2-Compliance im Namen der Behörde «zertifizieren». Hüten Sie sich vor schnellen und beruhigenden Etiketten.

Was sich für Unternehmen ändert

Das Clusit-Event mit der ACN bestätigte eine klare Richtung: NIS2 kann nicht als dokumentarische Checkliste verwaltet werden. Die Kategorisierung wirkt sich auf Inventare und Risikoanalyse aus. Die Liste der relevanten Lieferanten zwingt dazu, tatsächliche Abhängigkeiten zu lesen, auch über die ICT hinaus. Das Vorfallmanagement erfordert Verfahren, die mit dem Konzept der Kenntnisnahme und der Bewertung der erwarteten Service-Levels übereinstimmen. Die Leitungsorgane bleiben für die Gesamtsteuerung des Wegs verantwortlich.

Die eigentliche Arbeit besteht nicht darin, Portalabschnitte auszufüllen oder einige Dokumente zu aktualisieren. Sie besteht im Aufbau eines kohärenten Modells, in dem Aktivitäten, Dienste, Informationssysteme, Lieferanten, Risiken, Maßnahmen und Verantwortlichkeiten miteinander verknüpft sind. Hier beginnt NIS2, die Grenze zwischen formaler Compliance und realer Risikosteuerung zu ziehen.

Ein zertifizierter Partner für die Anpassung

AtWorkStudio ist seit 2000 in Piacenza, Italien, tätig. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert und verfügen über die ACN-QC1-Qualifizierung für Cloud-Dienste (Email Security Gateway und Microsoft 365 Backup). Wir sind Mitglieder von Clusit (Italienische Vereinigung für Informationssicherheit) und mit Confindustria Piacenza im RICT-Cluster verbunden.

Wir können Ihre Organisation bei der NIS2-Anpassung mit einem strukturierten Weg unterstützen: Mapping von Aktivitäten und Diensten, Kategorisierung und Relevanzzuweisung, Erfassung der ICT- und nicht-fungiblen Lieferanten, Definition von Vorfallmanagementplänen und erwarteten Service-Levels, Einbindung der Leitungsorgane.