NIS2 Italy

NIS2 in Italië

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberbeveiliging binnen de Europese Unie te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 , die strengere eisen oplegt en een breder toepassingsgebied hanteert om de digitale weerbaarheid van kritieke infrastructuren te vergroten.

De NIS2-richtlijn werd in Italië omgezet via het Wetsdecreet 138/2024 van 4 september 2024 (hierna: NIS2-wet), dat sinds 1 januari 2025 van kracht is.

Op deze pagina vindt u een volledig en actueel overzicht van de NIS2-wetgeving in Italië, inclusief de reikwijdte van de wet, de verplichtingen voor essentiële en belangrijke entiteiten, de eisen voor cyberbeveiliging en compliance, het toezichtskader en de bevoegde autoriteiten.

De inhoud van deze pagina is onder voorbehoud van wijzigingen en wordt bijgewerkt zodra nieuwe informatie beschikbaar komt vanuit de Italiaanse overheid of toezichthouders.

Heeft u vragen over hoe NIS2 op uw organisatie in Italië van toepassing is? Neem dan contact met ons op .

Toepassingsgebied van de Italiaanse NIS2-wet

De Italiaanse NIS2-wet is van toepassing op zowel rechtspersonen als natuurlijke personen (gezamenlijk: entiteiten) die in Italië geregistreerd zijn en producten en/of diensten leveren binnen een EU-lidstaat. De wet maakt een onderscheid tussen essentiële entiteiten en belangrijke entiteiten, op basis van sector, bedrijfsgrootte en vestiging.

Wanneer valt een organisatie onder de NIS2-wet?

Een organisatie valt in principe onder de Italiaanse NIS2-wet wanneer zij:

  1. diensten levert binnen een sector die is opgenomen in bijlagen I t/m IV;
  2. de drempels voor middelgrote ondernemingen overschrijdt; en
  3. in Italië gevestigd is.

Sectorindeling volgens bijlagen I–IV

Bijlagen I tot en met IV van de Italiaanse NIS2-wet beschrijven de sectoren die binnen het toepassingsgebied vallen. Bijlagen I en II komen overeen met de Europese NIS2-richtlijn. Bijlagen III en IV bevatten aanvullende publieke instanties en door de overheid aangewezen entiteiten.

Bijlage I: Zeer kritieke sectorenBijlage II: Andere kritieke sectoren
Energie
• Elektriciteit
• Stadsverwarming en -koeling
• Aardolie
• Aardgas
• Waterstof		Italiaanse post- en koeriersdiensten
Vervoer
• Lucht
• Spoor
• Water
• Weg		Afvalbeheer
BankwezenProductie en distributie van chemische stoffen
Infrastructuur voor de financiële marktVoedselproductie, verwerking en distributie
GezondheidszorgVervaardiging:
• medische hulpmiddelen
• IVD-apparatuur
• elektronische/optische producten
• elektrische apparatuur
• machines en werktuigen
• motorvoertuigen
• overige transportmiddelen
DrinkwaterDigitale aanbieders
AfvalwaterOnderzoeksinstellingen
Digitale infrastructuur 
Beheer van ICT-diensten (B2B) 
Ruimtevaart 

Naast de sectoren uit bijlage I en II is de wet ook van toepassing op centrale, regionale en lokale overheidsinstanties (bijlage III) en aanvullende door de overheid aangewezen entiteiten (bijlage IV), waaronder lokaal openbaar vervoer, onderzoeksinstellingen en culturele organisaties.

Levert uw organisatie diensten binnen een van deze sectoren? Dan valt zij mogelijk binnen de NIS2-wet. Meer informatie van ACN.

Bedrijfsgroottecriteria

Naast de sector speelt ook de bedrijfsgrootte een rol. Bepaal hier of uw organisatie een kleine, middelgrote of grote onderneming is. In principe vallen middelgrote en grote ondernemingen onder de NIS2-verplichtingen.

Ongeacht bedrijfsgrootte geldt de wet altijd voor:

  • aanbieders van openbare elektronische communicatienetwerken of -diensten;
  • aanbieders van vertrouwensdiensten;
  • TLD-registers (topleveldomeinnamen);
  • DNS-dienstverleners.

De wet kan ook van toepassing zijn wanneer een organisatie strategisch of vitaal wordt beschouwd, bijvoorbeeld wanneer:

  • zij diensten levert die essentieel zijn voor kritieke maatschappelijke of economische functies;
  • een verstoring grote impact zou hebben op openbare orde, veiligheid of volksgezondheid;
  • een incident systeemrisico’s met grensoverschrijdende gevolgen kan veroorzaken;
  • de organisatie een vitale rol speelt in sectorale afhankelijkheden;
  • de organisatie deel uitmaakt van de (digitale) toeleveringsketen van essentiële of belangrijke entiteiten.

Vestiging in Italië

De NIS2-wet is doorgaans van toepassing op organisaties die in Italië gevestigd zijn. Daarnaast vallen ook onderstaande entiteiten onder de wet:

  • aanbieders van openbare elektronische communicatiediensten die actief zijn in Italië;
  • DNS-dienstverleners, TLD-registers, cloudproviders, datacenters, CDN’s, managed service providers, managed security providers en aanbieders van onlinemarktplaatsen, zoekmachines of sociale-netwerkplatformen met hun hoofdvestiging of EU-vertegenwoordiger in Italië;
  • door Italië opgerichte overheidsinstanties.

Aanvullende aanwijzing van entiteiten

Ook organisaties die niet standaard onder NIS2 vallen, kunnen alsnog worden aangewezen als essentiële of belangrijke entiteit. Dit kan het geval zijn wanneer zij deel uitmaken van de toeleveringsketen van een NIS2-organisatie, of wanneer de nationale autoriteit dit noodzakelijk acht.

Wilt u beoordelen of uw organisatie onder de Italiaanse NIS2-wet valt? Dan kunt u een zelfevaluatie uitvoeren via de ACN-website (FAQ 3.1).

Verplichtingen onder de Italiaanse NIS2-wet

De Italiaanse NIS2-wet legt verschillende wettelijke verplichtingen op aan essentiële en belangrijke entiteiten. Deze verplichtingen hebben betrekking op registratie, cybersecuritymaatregelen, incidentrapportage en samenwerking met de bevoegde autoriteiten.

Registratieprocedure bij ACN (Art. 7)

In het kader van de implementatie van de NIS2-richtlijn heeft Italië een nationale registratieprocedure ingevoerd. Deze procedure wordt beheerd door de Agenzia per la Cybersicurezza Nazionale (ACN). Tussen 1 december 2024 en 28 februari 2025 moeten alle organisaties die onder de Italiaanse NIS2-wet vallen zich registreren via het digitale ACN-portaal. Voor DNS-dienstverleners, TLD-registers, cloudproviders, datacenters, content delivery-netwerken, managed service providers, managed security providers, onlinemarktplaatsen, zoekmachines, sociale-netwerkplatformen en vertrouwensdienstverleners geldt een vervroegde deadline van 17 januari 2025. Organisaties die als essentiële of belangrijke entiteit zijn aangewezen, moeten minimaal de volgende gegevens aanleveren:
  • bedrijfsnaam;
  • adres- en contactgegevens, inclusief e-mail en telefoonnummer;
  • gegevens van een contactpersoon en diens vervanger;
  • de relevante sectoren, subsectoren en entiteitstypen uit bijlagen I–IV.
Uiterlijk op 31 maart stelt de nationale autoriteit jaarlijks de lijst vast van aangewezen entiteiten. Tussen 15 april en 31 mei moeten deze entiteiten hun gegevens actualiseren. Voor organisaties die ondersteuning hebben aangevraagd, geldt een verlengde deadline tot 31 juli. Elke wijziging in de verstrekte gegevens moet binnen 14 werkdagen worden doorgegeven. Niet-overheidsorganisaties moeten voorafgaand aan de registratie een zelfevaluatie uitvoeren. Meer informatie vindt u in ACN FAQ 3.1.

Cybersecuritymaatregelen (Art. 24)

Essentiële en belangrijke entiteiten moeten passende technische en organisatorische maatregelen implementeren om de beveiliging van hun netwerk- en informatiesystemen te versterken. Deze maatregelen omvatten ten minste:
  • risicoanalyse en beleidskaders voor informatiebeveiliging;
  • incidentenbeheersing;
  • bedrijfscontinuïteit, inclusief back-ups, disaster recovery en crisisbeheer;
  • beveiliging van de toeleveringsketen;
  • beveiliging bij ontwikkeling, verwerving en onderhoud van systemen, inclusief respons op kwetsbaarheden;
  • procedures om de effectiviteit van cybersecuritymaatregelen te evalueren;
  • cyberhygiëne en opleiding van personeel;
  • beleid omtrent cryptografie en, indien van toepassing, encryptie;
  • beveiliging van personeel, identiteits- en toegangsbeheer en assetmanagement;
  • gebruik van multifactorauthenticatie, veilige communicatie en noodcommunicatiesystemen.
De Europese Commissie heeft deze minimummaatregelen nader uitgewerkt in Uitvoeringsverordening 2024/2690. Voor belangrijke entiteiten gelden de eisen uit Bijlage 1 van Resolutie 164179. Essentiële entiteiten moeten voldoen aan Bijlage 2 van dezelfde resolutie. Meer informatie over de basismaatregelen.

Rapportage van significante incidenten (Art. 25–26)

Essentiële en belangrijke entiteiten moeten significante cyberincidenten melden aan CSIRT Italia en – indien relevant – aan de afnemers van hun diensten. Een incident wordt significant wanneer het:
  • leidt of kan leiden tot ernstige verstoring of financiële schade;
  • andere organisaties of personen treft of kan treffen, met materiële of immateriële schade als gevolg.

De meldingsprocedure verloopt als volgt:

  1. Binnen 24 uur: indienen van een vroegtijdige waarschuwing met vermelding van de vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen.
  2. Binnen 72 uur: indienen van een incidentmelding met een eerste analyse van het incident. Voor vertrouwensdienstverleners geldt een verkorte termijn van 24 uur.
  3. Op verzoek van CSIRT Italia: indienen van een tussentijds verslag.
  4. Uiterlijk binnen 1 maand: indienen van een eindverslag met daarin:
    1. een gedetailleerde beschrijving van het incident;
    2. de vermoedelijke oorzaak of grondoorzaak;
    3. de getroffen en lopende risicobeperkende maatregelen;
    4. de impact, inclusief eventuele grensoverschrijdende gevolgen.
  5. Indien het incident langer dan één maand voortduurt: indienen van een voortgangsverslag en, na afronding van het incident, een nieuw eindverslag.
Voor de betrokken sectoren gelden aanvullende criteria op grond van Uitvoeringsverordening 2024/2690. Deze regels hebben voorrang op nationale bepalingen. Alle entiteiten, ook organisaties die niet onder de NIS2-wet vallen, mogen vrijwillig cyberincidenten en dreigingen melden bij CSIRT Italia. Meer informatie.

Verplichtingen van het management

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor naleving van de NIS2-wet. Zij moeten onder meer:
  • cybersecuritymaatregelen goedkeuren en toezicht houden op de naleving;
  • training volgen om risico’s te kunnen beoordelen en de impact van beheersmaatregelen te begrijpen;
  • zorgen voor voortdurende opleiding van personeel op het gebied van cyberbeveiliging.
Het management kan aansprakelijk worden gesteld bij niet-naleving.

Samenwerking met autoriteiten

Essentiële en belangrijke entiteiten moeten actief samenwerken met de bevoegde autoriteiten. Dit omvat onder andere het delen van informatie over de beveiliging van systemen, het melden van incidenten, en het meewerken aan inspecties en toezicht.

Aantonen van NIS2-compliance in Italië

Essentiële en belangrijke entiteiten moeten regelmatig een compliance-audit laten uitvoeren. Na een onafhankelijke conformiteitsbeoordeling door een geaccrediteerde Conformity Assessment Body (CAB) kan een organisatie een certificaat verkrijgen waarmee zij de naleving van de Italiaanse NIS2-wet kan aantonen.

Nationaal Framework voor Cybersecurity en Gegevensbescherming

Om te voldoen aan de NIS2-vereisten erkent Italië zowel nationale als internationale cybersecuritystandaarden.

De Italiaanse overheid ontwikkelde het Nationaal Framework voor Cybersecurity en Gegevensbescherming, dat in 2025 werd geactualiseerd en gebaseerd is op NIST CSF 2.0. Het framework biedt een gestructureerde aanpak voor het beheren van cyberrisico’s en het versterken van digitale weerbaarheid.

De technische specificaties worden verder uitgewerkt in 2025 en 2026. De basismaatregelen worden vastgesteld in april 2025 en de langetermijnmaatregelen in april 2026. Organisaties moeten uiterlijk in oktober 2026 voldoen aan de daarin opgenomen minimumeisen.

ISO/IEC 27001 als bewijs van compliance

Naast het nationale framework kunnen organisaties internationale normen toepassen, zoals ISO/IEC 27001, de wereldwijd erkende standaard voor informatiebeveiligingsmanagement. Deze norm beschrijft de eisen voor het opzetten, implementeren, onderhouden en voortdurend verbeteren van een Information Security Management System (ISMS). Hoewel ISO 27001 niet wettelijk verplicht is, wordt het in Italië veel gebruikt als aanvullend bewijs van een robuust cybersecuritybeleid.

Stappen naar ISO 27001-certificering

  1. Verwerf kennis over ISO/IEC 27001, bijvoorbeeld via trainingen.
  2. Implementeer het ISO 27001-managementsysteem conform de normeisen.
  3. Voer interne audits uit om de conformiteit te beoordelen.
  4. Laat het management de auditresultaten beoordelen, corrigerende maatregelen vastleggen en formeel bevestigen dat aan de eisen wordt voldaan (directiebeoordeling).
  5. Schakel een geaccrediteerde CAB in voor de externe audit.

Wilt u meer informatie over certificering of de stappen richting compliance bespreken? Plan hier een afspraak met een expert.

Hoe kunt u aantonen dat uw organisatie voldoet aan de NIS2-wet?

Organisaties kunnen hun compliance met de Italiaanse NIS2-wet aantonen door de onderstaande stappen te volgen. Deze stappen sluiten aan op het nationale framework, de NIS2-verplichtingen en internationaal erkende standaarden.

  1. Begrijp welke NIS2-verplichtingen op uw organisatie van toepassing zijn
    Ga na of uw organisatie is aangewezen als essentiële of belangrijke entiteit en bekijk welke beveiligings- en rapportageverplichtingen gelden.
  2. Implementeer de vereiste technische en organisatorische maatregelen
    Pas de door ACN vastgestelde cybersecuritymaatregelen toe, waaronder risicobeheer, incidentrespons, bedrijfscontinuïteit, beveiliging in de toeleveringsketen en veilige communicatie.
  3. Richt een Information Security Management System (ISMS) in
    Veel organisaties gebruiken ISO/IEC 27001 als basis om hun cybersecurityprocessen te structureren en continu te verbeteren.
  4. Voer interne audits uit
    Controleer of uw organisatie voldoet aan de NIS2-vereisten en identificeer verbeterpunten.
  5. Voer een directiebeoordeling uit
    Het management dient de auditresultaten te evalueren, corrigerende maatregelen goed te keuren en formeel vast te leggen dat aan de NIS2-vereisten wordt voldaan.
  6. Laat een onafhankelijke conformiteitsbeoordeling uitvoeren
    Een geaccrediteerde CAB beoordeelt de naleving van de NIS2-wet en kan een certificaat verstrekken als bewijs van compliance.

Wilt u ondersteuning bij het voorbereiden op een conformity assessment? Neem contact met ons op.

Sancties bij niet-naleving van de NIS2-wet

De bevoegde autoriteit, de Agenzia per la Cybersicurezza Nazionale (ACN), ziet toe op de naleving van de NIS2-wet door middel van inspecties en toezichtactiviteiten. Daarbij wordt onderscheid gemaakt tussen essentiële en belangrijke entiteiten.

Toezicht op essentiële en belangrijke entiteiten

  • Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd en moeten periodiek een conformiteitsbeoordeling laten uitvoeren.
  • Belangrijke entiteiten worden in principe alleen reactief gecontroleerd, bijvoorbeeld na een incident of wanneer er een vermoeden is van niet-naleving.

Administratieve maatregelen

Indien een organisatie de verplichtingen uit de NIS2-wet niet naleeft, kan ACN verschillende administratieve maatregelen opleggen. Deze kunnen bestaan uit:

  • het geven van een formele waarschuwing;
  • de verplichting om aanvullende maatregelen te treffen;
  • het aanstellen van een toezichthouder die toezicht houdt op de naleving van NIS2-verplichtingen.

Administratieve boetes

Voor ernstige inbreuken kunnen aanzienlijke administratieve boetes worden opgelegd. Deze bedragen maximaal:

  • 10.000.000 euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten;
  • 7.000.000 euro of 1,4% van de wereldwijde jaaromzet voor belangrijke entiteiten.

Voor overheidsinstellingen en publiek gecontroleerde entiteiten variëren de boetes van 25.000 tot 125.000 euro.

Boetes voor administratieve tekortkomingen

Naast de zwaardere sancties kunnen ook administratieve tekortkomingen worden beboet, zoals:

  • het niet tijdig registreren van bedrijfsgegevens;
  • het niet samenwerken met ACN of CSIRT Italia;
  • het niet toepassen van verplichte certificeringsschema’s.

Deze boetes bedragen maximaal:

  • 0,1% van de wereldwijde jaaromzet voor essentiële entiteiten;
  • 0,07% van de wereldwijde jaaromzet voor belangrijke entiteiten.

Voor overheidsinstanties en publiek gecontroleerde entiteiten liggen de boetes tussen 10.000 en 50.000 euro.

Verzwarende maatregelen bij herhaling

Bij herhaalde overtredingen worden de sancties verzwaard. Wanneer hetzelfde type overtreding opnieuw plaatsvindt, kan de boete worden verdubbeld. Bij verschillende opeenvolgende overtredingen kan de boete worden verhoogd tot maximaal het drievoudige.

Tijdlijn van de NIS2-implementatie in Italië

  • 17 oktober 2024: initiële deadline voor EU-lidstaten om de NIS2-richtlijn om te zetten in nationale wetgeving.
  • 17 januari 2025: registratie via het digitale ACN-portaal voor DNS-dienstverleners, TLD-registers, cloudproviders, datacenters, content-delivery-netwerken, managed service providers, managed security providers, aanbieders van onlinemarktplaatsen, zoekmachines, sociale-netwerkplatformen en vertrouwensdienstverleners.
  • 28 februari 2025: uiterste datum voor registratie via het digitale ACN-portaal voor alle entiteiten die onder de NIS2-wet vallen.
  • 31 mei 2025: deadline voor het aanleveren of actualiseren van gegevens bij ACN.
  • 9 maanden na kennisgeving van opname op de lijst NIS2-entiteiten (uiterlijk januari 2026): ingangsdatum van de meldingsplicht voor significante incidenten.
  • 18 maanden na kennisgeving van opname op de lijst NIS2-entiteiten (uiterlijk oktober 2026): deadline voor het implementeren van de basisbeveiligingsmaatregelen.

Bevoegde autoriteiten (Art. 15)

In Italië zijn meerdere bevoegde autoriteiten aangewezen voor de uitvoering, handhaving en opvolging van de NIS2-wetgeving. Deze instanties vervullen elk een specifieke rol in toezicht, incidentrespons en sectorale coördinatie.
Autoriteit Rol binnen de NIS2-wetgeving
Agenzia per la Cybersicurezza Nazionale (ACN) Centrale nationale autoriteit verantwoordelijk voor uitvoering, registratie, toezicht, inspecties en handhaving van de NIS2-wet.
CSIRT Italia Nationaal incidentresponsteam dat cyberincidenten monitort, analyseert en coördineert. Verantwoordelijk voor het ontvangen en opvolgen van incidentmeldingen.
Ministerie van Defensie Beheert NIS2-verantwoordelijkheden voor nationale veiligheids- en defensie-infrastructuren en coördineert bij cyberdreigingen met nationale impact.
Sectorale toezichthouders Ministeries en toezichthouders die sectorale naleving monitoren (o.a. digitale diensten, energie, transport) en samenwerken met ACN voor uniforme toepassing van wetgeving.

Agenzia per la Cybersicurezza Nazionale (ACN)

De Agenzia per la Cybersicurezza Nazionale (ACN) is de centrale nationale autoriteit voor de implementatie en handhaving van de NIS2-wet. ACN beheert het nationale registratieportaal, stelt de lijsten met essentiële en belangrijke entiteiten op, voert inspecties uit en kan sancties opleggen bij niet-naleving. Daarnaast coördineert ACN de samenwerking tussen sectorale toezichthouders en bevordert zij informatie-uitwisseling en crisismanagement op nationaal niveau.

CSIRT Italia

Het Nationaal Computer Security Incident Response Team (CSIRT Italia) monitort, analyseert en coördineert cyberveiligheidsincidenten. Organisaties die onder de NIS2-wetgeving vallen, moeten significante incidenten melden bij CSIRT Italia. Het team biedt technische ondersteuning, begeleidt organisaties bij incidentrespons en zorgt voor snelle communicatie tussen betrokken partijen en de overheid. CSIRT Italia werkt nauw samen met ACN en andere Europese CSIRTs om de digitale weerbaarheid van Italië te versterken.

Ministerie van Defensie

Het Ministerie van Defensie (Ministero della Difesa) speelt een rol binnen het NIS2-kader wanneer cyberdreigingen de nationale veiligheid of defensie-infrastructuren raken. Het ministerie werkt samen met ACN en andere bevoegde instanties om een gecoördineerde aanpak te waarborgen en levert input voor nationale strategieën op het gebied van cyberweerbaarheid en crisismanagement.

Sectorale toezichthouders

Naast de centrale autoriteiten zijn er in Italië ook sectorale toezichthouders, waaronder:
  • het Ministerie van Economische Ontwikkeling (digitale dienstverleners, energiesector),
  • het Ministerie van Infrastructuur en Transport (transportsectoren),
  • andere relevante ministeries met sectorspecifieke toezichtstaken.
Deze toezichthouders monitoren de naleving van NIS2 binnen hun sectoren en werken samen met ACN om een uniforme toepassing van de regelgeving te waarborgen.

Veelgestelde vragen over NIS2 in Italië

Onderstaand overzicht bevat de meest voorkomende vragen van organisaties over de NIS2-implementatie in Italië. De antwoorden zijn gebaseerd op de Italiaanse NIS2-wet (Wetsdecreet 138/2024) en de informatie die door ACN en CSIRT Italia is gepubliceerd.

Valt mijn organisatie onder de Italiaanse NIS2-wet?

Dat hangt af van drie factoren: de sector waarin u actief bent (bijlagen I–IV), de bedrijfsgrootte (middelgroot of groter), en of u in Italië gevestigd bent of diensten aanbiedt via een Italiaanse vertegenwoordiger. Ook kleinere organisaties kunnen onder NIS2 vallen wanneer zij een essentiële rol spelen binnen de samenleving of deel uitmaken van de toeleveringsketen van een NIS2-entiteit.

Moet mijn organisatie zich registreren bij ACN?

Ja, wanneer u onder de NIS2-wet valt. De registratie vindt plaats via het digitale portaal van ACN. Specifieke dienstverleners, zoals DNS-dienstverleners, TLD-registers, cloudproviders en onlineplatformen, hebben een eigen vervroegde deadline. Meer informatie vindt u op de ACN-pagina over het toepassingsgebied.

Welke beveiligingsmaatregelen moet ik minimaal implementeren?

De NIS2-wet verplicht essentiële en belangrijke entiteiten om technische en organisatorische maatregelen toe te passen, waaronder risicobeheer, incidentrespons, bedrijfscontinuïteit, supply-chain beveiliging, cryptografie en veilige communicatie. De minimale vereisten worden nader gespecificeerd in de technische bijlagen die ACN in 2025 en 2026 publiceert.

Hoe moet ik een cyberincident melden?

Significante incidenten moeten worden gemeld bij CSIRT Italia. De termijnen zijn:

  • binnen 24 uur: vroegtijdige waarschuwing;
  • binnen 72 uur: incidentmelding (voor vertrouwensdiensten: binnen 24 uur);
  • binnen 1 maand: eindverslag; bij doorlopende incidenten: voortgangsverslag.

Melden kan via het ACN-portaal.

Welke rol spelen ACN en CSIRT Italia?

ACN is de centrale autoriteit voor toezicht, inspecties en sancties. CSIRT Italia behandelt incidentmeldingen, ondersteunt bij technische analyse en zorgt voor coördinatie tijdens cyberincidenten. Beide instanties werken nauw samen om de digitale weerbaarheid van Italië te versterken.

Hoe toon ik aan dat mijn organisatie compliant is?

Dit kan via een onafhankelijke conformiteitsbeoordeling door een geaccrediteerde CAB. Daarnaast kunt u als aanvullend bewijs gebruikmaken van internationale standaarden zoals ISO/IEC 27001 of het Italiaanse Nationaal Cybersecurity Framework.

Welke sancties gelden er bij niet-naleving?

ACN kan administratieve maatregelen opleggen (zoals verplicht aanvullende maatregelen treffen of een toezichthouder aanstellen) en administratieve boetes tot:

  • €10.000.000 of 2% van de wereldwijde omzet (essentiële entiteiten);
  • €7.000.000 of 1,4% van de wereldwijde omzet (belangrijke entiteiten).

Bij herhaalde overtredingen kunnen boetes worden verdubbeld of zelfs verdrievoudigd.

Worden de eisen nog verder uitgewerkt?

Ja. De technische specificaties voor de verplichtingen onder de NIS2-wet worden in 2025 en 2026 stapsgewijs gepubliceerd. De minimale basismaatregelen moeten uiterlijk in oktober 2

Advies nodig over NIS2 in Italië?

De invoering van de NIS2-wet in Italië brengt voor veel organisaties nieuwe verplichtingen met zich mee, variërend van registratie bij ACN tot het implementeren van technische en organisatorische beveiligingsmaatregelen. Of u nu wilt beoordelen of uw organisatie onder de wet valt, een conformiteitsbeoordeling nodig heeft of zich wilt voorbereiden op een audit: onze experts helpen u graag verder.

Wilt u weten welke stappen voor uw organisatie noodzakelijk zijn? Neem dan contact op met een specialist via de certificatieaanvraag of stel uw vraag via onze contactpagina.

Maak uw organisatie aantoonbaar NIS2-compliant en versterk uw digitale weerbaarheid.