Wat is NIS2 en wat is er gewijzigd t.o.v. NIS1?

NIS2 (Richtlijn (EU) 2022/2555) vervangt NIS1 om de weerbaarheid tegen cyberaanvallen in de EU te vergroten. De Italiaanse omzetting via Wetsdecreet 138/2024 (van kracht sinds 1 januari 2025) breidt het toepassingsgebied uit, legt strengere beveiligings- en rapportage-eisen op en introduceert duidelijke toezichts- en sanctieregimes.

Valt mijn organisatie onder de Italiaanse NIS2-wet?

In principe als: (I) u diensten levert in sectoren uit bijlagen I–IV, (II) u de drempels voor middelgrote ondernemingen overschrijdt, en (III) u in Italië gevestigd bent. Daarnaast gelden uitzonderingen voor o.a. aanbieders van elektronische communicatienetwerken/-diensten, vertrouwensdiensten, TLD-registers en DNS-dienstverleners, en entiteiten met cruciale maatschappelijke/economische impact. Ook zonder NIS2-status kan u geraakt worden via ketenafhankelijkheden of aanmelding door de autoriteit.

Wat moet ik doen qua registratie?

Tussen 1-12-2024 en 28-02-2025 registreren via het ACN-portaal (verplicht). Specifieke aanbieders (o.a. DNS, TLD, cloud, datacenters, CDN, managed services/security, onlinemarktplaatsen, zoekmachines, socialenetwerken, vertrouwensdiensten) registreren uiterlijk 17-01-2025. Jaarlijks (15-04 t/m 31-05) gegevens updaten; met ondersteuning tot 31-07. Wijzigingen binnen 14 werkdagen doorgeven.

Welke minimale beheersmaatregelen zijn vereist?

Essentiële en belangrijke entiteiten moeten passende technische en organisatorische maatregelen invoeren: risicoanalyse & IS-beveiliging, incidentenbeheer, bedrijfscontinuïteit (back-ups, noodherstel), toeleveringsketenbeveiliging, secure SDLC & vulnerability disclosure, beoordeling effectiviteit, cyberhygiëne & training, cryptografiebeleid, personeels- en toegangsbeheer, MFA/continue authenticatie en beveiligde communicatie. Bijzondere minimummaatregelen zijn uitgewerkt in EU-uitvoeringsverordening 2024/2690; in Italië verwijzen bijlage 1 (belangrijk) en bijlage 2 (essentieel) van Resolutie 164179 (14-04-2025).

Wat is de meldplicht bij significante incidenten?

Meld aan CSIRT Italia (infected@csirt.gov.it of via de online tool). Binnen 24 uur vroege waarschuwing; binnen 72 uur incidentenmelding (voor vertrouwensdiensten binnen 24 uur); op verzoek tussentijds verslag; binnen 1 maand eindverslag (oorzaak, impact, maatregelen, grensoverschrijdende gevolgen). Loopt het incident na 1 maand nog, dien een voortgangsverslag in en later een eindverslag.

Wat zijn managementverplichtingen en samenwerking met autoriteiten?

Bestuursorganen moeten maatregelen goedkeuren en toezicht houden op naleving, relevante training volgen en bijscholing stimuleren. Entiteiten werken samen met ACN en inspectiediensten (informatie-uitwisseling, incidentrapportage, toezicht).

Hoe toon ik aan dat mijn bedrijf in regel is?

Via periodieke compliance-audits door een geaccrediteerde CAB en certificering. Italië erkent het Nationaal Framework voor Cybersecurity en Gegevensbescherming (gebaseerd op NIST CSF 2.0) en internationale normen zoals ISO/IEC 27001. Stappen: kennis opbouwen, ISMS implementeren, interne audits, directiebeoordeling, externe audit.

Welke sancties gelden bij niet-naleving?

ACN kan administratieve maatregelen en boetes opleggen. Ernstige inbreuken: tot €10.000.000 of 2% (essentieel) en tot €7.000.000 of 1,4% (belangrijk) van wereldwijde omzet. Overheidsinstellingen: €25.000–€125.000. Administratieve tekortkomingen: tot 0,1% (essentieel) of 0,07% (belangrijk) van omzet; voor overheden: €10.000–€50.000. Herhaling kan boetes verdubbelen of tot driemaal verhogen.

NIS2 Italië: verplichtingen, compliance en sancties

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De NIS2-richtlijn werd omgezet in Italiaans recht via het Wetsdecreet 138/2024 van 4 september 2024, hierna NIS2-wet, die sinds 1 januari 2025 van kracht is.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

De inhoud van deze pagina is onder voorbehoud van wijzigingen en wordt bijgewerkt wanneer nodig.

NIS2-entiteiten in Italië

De Italiaanse NIS2-wet is relevant voor zowel rechtspersonen als natuurlijke personen (samen aangeduid als ‘entiteiten’) die in Italië geregistreerd zijn en die producten en/of diensten leveren in een EU-land.

De NIS2-wet bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen. Hiervoor wordt een onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Voor het categoriseren van entiteiten wordt rekening gehouden met de aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit.

In principe valt uw entiteit onder de Italiaanse NIS2-wet wanneer:

Uw organisatie diensten levert binnen een sector die is opgenomen in bijlage I en bijlage II van de NIS2-wet, alsook bijlage III en IV;
Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en
Uw organisatie in Italië gevestigd is.

Criteria 1: geleverde diensten

In bijlage I tot en met IV van de Italiaanse NIS2-wet worden de sectoren beschreven die vallen binnen het toepassingsgebied ervan. Het is dan ook van groot belang om uw geleverde diensten aan derden grondig te analyseren per (sub)sector. De vermelde sectoren in bijlage I en II van de Italiaanse NIS2-wet komen overeen met de Europese NIS2-richtlijn. Bijlage III en IV worden hieraan toegevoegd.

Bijlage I: Zeer kritieke sectoren	Bijlage II: Andere kritieke sectoren
Energie • Elektriciteit • Stadsverwarming en -koeling • Aardolie • Aardgas • Waterstof	Italiaanse Post- en koeriersdiensten
Vervoer • Lucht • Spoor • Water • Weg	Afvalbeheer
Bankwezen	Vervaardiging, productie en distributie van chemische stoffen
Infrastructuur voor de financiële markt	Productie, verwerking en distributie van levensmiddelen
Gezondheidszorg	Vervaardiging • Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek • Vervaardiging van informaticaproducten en van elektronische en optische producten • Vervaardiging van elektrische apparatuur • Vervaardiging van machines, apparaten en werktuigen, n.e.g. • Vervaardiging van motorvoertuigen, aanhangers en opleggers • Vervaardiging van andere transportmiddelen
Drinkwater	Digitale aanbieders
Afvalwater	Onderzoek
Digitale infrastructuur
Beheer van ICT-diensten (business-to-business)
Ruimtevaart

Naast de entiteiten die onder de NIS2 vallen zoals vermeld in bijlage I en II, is de Italiaanse NIS2-wet ook van toepassing op centrale, regionale, lokale en andere soorten overheden (zie bijlage III), alsook op aanvullende soorten entiteiten na identificatie door de overheid (zie bijlage IV). Voorbeelden van deze laatste categorie zijn lokaal openbaar vervoer, onderzoeksinstellingen, culturele organisaties…

Indien uw organisatie een dienst uit bovenstaand overzicht levert, valt uw organisatie mogelijk binnen het toepassingsgebied van de NIS2-wet.

Meer informatie omtrent het toepassingsgebied van de Italiaanse NIS2-wet, kan u hier raadplegen.

Criteria 2: Bedrijfsgrootte

Naast de geleverde diensten, is ook de grootte van de entiteit van belang om na te gaan of uw organisatie binnen het toepassingsgebied van de Italiaanse NIS2-wet valt. Klik hier om te bepalen of uw organisatie een kleine, middelgrote, dan wel grote onderneming betreft. In principe dienen middelgrote en grote ondernemingen te voldoen aan de verplichten uit de NIS2-wet.

Daarnaast is de wet ook van toepassing op volgende specifieke aanbieders, onafhankelijk van de omvang van de entiteit. Het gaat om:

Aanbieders van openbare elektronische communicatienetwerken of -diensten
Aanbieders van vertrouwensdiensten
Aanbieders van registers van topleveldomeinnamen (TLD-registers)
Aanbieders van domeinnaamregisters (DNS-dienstverleners)

Bovendien geldt de wet ook voor entiteiten, ongeacht hun omvang, indien hun activiteiten cruciaal zijn voor de samenleving of economie. Dat is het geval als:

Zij diensten leveren die essentieel zijn voor kritieke maatschappelijke of economische functies en die niet door andere aanbieders geleverd worden
Een verstoring van hun dienstverlening aanzienlijke impact zou hebben op de openbare orde, veiligheid of volksgezondheid
Een incident bij hen systeemrisico’s met grensoverschrijdende gevolgen zou kunnen veroorzaken
Zij van strategisch of vitaal belang zijn op nationaal of regionaal niveau, bijvoorbeeld vanwege afhankelijkheden in andere sectoren
Zij een onderdeel uitmaakt van de toeleveringsketen, zelfs digitaal, van een of meer belangrijke of essentiële entiteiten.

Criteria 3: Gevestigde entiteit in Italië

In principe kan de Italiaanse NIS2-wet enkel van toepassing zijn op entiteiten met een vestiging in Italië. Echter zijn bij wijze van uitzondering volgende entiteiten onderworpen aan de Italiaanse NIS2-wet:

Aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in Italië aanbieden;
DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in Italië hebben of als ze hun wettelijke vertegenwoordiger voor de EU in Italië hebben in het geval zij geen vestiging hebben binnen de EU;
Overheidsinstanties die door Italië opgericht zijn.

Naast de 3 bovenstaande criteria dient bij het analyseren van het toepassingsgebied van de NIS2-wet rekening gehouden te worden met het feit dat men als niet-NIS2-organisatie alsnog geaffecteerd kan worden door de NIS2-wet doordat de nationale autoriteit de entiteit aanmerkt als essentiële of belangrijke entiteit of doordat de niet-NIS2-organisatie behoort tot de toeleveringsketen van een NIS2-organisatie.

Om te bepalen of uw entiteit valt binnen het toepassingsgebied van de Italiaanse NIS2-wet, kan u een zelfevaluatie uitvoeren op basis van de toelichting en richtlijnen die beschikbaar zijn via de website van ACN onder FAQ 3.1.

Wat betekent dit voor mijn bedrijf?

1. Registratieprocedure bij ACN (Art. 7)

In het kader van de implementatie van de Europese NIS2-richtlijn heeft Italië een nationale registratieprocedure ingevoerd voor publieke en private entiteiten die onder de regelgeving vallen. Deze procedure wordt beheerd door de Agenzia per la Cybersicurezza Nazionale (ACN).

Tussen 1 december 2024 en 28 februari 2025 moeten alle organisaties die onder de Italiaanse NIS2-wet vallen zich registratie via het digitale portaal van de ACN. Deze registratie is verplicht en vormt een essentieel onderdeel van het toezicht op de cyberbeveiliging in kritieke sectoren. Voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten geldt dat deze zich dienen te registreren tegen 17 januari 2025.

Als uw organisatie wordt aangemerkt als een essentiële of belangrijke entiteit, op basis van de beschreven criteria in het hoofdstuk ‘NIS2-entiteiten’, moet u de volgende informatie aanleveren bij ACN:

Bedrijfsnaam;
Adres en contactgegevens, met inbegrip van de e-mailadressen en telefoonnummers;
De aanwijzing van een contactpersoon, met vermelding van de functie bij de entiteit en de actuele contactgegevens, met inbegrip van de e-mailadressen en telefoonnummers;
Indien van toepassing, de relevante sectoren, subsectoren en soorten entiteiten als bedoeld in de bijlagen I, II, III en IV.

Uiterlijk op 31 maart 2025 stelt de bevoegde nationale autoriteit de lijst op van entiteiten die als essentieel of belangrijk worden beschouwd. Daarbij wordt aan de betrokken organisaties formeel medegedeeld of zij zijn opgenomen in de lijst, of hun bestaande status als NIS2-entiteit wordt bevestigd of zij uit de lijst zijn verwijderd.

In de periode van 15 april tot en met 31 mei van elk jaar dienen de betrokken entiteiten hun gegevens te verstrekken of bij te werken. Voor entiteiten die ondersteuning hebben aangevraagd bij de jaarlijkse actualisatie, wordt de deadline uitgesteld tot 31 juli. De volgende informatie moet minimaal aangeleverd worden:

Het IP-adresbereik en de domeinnamen van de organisatie;
Een overzicht van de lidstaten waarin diensten worden aangeboden die onder de reikwijdte van de NIS2-richtlijn vallen;
De contactgegevens van de verantwoordelijke personen, inclusief hun functie, e-mailadres en telefoonnummer;
De contactgegevens van een vervanger voor het aanspreekpunt, eveneens met vermelding van hun functie, e-mailadres en telefoonnummer.

Elke wijziging in bovenstaande gegevens dient binnen 14 werkdagen te worden doorgegeven.

Organisaties die geen overheidsinstantie zijn, dienen voorafgaand aan de registratie een zelfevaluatie uit te voeren. Verdere toelichting en richtlijnen zijn beschikbaar via de website van ACN onder FAQ 3.1.

2. Beheersmaatregelen cybersecurity (Art. 24)

Als uw organisatie gecategoriseerd is als essentiële of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Deze cybersecurity beheersmaatregelen betreffen minstens:

Beleid voor risicoanalyse en beveiliging van informatiesystemen
Incidentenbeheer
Bedrijfscontinuïteit, zoals back-upbeheer en noodherstel, en crisisbeheer
Beveiliging van toeleveringsketen
Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
Cyberhygiëne en opleiding op het gebied van cyberbeveiliging
Beleid en procedures over cryptografie en in voorkomend geval encryptie
Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
Gebruik van multifactorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

Organisaties die als belangrijk worden aangemerkt, dienen de maatregelen toe te passen zoals omschreven in bijlage 1 van de Resolutie 164179 van 14 april 2025. Voor organisaties die als essentieel worden beschouwd, geldt dat zij de maatregelen moeten volgen zoals vastgesteld in bijlage 2 van dezelfde resolutie.

Meer informatie omtrent de basismaatregelen vindt u hier.

3. Rapportageverplichting van significante incidenten (Art. 25, 26)

Belangrijke en essentiële entiteiten zijn verplicht het nationale Computer Security Incident Response Team (CSIRT), zijnde CSIRT Italia, in kennis te stellen wanneer zich een significant incident voordoet. Daarnaast dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I tot IV affecteert.

Een incident wordt als significant beschouwd, wanneer

Het incident heeft geleid of kan leiden tot ernstige verstoring van de dienstverlening of financiële verliezen voor de getroffen entiteit of
Het incident andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door het veroorzaken van aanzienlijke materiële of immateriële schade.

Het significante incident wordt door de essentiële en belangrijke entiteit gemeld per mail aan infected@csirt.gov.it of via de online tool volgens volgende procedure:

Onmiddellijk en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen;
Onmiddellijk en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat een informatie-update bevat en een initiële beoordeling van het incident. Voor aanbieders van vertrouwensdiensten geldt een termijn van 24 uur voor het indienen van een incidentenrapport;
Op verzoek van CSIRT Italia dient de entiteit een tussentijds verslag in;
Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van:
1. Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan;
2. Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
3. Toegepaste en lopende risicobeperkende maatregelen;
4. De grensoverschrijdende gevolgen van het incident, indien van toepassing.
Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend.

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor sociale netwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden.

Tot slot kunnen alle entiteiten, ongeacht of zij vallen binnen het toepassingsgebied van de NIS2-wet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden bij het CSIRT Italia.

Meer informatie omtrent het melden van significante cyberincidenten kan u hier vinden.

4. Verplichtingen en verantwoordelijkheden van het management

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de NIS2-wet en dienen verschillende verplichtingen na te komen waaronder:

Goedkeuren van de beheersmaatregelen voor cyberbeveiliging en toezicht houden op de naleving ervan
Volgen van training om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen
Voortdurend bijscholen van de werknemers van de cyber security entiteit op het gebied van cyber security

De bestuursorganen zijn aansprakelijk bij niet-naleving van de NIS2-wet.

5. Samenwerken met autoriteiten

Essentiële en belangrijke entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Hoe kan ik aantonen dat mijn bedrijf in regel is met de NIS2 wetgeving?

Essentiële en belangrijke entiteiten dienen op frequente basis een compliance audit te laten uitvoeren. Op basis van een onafhankelijke conformiteitsbeoordeling door een geaccrediteerde Conformity Assessment Body (CAB), kan de entiteit een certificaat behalen waarmee de naleving van de NIS2-wet kan worden aangetoond aan de stakeholders.

Om aan te tonen dat een organisatie voldoet aan de vereisten van de NIS2-wetgeving, erkent Italië zowel internationale als nationale cybersecuritystandaarden.

De Italiaanse overheid heeft in dit kader het Nationaal Framework voor Cybersecurity en Gegevensbescherming ontwikkeld, dat in 2025 werd geactualiseerd en gebaseerd is op NIST CSF 2.0. Dit framework biedt een gestructureerde aanpak voor het beheren van cyberrisico’s en het versterken van digitale weerbaarheid.

Het Italiaanse framework sluit nauw aan bij de domeinen en verplichtingen die in de NIS2-richtlijn zijn vastgelegd. De modaliteiten en technische specificaties worden verder uitgewerkt in de loop van 2025 en 2026. Tegen april 2025 worden de basismaatregelen gedefinieerd, terwijl tegen april 2026 de langetermijnmaatregelen zullen worden vastgesteld. Deze maatregelen vormen de kern van de technische bijlagen die door de ACN gepubliceerd worden. Organisaties zullen uiterlijk tegen oktober 2026 moeten voldoen aan de daarin opgenomen minimale maatregelen.

Naast het nationale framework kunnen organisaties ook gebruikmaken van internationale normen zoals ISO/IEC 27001, dat wereldwijd erkend is als standaard voor informatiebeveiligingsmanagement. Het beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Hoewel deze norm niet wettelijk verplicht is, wordt ze in Italië vaak gebruikt als bewijs van een robuust cybersecuritybeleid.

Om een ISO 27001-certicering te kunnen behalen dienen volgende stappen ondernomen te worden:

Verwerf de nodige kennis over ISO/IEC 27001, door middel van bijvoorbeeld training;
Implementeer het ISO 27001-management systeem conform de normeisen in uw organisatie;
Voer interne audits uit;
Laat het management de resultaten van de interne audit beoordelen en neem indien nodig corrigerende maatregelen. Leg de conclusie over het voldoen aan de eisen vast in de directiebeoordeling;
Contacteer een geaccrediteerde CAB voor het uitvoeren van een externe audit.

Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.

Sancties bij niet-naleving (Art. 38)

De bevoegde autoriteit, zijnde ACN, voert inspecties uit op de naleving van de vereisten door NIS2-entiteiten. Hiervoor moet een onderscheid gemaakt worden tussen essentiële en belangrijke entiteiten:

Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd, en zijn verplicht regelmatige conformiteitsbeoordelingen te laten uitvoeren.
Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.

De Italiaanse NIS2-wet voorziet in specifieke sancties die ACN kan opleggen aan entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes.

Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen geven, de entiteit verplichten bepaalde maatregelen te treffen, een toezichthouder aanstellen die toezicht houdt op de naleving van de NIS2-wet enzovoort.

Sancties bij ernstige inbreuken betreffen administratieve boetes die wettelijk vastgelegd zijn en kunnen oplopen tot 10.000.000 euro of 2% van de totale wereldwijde jaaromzet van de essentiële en tot 7.000.000 euro of 1,4% van de totale wereldwijde jaaromzet van de belangrijke entiteit. Voor overheidsinstellingen en publiek gecontroleerde entiteiten liggen deze boetes tussen 25.000 euro en 125.000 euro.

Ook administratieve tekortkomingen zoals het niet registeren van bedrijfsgegevens, het niet samenwerken met de ACN of CSIRT Italia, het niet toepassen van verplichte certificeringsschema’s… kunnen beboet worden tot 0,1% van de wereldwijde jaaromzet voor essentiële entiteiten en tot 0,07% van de wereldwijze jaaromzet voor belangrijke entiteiten. Voor overheidsinstellingen en publiek gecontroleerde entiteiten liggen deze boetes tussen 10.000 euro en 50.000 euro.

Bij herhaalde overtredingen worden de sancties verzwaard: bij herhaling van hetzelfde type overtreding kan de boete worden verdubbeld, terwijl bij herhaling van verschillende soorten overtredingen de boete tot driemaal verhoogd kan worden.

Tijdlijn

17 oktober 2024: initiële deadline voor EU-lidstaten om NIS2-richtlijn om te zetten in nationale wetgeving
17 januari 2025: registratie via het digitale portaal van ACN voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.
28 februari 2025: registratie via het digitale portaal van ACN
31 mei 2025: gegevens verstrekken aan ACN
9 maanden vanaf kennisgeving opname lijst NIS2-entiteiten (uiterlijk januari 2026): meldingsplicht
18 maanden vanaf kennisgeving opname lijst NIS2-entiteiten (uiterlijk oktober 2026): implementeren basisbeveiligingsmaatregelen

Bevoegde autoriteiten (Art. 15)

Het Nationaal Computer Security Incident Response Team (CSIRT Italia) is het nationale team dat incidenten op het gebied van cyberveiligheid monitort, analyseert en coördineert. Organisaties die onder de NIS2-wetgeving vallen, zijn verplicht om ernstige cyberincidenten te melden bij CSIRT Italia. Het team ondersteunt organisaties bij het afhandelen van incidenten, geeft technische richtlijnen en zorgt voor snelle communicatie tussen getroffen partijen en de overheid. CSIRT Italia werkt nauw samen met de ACN en andere Europese CSIRTs om de digitale weerbaarheid van Italië te versterken.

Het Ministerie van Defensie (Ministero della Difesa) speelt een specifieke rol binnen de NIS2-context, vooral waar het gaat om de bescherming van kritieke infrastructuren die van belang zijn voor de nationale veiligheid. Het ministerie werkt samen met de ACN en andere bevoegde instanties om te zorgen voor een gecoördineerde aanpak van cyberdreigingen die de defensie- en veiligheidssector raken. Daarnaast draagt het ministerie bij aan de ontwikkeling van nationale strategieën voor cyberweerbaarheid en crisismanagement.

Naast de centrale autoriteiten zijn er in Italië ook sectorale toezichthouders actief, zoals het Ministerie van Economische Ontwikkeling (voor digitale dienstverlener en energie), het Ministerie van Infrastructuur en Transport (voor transportsectoren) en andere relevante ministeries. Zij zijn verantwoordelijk voor het toezicht op NIS2-naleving binnen hun eigen sector en werken samen met de ACN om een uniforme toepassing van de regelgeving te waarborgen.