Zum Hauptinhalt springen
NIS2Certify
Zurück zur Übersicht

Italien NIS2: ACN-Kategorisierungsfrist Juni 2026 ist offen — Was IT-Berater jetzt tun müssen

Von NIS2Certify
nis2italienacncompliancemspsfristen
Italien NIS2: ACN-Kategorisierungsfrist Juni 2026 ist offen — Was IT-Berater jetzt tun müssen

Am 13. April 2026 verabschiedete die italienische Agenzia per la Cybersicurezza Nazionale (ACN) die Bestimmung 155238/2026 — den operativen Rahmen, der jeder bei NIS2 registrierten italienischen Organisation genau vorgibt, wie sie ihre Tätigkeiten und Dienstleistungen kategorisieren muss. Seit dem 1. Mai ist das Einreichungsportal geöffnet. Die Frist endet am 30. Juni 2026.

Wenn Sie italienische Unternehmen beraten oder IT-Infrastruktur für in Italien tätige Organisationen verwalten, ist dies keine abstrakte regulatorische Übung. Die Kategorie, die ACN auf Basis dieser Einreichung zuweist, bestimmt direkt, welche Sicherheitsmaßnahmen gelten — und wann. Ein Fehler hier bedeutet, dass Ihre Kunden mit strengeren Pflichten konfrontiert werden als nötig. Die Frist zu verpassen bedeutet Aufsichtsmaßnahmen.

Das müssen Sie wissen.

Italien war spät bei der Umsetzung — macht aber jetzt schnell Fortschritte

Italien schloss seine NIS2-Umsetzung am 23. Dezember 2025 mit dem Gesetzesdekret 138/2024 ab. Das Gesetz trat am 1. Januar 2026 in Kraft, mit der Frist des 1. Oktober 2026 für die Einhaltung der Sicherheitsmaßnahmenpflichten gemäß Artikeln 23, 24 und 29.

Dieser straffe Zeitplan bedeutet, dass italienische Organisationen weniger Vorlaufzeit haben als die meisten EU-Gegenstücke. Das BSI Deutschlands hatte Monate der Vorbereitung, bevor Durchsetzungszähne sichtbar wurden. Italiens ACN geht von der Registrierung direkt zur Kategorisierung — und dann direkt zur Durchsetzung — innerhalb eines einzigen Kalenderjahres.

Für IT-Berater und MSPs mit italienischen Kunden ist das kein Übungsalarm. Die Compliance-Uhr läuft.

Was ACNs Kategorisierungsrahmen tatsächlich bewirkt

Die ACN-Bestimmung 155238/2026 führt zwei strukturelle Elemente ein: 10 Makrobereiche und 4 Relevanzkategorien.

Die 10 Makrobereiche sind vordefinierte Gruppierungen von Tätigkeiten und Dienstleistungen. Jede bei NIS2 registrierte Einrichtung muss identifizieren, welche Makrobereiche das beschreiben, was sie tatsächlich tut. Diese decken das gesamte Spektrum der NIS2-Sektoren ab: Energie, Verkehr, Bank- und Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstverwaltung, öffentliche Verwaltung und Raumfahrt.

Die 4 Relevanzkategorien drücken das Auswirkungsniveau bei einem Vorfall aus: minimal, niedrig, mittel oder hoch. ACN weist Relevanz basierend auf der Einreichung der Einrichtung zu — Größe, Sektor, Kritikalität und die in der Einreichung beschriebenen gegenseitigen Abhängigkeiten.

Warum ist das für Ihre Beratungstätigkeit wichtig? Weil die Relevanzkategorie die Tiefe und Spezifität der Sicherheitspflichten bestimmt, die die Organisation vor dem 1. Oktober erfüllen muss. Eine Einrichtung der Kategorie "minimal" hat leichtere technische Anforderungen als eine Einrichtung der Kategorie "hoch". Der Unterschied in der Compliance-Investition kann erheblich sein.

Das Portalfenster: 1. Mai bis 30. Juni 2026

Die Einreichung erfolgt ausschließlich über die ACN-Plattform (portale ACN). Das Einreichungsfenster öffnete am 1. Mai 2026 und schließt am 30. Juni 2026. ACN muss innerhalb von 90 Tagen nach der Einreichung Rückmeldung geben — verlängerbar um bis zu 60 weitere Tage für komplexe Fälle.

Das erfordert die Einreichung: Jede Einrichtung muss ihre Makrobereich(e) identifizieren, ihre Tätigkeiten und Dienstleistungen beschreiben und ihre Auswirkungsrelevanz selbst bewerten. ACN überprüft dies dann stichprobenartig und vergleicht mit ähnlichen Einrichtungen im gleichen Sektor. Abweichungen lösen Nachverfolgung aus.

Drei praktische Punkte für Berater:

1. Genauigkeit ist wichtiger als Konservatismus. Einrichtungen, die ihren Umfang unterschätzen, um in eine niedrigere Relevanzkategorie zu fallen, sind exponiert. ACN überprüft Einreichungen ausdrücklich gegen Sektorvergleiche. Wenn ein Energieverteiler als "minimal" einreicht, während jede vergleichbare Einrichtung als "mittel" einreicht, fällt das bei der Inspektion auf.

2. Die Einreichung ist die Grundlage für alles Folgende. Sicherheitsmaßnahmen, laufende Pflichten und die eventuelle Aufsichtsprüfung lassen sich alle auf das zurückführen, was in diesem Fenster eingereicht wird. Dokumentieren Sie die Begründung sorgfältig.

3. Das Versäumen der Frist vom 30. Juni hat Konsequenzen. ACNs Durchsetzungsrahmen erlaubt administrative Maßnahmen und Aufsichtsmaßnahmen für Einrichtungen, die nicht einreichen. Dies ist keine weiche Frist.

Was als nächstes kommt: 1. Oktober 2026

Sobald die Kategorisierung abgeschlossen und ACN die Einreichungen überprüft hat, tritt die Frist des 1. Oktober 2026 in Kraft. Bis zu diesem Datum müssen italienische NIS2-Einrichtungen Folgendes erfüllen:

  • Artikel 23 — Cybersicherheits-Governance, einschließlich Verantwortlichkeit auf Vorstandsebene und genehmigter Cybersicherheitsrichtlinien
  • Artikel 24 — Maßnahmen zum Management von Informationssicherheitsrisiken (das italienische Äquivalent der NIS2-Artikel-21-Pflichten)
  • Artikel 29 — Sicherheitspflichten für die Domainnamen-Registrierungsdatenbank (relevant für DNS-Betreiber und Registrare)

ACN wird in den Monaten nach Oktober auch schrittweise zusätzliche "langfristige" Cybersicherheitspflichten einführen, die nach Relevanzkategorie kalibriert sind. Einrichtungen der Kategorie "hoch" sollten in Q1 2027 mit einer anspruchsvolleren zweiten Welle von Anforderungen rechnen.

Zur Referenz: Italiens Sanktionsregime spiegelt die NIS2-Richtlinie wider: bis zu 10 Millionen Euro oder 2% des gesamten weltweiten Jahresumsatzes für wesentliche Einrichtungen und bis zu 7 Millionen Euro oder 1,4% des Umsatzes für wichtige Einrichtungen. ACN ist befugt, Inspektionen, Überwachung und Vor-Ort-Kontrollen durchzuführen.

Was die Kategorisierung für MSPs bedeutet, die italienischen Kunden Dienste erbringen

Wenn Sie ein MSP sind, der IT-Infrastruktur für eine italienische Organisation verwaltet, die in den NIS2-Anwendungsbereich fällt, gibt es zwei Aspekte zu beachten.

Erstens benötigt Ihr Kunde möglicherweise Ihre Hilfe bei der Einreichung selbst. Die Beschreibung des Makrobereichs erfordert eine genaue Dokumentation der IT-Dienste, auf die die Organisation angewiesen ist, einschließlich ausgelagerter Funktionen. Wenn kritische Systeme von Ihrem MSP verwaltet werden, ist diese operative Abhängigkeit für die Bewertung der Relevanzkategorie relevant. Seien Sie bereit, strukturierte Servicedokumentation zu liefern.

Zweitens kann Ihre eigene Organisation in den Anwendungsbereich fallen. IKT-Dienstverwaltung für wesentliche oder wichtige Einrichtungen ist ausdrücklich in Anhang II der NIS2-Richtlinie aufgeführt. Wenn Sie IT für italienische Organisationen in regulierten Sektoren verwalten, prüfen Sie, ob Sie als NIS2-Einrichtung in Italien registriert sind. Wenn Sie nicht registriert sind, aber sein sollten, ist das Fenster zur Selbstregistrierung über das ACN-Portal noch offen.

Für einen breiteren Überblick darüber, wie NIS2 MSPs direkt betrifft, lesen Sie unseren Beitrag zu NIS2 für MSPs.

So gehen Sie die Kategorisierungseinreichung an: Eine praktische Checkliste

Verwenden Sie dies als Ausgangspunkt für Kundengespräche:

Schritt 1 — Bestätigen Sie den NIS2-Registrierungsstatus. Die Einrichtung muss bei ACN registriert sein, bevor sie die Kategorisierung einreichen kann. Wenn die Registrierung unvollständig ist, ist das das erste zu lösende Problem.

Schritt 2 — Tätigkeiten auf Makrobereiche abbilden. Arbeiten Sie die 10 Makrobereiche durch und identifizieren Sie, welche zutreffen. Die meisten Organisationen werden einem oder zwei Makrobereichen zugeordnet. Dokumentieren Sie, welche Makrobereiche berücksichtigt und ausgeschlossen wurden, und warum.

Schritt 3 — Relevanz selbst bewerten. Die Relevanz wird durch Faktoren wie Größe, Kritikalität für den Sektor, grenzüberschreitende Auswirkungen und die Abhängigkeit anderer Einrichtungen von den Diensten der Organisation bestimmt. Seien Sie ehrlich und dokumentieren Sie die Begründung.

Schritt 4 — Unterstützende Dokumentation sammeln. Die stichprobenartige Überprüfung durch ACN bedeutet, dass Einreichungen geprüft werden können. Halten Sie Organisationsdiagramme, Servicekataloge und Vorfallsauswirkungsbewertungen bereit.

Schritt 5 — Vor dem 15. Juni einreichen. Planen Sie zwei Wochen Puffer vor der Frist vom 30. Juni ein. Technische Probleme in letzter Minute mit Regierungsportalen sind nicht ungewöhnlich.

Schritt 6 — Sofort mit der Lückenanalyse für Artikel 23/24 beginnen. Warten Sie nicht auf Rückmeldung von ACN. Die Frist vom 1. Oktober verschiebt sich nicht. Beginnen Sie jetzt mit der Lückenanalyse gegenüber den Sicherheitsmaßnahmenpflichten, unter Verwendung der Relevanzkategorie, die Sie voraussichtlich erhalten werden, als Ausgangspunkt.

Wenn Ihre Kunden diesen Prozess noch nicht begonnen haben, ist eine strukturierte NIS2-Lückenanalyse der schnellste Weg, um festzustellen, wo sie stehen. Führen Sie einen Schnellscan unter nis2certify.org/quick-scan durch, um ein Basisbild ihrer aktuellen Compliance-Lage zu erhalten, bevor die Einreichung am 30. Juni fällig ist.

Das größere Bild: Italien steht nicht allein

Belgiens NIS2-Konformitätsbewertungsfrist lief am 18. April 2026 ab — die erste harte Durchsetzungsfrist in der EU. Das BSI Deutschlands ist seit Ende 2025 aktiv im Aufsichtsmodus. Portugal und Polen haben NIS2 2025 umgesetzt und bauen ihre Durchsetzungsrahmen auf.

Italien macht schnelle Fortschritte, aber das Muster ist in der gesamten EU konsistent: Registrierung, Kategorisierung, Sicherheitsmaßnahmen, Prüfung. Die Reihenfolge ist überall gleich. Was sich unterscheidet, ist der spezifische Prozess und der Zeitplan der nationalen Behörde.

Wenn Sie Compliance für Organisationen verwalten, die in mehreren EU-Mitgliedstaaten tätig sind, ist die länderspezifische Variation in Zeitplänen und Behördenanforderungen die zentrale operative Herausforderung. Eine einzige Compliance-Lage, die alle Rechtsgebiete erfüllt, erfordert die Abbildung der spezifischen Anforderungen jedes Landes auf ein gemeinsames Kontrollrahmenwerk — typischerweise ISO 27001 oder ein Äquivalent.

Für einen Vergleich, wie NIS2 mit ISO 27001 übereinstimmt, lesen Sie unseren Beitrag zu NIS2 vs. ISO 27001.

Die Frist des 30. Juni 2026 in Italien ist das unmittelbar umsetzbarste Element für Berater mit italienischen Kunden. Danach verschiebt sich die Aufmerksamkeit auf Oktober. Die Organisationen, die genau kategorisieren, gründlich dokumentieren und jetzt mit ihrer Lückenanalyse beginnen, werden am 1. Oktober in einer verteidigbaren Position sein. Diejenigen, die die Kategorisierungseinreichung als Abhakübung behandeln, werden unzureichend vorbereitet sein, wenn ACNs Aufsichtstätigkeit im Q4 zunimmt.

    Italien NIS2: ACN-Kategorisierungsfrist Juni 2026 ist offen — Was IT-Berater jetzt tun müssen — NIS2Certify