Auf einen Blick
Die Agentur für Cybersicherheit (ACN) hat die FAQs zu den Pflichten der Verwaltungs- und Leitungsorgane der NIS-Subjekte aktualisiert. Die Aktualisierung enthält Auslegungshinweise zur NIS-2-Governance, die Verantwortlichkeiten und die Verwaltung der Cybersicherheitsdokumentation klären. Ziel ist es, die Anwendung der Verordnung durch die betroffenen Subjekte zu erleichtern.
Hintergrund
Am 14. Juli 2026 hat die Agentur für Cybersicherheit (ACN) eine Aktualisierung ihrer FAQs veröffentlicht, insbesondere jene, die die Pflichten der Verwaltungs- und Leitungsorgane der NIS-Subjekte betreffen. Die FAQs ODA.8 und ODA.9 wurden integriert und die neuen FAQs ODA.10, ODA.11 und ODA.12 eingeführt. Die Initiative zielt darauf ab, Auslegungshinweise zu Anwendungsaspekten der NIS-2-Regulierung zu liefern und die Rolle der Verwaltungs- und Leitungsorgane im Cybersicherheits-Governance-System besser zu definieren. Die FAQs ODA.8 und ODA.9 bekräftigen, dass die Genehmigung der in Art. 23 des NIS-Dekrets vorgesehenen Dokumente eine ausschließliche und nicht delegierbare Kompetenz des Kollegial- oder Einzelorgans ist, während operative Tätigkeiten delegiert werden können. Die FAQ ODA.10 legt fest, dass die von den Verwaltungsorganen zu genehmigenden Dokumente die Ausrichtung und strategische Planung der Sicherheitsmaßnahmen festlegen müssen, wobei die technische und operative Dokumentation ausgenommen ist. Schließlich präzisieren die FAQs ODA.11 und ODA.12, dass die NIS-Subjekte die Dokumentation nach eigenem Ermessen organisieren können (einzelnes Dokument oder koordinierter Satz) und dass die Aktualisierung technischer und organisatorischer Dokumente keine erneute Genehmigung der strategischen Dokumentation erfordert.
Warum es wichtig ist
Diese Klarstellungen der ACN sind für alle Subjekte, die in den Anwendungsbereich der NIS 2 fallen, von grundlegender Bedeutung, da sie die Verantwortlichkeiten und die Modalitäten zur Erfüllung der Cybersicherheits-Governance-Pflichten präziser definieren. Die Nichtdelegierbarkeit der Genehmigung strategischer Dokumente erfordert von den Verwaltungsorganen eine aktive und bewusste Beteiligung, wodurch ihre Rechenschaftspflicht in Bezug auf die Informationssicherheit gestärkt wird. Das korrekte Verständnis der Unterscheidung zwischen strategischer und operativer Dokumentation ist entscheidend, um Verfahrensfehler zu vermeiden und sicherzustellen, dass Entscheidungen auf höchster Ebene gut informiert und formell genehmigt werden, wodurch eine solide Governance und eine verbesserte allgemeine Sicherheitslage gefördert werden.
Was zu tun ist
- Die eigene strategische Cybersicherheitsdokumentation im Lichte der aktualisierten ACN-FAQs überprüfen.
- Sicherstellen, dass die Genehmigung der in Art. 23 des NIS-Dekrets vorgesehenen Dokumente ausschließlich in der Zuständigkeit des Kollegial- oder Einzelorgans liegt.
- Die Cybersicherheitsdokumentation angemessen organisieren und dabei zwischen strategischen und operativen Dokumenten unterscheiden.
- In den Leitlinien und der strategischen Planung der Sicherheitsmaßnahmen die Dokumente definieren, die den Verwaltungsorganen zur Genehmigung vorzulegen sind.
Was zu vermeiden ist
- Die Genehmigung der in Art. 23 des NIS-Dekrets vorgesehenen Dokumente delegieren.
- Den Verwaltungsorganen lediglich technische und operative Dokumentation zur Genehmigung vorlegen.
- Für jede Aktualisierung von technischen und organisatorischen Referenzdokumenten eine erneute Genehmigung der strategischen Dokumentation anfordern.
Praktische Auswirkungen
Organisationen, die der NIS 2 unterliegen, müssen ihre internen Verfahren und die Verteilung der Verantwortlichkeiten bezüglich der Cybersicherheits-Governance überprüfen, um sich an die Klarstellungen der ACN anzupassen. Dabei ist sicherzustellen, dass strategische Entscheidungen von den Leitungsorganen getroffen und genehmigt werden, ohne dass die Genehmigung selbst delegiert werden kann.
Zu vermeidende Fehler
- Die aktualisierten Hinweise der ACN zur NIS-2-Governance ignorieren und die Verantwortung der Leitungsorgane unterschätzen.
- Die Verantwortung für die strategische Genehmigung mit der operativen Ausführung verwechseln und versuchen, die Genehmigung zu delegieren.
Fragen zur Selbsteinschätzung
- Sind unsere Verwaltungsorgane sich ihrer unumgänglichen Verantwortlichkeiten gemäß NIS 2 und den ACN-Klarstellungen voll bewusst?
- Unterscheidet unsere Cybersicherheits-Governance-Dokumentation klar zwischen strategischen Richtlinien (die eine Genehmigung durch die Leitung erfordern) und operativen Verfahren?
- Haben wir klare und konforme Prozesse für die Verwaltung, Aktualisierung und Genehmigung der strategischen und technischen Dokumentation im Bereich der Cybersicherheit?
Verweise
Nationales Recht: Decreto NIS (Art. 23)
Zum Originalartikel auf acn.gov.it ↗
