Operatori di installazioni critiche sotto NIS 2 e KRITIS contemporaneamente
Un operatore KRITIS non sceglie tra NIS 2 e KRITIS. Si applicano entrambi. Le misure NIS 2 ai sensi dell'Articolo 21 sono il pavimento. Gli obblighi specifici KRITIS ai sensi degli §29, §32 e §65 BSIG si collocano al di sopra. Il BSI gestisce entrambi i regimi a partire dalla stessa evidenza.
La versione breve
Circa 1.500-2.000 soggetti in Germania gestiscono una 'kritische Anlage' come definita dalla BSI-KritisV. Distribuzione di energia elettrica oltre 500 GWh all'anno, acqua potabile oltre 22 milioni di metri cubi all'anno, data center oltre 3,5 megawatt di capacità contrattualizzata e un lungo elenco di altre soglie settoriali. Questi operatori non si collocano in un loro mondo separato. Si collocano dentro la NIS 2 come qualsiasi altro soggetto essenziale, e gli obblighi KRITIS si sommano al di sopra.
La base proviene dall'Articolo 21 della Direttiva NIS 2: dieci misure di gestione del rischio di cibersicurezza, proporzionate al rischio. La Germania le copia nell'§30 BSIG. Il livello KRITIS aggiunge tre cose: un'asticella di proporzionalità più elevata ai sensi dell'Articolo 21(1) perché le conseguenze di un guasto sono maggiori, un ciclo di evidenza triennale obbligatorio ai sensi dell'§29 BSIG e la fascia sanzionatoria più elevata ai sensi dell'§65 BSIG (fino a 10 milioni di euro o al 2 percento del fatturato di gruppo).
Un solo regolatore gestisce entrambi i regimi. Il BSI registra il soggetto ai sensi dell'§33 BSIG, esamina l'evidenza dell'§29, riceve le segnalazioni di incidenti dell'§32 e fa applicare le sanzioni ai sensi dell'§65. La stessa base di evidenza alimenta entrambi i livelli. Questa pagina espone la struttura normativa, gli elementi KRITIS aggiuntivi, i due principi che decidono ogni caso limite e i tre miti che sentiamo più spesso.
Articolo 21(1) e 21(2) Direttiva NIS 2 (UE) 2022/2555
Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete. Tali misure assicurano un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e, ove applicabili, delle pertinenti norme europee e internazionali, nonché dei costi di attuazione.
L'Articolo 21(1) fissa la clausola di proporzionalità. 'Adeguate e proporzionate' significa che la profondità delle misure deve corrispondere al rischio. Un operatore KRITIS si colloca all'apice di quella scala: ampia area di approvvigionamento, dipendenza pubblica, effetti a cascata. Si applicano le stesse dieci misure dell'Articolo 21(2), ma un operatore KRITIS deve attuarle più in profondità di un piccolo soggetto dell'Allegato II.
§28, §30, §32, §33 e §65 BSIG (trasposizione tedesca)
Besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen.
Il BSIG impila gli obblighi in un'unica legge. L'§28 fissa l'ambito (essenziale, importante, operatore KRITIS). L'§30 fissa le dieci misure. L'§32 fissa la cascata di segnalazione degli incidenti (preallarme entro 24 ore, notifica entro 72 ore, rapporto finale entro un mese). L'§33 fissa l'obbligo di registrazione presso il BSI. L'§65 fissa la fascia sanzionatoria: fino a 10 milioni di euro o al 2 percento del fatturato di gruppo per i soggetti essenziali e gli operatori KRITIS, fino a 7 milioni di euro o all'1,4 percento per i soggetti importanti. Gli operatori KRITIS si collocano nella fascia più elevata anche se il loro settore rientrerebbe altrimenti nell'Allegato II.
§29 BSIG e BSI-KritisV
Betreiber kritischer Anlagen müssen mindestens alle drei Jahre dem Bundesamt für Sicherheit in der Informationstechnik die Erfüllung der Anforderungen nachweisen. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
L'§29 BSIG è il ciclo di evidenza specifico KRITIS. Ogni tre anni l'operatore consegna al BSI un audit, un'ispezione o una certificazione che dimostri che le misure dell'§30 funzionano effettivamente. L'Anlage è definita dalla BSI-KritisV: soglie quantitative settoriali (distribuzione di energia elettrica a 500 GWh all'anno, acqua potabile a 22 milioni di metri cubi all'anno, data center a 3,5 megawatt di capacità IT contrattualizzata, e così via). Superate una soglia, siete Betreiber kritischer Anlage. Il ciclo dell'§29 si attiva automaticamente.
Base NIS 2 (Articolo 21 / §30 BSIG)
Le dieci misure di gestione del rischio ai sensi dell'Articolo 21(2): analisi del rischio, gestione degli incidenti, continuità operativa, catena di approvvigionamento, sviluppo sicuro, gestione delle vulnerabilità, formazione, crittografia, controllo degli accessi, MFA. Proporzionate al rischio ai sensi dell'Articolo 21(1). Lo stesso elenco che ogni soggetto essenziale e importante deve attuare. Gli operatori KRITIS partono da qui, non da qualche altra parte.
Nachweis triennale ai sensi dell'§29 BSIG
Al di sopra della base NIS 2, un operatore KRITIS consegna al BSI un pacchetto di evidenza ogni tre anni: un rapporto di audit, un'ispezione o una certificazione riconosciuta che copre le misure dell'§30. Il ciclo è fisso, non basato sul rischio. Il mancato rispetto della scadenza attiva l'applicazione delle sanzioni ai sensi dell'§65 BSIG. Anche la registrazione ai sensi dell'§33 comporta campi aggiuntivi per gli operatori KRITIS: servizio critico, metriche di approvvigionamento, ubicazione dell'Anlage e un punto di contatto 24/7.
Fascia sanzionatoria più elevata e proporzionalità più profonda
Ai sensi dell'§65 BSIG, gli operatori KRITIS si collocano nella stessa fascia sanzionatoria dei soggetti essenziali: fino a 10 milioni di euro o al 2 percento del fatturato di gruppo. I soggetti importanti (Allegato II senza una KRITIS Anlage) si collocano una fascia più in basso, a 7 milioni di euro o all'1,4 percento. Anche il test di proporzionalità ai sensi dell'Articolo 21(1) si sposta: l'argomento del costo di attuazione è più difficile da sostenere quando il guasto dell'Anlage colpisce centinaia di migliaia di persone rifornite.
Un regolatore, una base di evidenza, due livelli
Il BSI gestisce entrambi i regimi dallo stesso ufficio di Bonn. L'audit che consegnate ai sensi dell'§29 BSIG è lo stesso audit che prova le vostre misure dell'§30 per la NIS 2. Il registro dei fornitori che tenete per l'Articolo 21(2)(d) è lo stesso registro che il BSI legge durante un'ispezione ai sensi dell'§29. KRITIS non duplica l'evidenza NIS 2. Vi chiede solo di provare le misure NIS 2 secondo un ciclo fisso, con la fascia sanzionatoria più elevata come deterrente.
KRITIS è additivo, non un sostituto
Un'interpretazione errata comune: 'siamo KRITIS, quindi le regole NIS 2 non si applicano.' Direzione sbagliata. KRITIS si colloca al di sopra della NIS 2 nel BSIG, non accanto ad essa. L'§28 elenca gli operatori KRITIS in aggiunta ai soggetti essenziali e importanti. L'§30 (misure), l'§32 (segnalazione) e l'§33 (registrazione) si applicano a tutti e tre. L'§29 (Nachweis triennale) e la fascia più elevata dell'§65 sono gli elementi specifici KRITIS. Abbandonate le misure NIS 2 e violate l'Articolo 21 della Direttiva.
Il BSI gestisce entrambi i regimi
Il Bundesamt für Sicherheit in der Informationstechnik è l'autorità centrale competente ai sensi dell'§40 BSIG. Registra gli operatori KRITIS, esamina l'evidenza dell'§29, riceve le segnalazioni di incidenti dell'§32 e fa applicare le sanzioni ai sensi dell'§65. Lo stesso ufficio di Bonn gestisce un produttore dell'Allegato II di 60 persone e un distributore di energia elettrica di 5.000 persone. Scala diversa, stesso regolatore, stessa struttura normativa.
Energia e telecomunicazioni hanno un secondo regolatore
Due settori non hanno il solo BSI. Gli operatori energetici rispondono alla Bundesnetzagentur per la sicurezza della rete ai sensi dell'§11 EnWG. Le telecomunicazioni rispondono alla Bundesnetzagentur per l'integrità della rete ai sensi dell'§165 TKG. Queste sovrapposizioni si collocano accanto al BSIG, non al suo posto. Un distributore di energia elettrica KRITIS segnala al BSI gli incidenti NIS 2 e alla BNetzA gli eventi rilevanti per la rete. Stesso edificio, due caselle di posta.
Nessun equivalente diretto di KRITIS a livello UE
La Direttiva NIS 2 non contiene un regime KRITIS. L'ENISA non gestisce un ciclo di evidenza triennale. Il costrutto comparabile più vicino è la Direttiva CER (2022/2557) sulla resilienza dei soggetti critici, che riguarda la resilienza fisica, non la cibersicurezza. Gli altri Stati membri traspongono l'Articolo 21 e l'Articolo 23 allo stesso modo, ma il livello KRITIS tedesco aggiuntivo è una scelta nazionale portata avanti dalla IT-Sicherheitsgesetz del 2015. Le filiali estere di un operatore KRITIS tedesco non acquisiscono l'obbligo dell'§29 all'estero.
Siamo KRITIS, quindi le nuove regole NIS 2 non si applicano a noi.
Direzione sbagliata. L'§28 BSIG elenca gli operatori KRITIS come una delle tre categorie regolate accanto ai soggetti essenziali e importanti. L'§30 (misure), l'§32 (segnalazione), l'§33 (registrazione) e la base dell'Articolo 21 si applicano a tutti e tre. Gli elementi specifici KRITIS sono l'§29 (Nachweis triennale) e la fascia sanzionatoria dell'§65. Se abbandonate le misure NIS 2 perché 'KRITIS le copre già', violate l'Articolo 21 della Direttiva e la trasposizione tedesca.
Ci collochiamo al di sotto della soglia della KRITIS-V, quindi siamo fuori anche dalla NIS 2.
La soglia della BSI-KritisV (ad es. 500 GWh all'anno per la distribuzione di energia elettrica, 22 milioni di metri cubi all'anno per l'acqua, 3,5 megawatt per i data center) decide KRITIS, non NIS 2. Una utility municipale che rifornisce 80.000 persone è al di sotto della soglia KRITIS ma è comunque nel settore 1 dell'Allegato I (energia) e quasi certamente una media impresa. Ciò la pone nell'ambito della NIS 2 come soggetto essenziale, con gli obblighi degli §30, §32 e §33. Solo niente ciclo triennale dell'§29 e la fascia sanzionatoria più bassa dell'§65.
Abbiamo appena superato il nostro audit dell'§29, quindi abbiamo finito anche per la NIS 2.
Superare un Nachweis dell'§29 copre il ciclo di evidenza. Non disattiva il resto della NIS 2. La cascata di segnalazione degli incidenti dell'§32 (24 ore / 72 ore / un mese) funziona in modo continuo. I dati di registrazione dell'§33 devono essere mantenuti aggiornati entro due settimane da qualsiasi modifica (Articolo 27(2) NIS 2). Il rischio dei fornitori ai sensi dell'§30(2) punto 4 funziona come obbligo continuo. L'audit dell'§29 è un'istantanea. Il resto del BSIG è il sistema operativo.
Prendete una utility municipale (Stadtwerk) in una città di 200.000 abitanti. Distribuzione di energia elettrica, acqua potabile, teleriscaldamento, trasporto pubblico e una filiale in fibra. Mettete la BSI-KritisV accanto all'organigramma aziendale. La distribuzione di energia elettrica oltre 500 GWh all'anno supera la soglia. L'acqua potabile oltre 22 milioni di metri cubi all'anno la supera. Il teleriscaldamento al di sotto della soglia no. Il trasporto pubblico rientra nell'Allegato II della Direttiva ma non ha alcuna classificazione di Anlage in Germania.
Il risultato è un'unica azienda sotto tre livelli di lettura contemporaneamente. Due linee di business (Strom, Wasser) sono KRITIS Anlagen con l'intero ciclo di Nachweis dell'§29 al di sopra. Una linea di business (Fernwärme) è settore 1 dell'Allegato I ma al di sotto della soglia KRITIS, quindi NIS 2 essenziale senza §29. Una linea di business (ÖPNV) è trasporto dell'Allegato II. La filiale in fibra è settore 8 dell'Allegato I se supera la soglia dimensionale per conto proprio. Un'unica registrazione dell'§33 copre il soggetto giuridico. L'audit dell'§29 copre solo le KRITIS Anlagen. Le misure dell'§30 coprono tutto.
Il controllo di applicabilità percorre le soglie della BSI-KritisV riga per riga: quale Anlage, quale settore, quale metrica quantitativa, quale soglia. Se ne superate una, la pagina segnala il ciclo di Nachweis dell'§29 e commuta il profilo aziendale a operatore KRITIS. Il modulo di registrazione fa poi emergere i campi aggiuntivi dell'§33 (servizio critico, metriche di approvvigionamento, ubicazione, contatto 24/7). Il calcolatore delle sanzioni passa alla fascia più elevata dell'§65.
La base di evidenza è condivisa. Gli stessi controlli che soddisfano l'§30 BSIG producono la pista di controllo che consegnate al BSI ai sensi dell'§29. Il registro dei fornitori ai sensi dell'Articolo 21(2)(d) è lo stesso registro che viene esaminato durante un'ispezione ai sensi dell'§29. Il modulo di segnalazione degli incidenti copre la cascata dell'§32 (24 ore / 72 ore / un mese) per entrambi i regimi. Una base di evidenza, due destinazioni di segnalazione quando necessario (BSI più, per energia e telecomunicazioni, la BNetzA).
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 21(1) (proporzionalità), Articolo 21(2) (dieci misure), Articolo 27 (aggiornamento della registrazione) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSIG (NIS2-Umsetzungsgesetz), §28 (ambito), §29 (Nachweis triennale per gli operatori KRITIS), §30 (misure), §32 (segnalazione degli incidenti), §33 (registrazione), §65 (sanzioni) — gesetze-im-internet.de/bsig_2009
- BSI-KritisV (Verordnung zur Bestimmung kritischer Anlagen), soglie settoriali per energia elettrica, acqua, alimentari, sanità, trasporti, finanza, IT e telecomunicazioni, rifiuti, spazio — gesetze-im-internet.de/bsi-kritisv
- BSI, 'Kritische Infrastrukturen' Informationspaket e NIS 2 FAQ — bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen
- Bundesnetzagentur, IT-Sicherheitskatalog gemäß §11 EnWG (sovrapposizione del settore energetico) — bundesnetzagentur.de
- Direttiva (UE) 2022/2557 (CER) sulla resilienza dei soggetti critici (resilienza fisica, distinta dalla NIS 2) — eur-lex.europa.eu/eli/dir/2022/2557/oj