NIS2 vs KRITIS: cosa è cambiato davvero
NIS2 non sostituisce KRITIS: lo estende in modo drastico. Da circa 2.000 operatori a circa 30.000 soggetti, sette nuovi settori, responsabilità personale degli organi di gestione e scadenze di notifica più rigorose.
KRITIS era il riscaldamento. NIS2 è l'evento principale.
Se la tua azienda era già classificata come KRITIS (Kritische Infrastruktur) ai sensi del vecchio regime BSI-KritisV, sai com'è fatta una normativa di cybersicurezza. Hai avuto a che fare con audit del BSI, notifiche di incidenti e misure di sicurezza informatica. La buona notizia: il lavoro già svolto non è sprecato. La notizia impegnativa: NIS2 alza l'asticella, amplia l'ambito di applicazione e aggiunge obblighi che prima non esistevano.
Se la tua azienda NON era precedentemente KRITIS, questo è probabilmente il tuo primo incontro con una normativa di cybersicurezza obbligatoria. NIS2 - recepito nel diritto tedesco attraverso il BSIG modificato - porta circa 28.000 aziende aggiuntive all'interno del perimetro normativo. Molte di queste aziende non hanno mai notificato un incidente a un'agenzia governativa, non sono mai state sottoposte ad audit per la sicurezza informatica e non hanno mai considerato la cybersicurezza come un tema di conformità giuridica.
| Aspetto | KRITIS (BSI-KritisV) | NIS2 / BSIG (nuovo) |
|---|---|---|
| Ambito di applicazione | Circa 2.000 operatori di infrastrutture critiche in 10 settori, identificati superando valori soglia specifici (ad es. 500.000 persone servite) | Circa 30.000 soggetti in 18 settori, utilizzando una semplice soglia dimensionale: 50+ dipendenti o 10 mln EUR+ di fatturato annuo. Comprende sia la categoria 'essenziali' sia quella 'importanti' |
| Modello di soglia | Soglie quantitative specifiche per settore (ad es. 500.000 persone servite per l'energia, 500.000 residenti per l'acqua). Complesse da calcolare, molti casi limite | Criteri dimensionali uniformi: media impresa (50+ dipendenti o 10 mln EUR+ di fatturato) per tutti i settori. Molto più semplice da determinare. Alcuni settori hanno criteri aggiuntivi indipendenti dalla dimensione |
| Registrazione | Autodichiarazione al BSI con verifica facoltativa. Inizialmente nessun portale di registrazione formale per la maggior parte degli operatori KRITIS | Registrazione obbligatoria tramite il portale del BSI ai sensi del §33 BSIG. Devono essere forniti i dati del soggetto, la classificazione settoriale, la persona di contatto e gli intervalli IP. Disposizione sanzionatoria separata per la mancata registrazione |
| Notifica degli incidenti | Incidenti significativi notificati al BSI senza tempistiche rigorose nelle normative precedenti. Successivamente irrigidita ma meno strutturata di NIS2 | Notifica obbligatoria in tre fasi ai sensi del §32 BSIG: preallarme entro 24 ore, notifica dell'incidente entro 72 ore, relazione finale entro un mese. Ogni fase ha requisiti di contenuto definiti |
| Sanzioni | Sanzioni fino a 100.000 EUR per alcune violazioni. Applicazione limitata nella pratica. Sanzioni raramente applicate pubblicamente | Sanzioni fino a 10 mln EUR o al 2% del fatturato annuo globale per i soggetti essenziali, fino a 7 mln EUR o all'1,4% per i soggetti importanti. Sanzioni separate per le violazioni di registrazione e notifica. Modellate sulla struttura sanzionatoria del GDPR |
| Responsabilità degli organi di gestione | Nessuna disposizione specifica sulla responsabilità personale degli organi di gestione. Si applicavano i doveri generali del diritto societario | Il §38 BSIG introduce una responsabilità personale esplicita per la Geschäftsführung. Gli organi di gestione devono approvare le misure di cybersicurezza, sottoporsi a formazione e possono essere ritenuti personalmente responsabili dei danni. Non può essere derogata mediante delibera assembleare |
| Requisiti di audit | Presentazione biennale delle prove (§8a BSIG vecchio). Principalmente autovalutazione con riesame da parte del BSI delle prove presentate | Soggetti essenziali: il BSI può condurre audit proattivi e ispezioni in loco. Soggetti importanti: vigilanza reattiva (audit attivati da incidenti o da prove di non conformità). Il BSI dispone di poteri di applicazione più ampi, comprese istruzioni vincolanti |
| Sicurezza della catena di fornitura | Non era un requisito normativo specifico ai sensi del vecchio regime KRITIS. Le aziende gestivano il rischio dei fornitori a propria discrezione | Il §30(2)(4) BSIG impone misure di sicurezza della catena di fornitura. Occorre valutare la cybersicurezza dei fornitori, includere requisiti di sicurezza nei contratti e monitorare il livello di sicurezza dei fornitori per tutta la durata del rapporto. Si applica a tutti i soggetti rientranti nell'ambito |
Gestione dei rifiuti
Raccolta, trattamento e smaltimento dei rifiuti. Coperta dall'Allegato II di NIS2. Comprende i servizi di rifiuti urbani, i trattatori di rifiuti pericolosi e le attività di riciclaggio. La maggior parte delle aziende di rifiuti non ha mai avuto a che fare con una normativa di cybersicurezza.
Produzione e distribuzione alimentare
Fabbricazione, trasformazione e distribuzione all'ingrosso di alimenti. Coperta dall'Allegato II di NIS2. Si estende oltre la filiera alimentare al dettaglio per includere gli impianti di produzione, la logistica della catena del freddo e i sistemi di sicurezza alimentare.
Fabbricazione di prodotti critici
Fabbricazione di dispositivi medici, computer, elettronica, prodotti ottici, apparecchiature elettriche, macchinari, autoveicoli e altri mezzi di trasporto. Coperta dall'Allegato II di NIS2. Un numero significativo di aziende del Mittelstand tedesco rientra in questa categoria.
Servizi postali e di corriere
Prestatori di servizi postali e aziende di corriere. Coperti dall'Allegato II di NIS2. Comprendono i servizi di consegna pacchi, le operazioni di smistamento della posta e le piattaforme logistiche a supporto della consegna dell'ultimo miglio.
Produzione e distribuzione di sostanze chimiche
Fabbricazione, produzione e distribuzione di sostanze chimiche. Coperta dall'Allegato II di NIS2. Si sovrappone in misura significativa alla normativa di sicurezza esistente (Störfallverordnung) ma aggiunge obblighi specifici di cybersicurezza.
Organizzazioni di ricerca
Istituti di ricerca la cui finalità primaria è svolgere ricerca applicata o sviluppo sperimentale. Coperti dall'Allegato II di NIS2. Comprendono gli istituti Fraunhofer, i centri Helmholtz e le organizzazioni di ricerca private al di sopra della soglia dimensionale.
Infrastrutture e servizi digitali
Ambito esteso per i prestatori digitali: prestatori di servizi gestiti, prestatori di servizi di sicurezza gestiti, mercati online, motori di ricerca, social network e centri dati. Alcuni erano parzialmente coperti in precedenza: NIS2 amplia e chiarisce significativamente le definizioni.
- Il BSI resta l'autorità competente centrale e il CSIRT nazionale per la Germania
- IT-Grundschutz resta la metodologia raccomandata per l'attuazione delle misure di sicurezza (§44(2) BSIG)
- Il principio fondamentale delle misure 'adeguate e proporzionate': devi attuare ciò che è ragionevole per la tua dimensione e il tuo profilo di rischio, non tutto ciò che è teoricamente possibile
- L'obbligo di mantenere un sistema di gestione della sicurezza delle informazioni (ISMS) in qualche forma, sia esso formalmente certificato o strutturato attorno al Grundschutz
Domande frequenti
Eravamo già KRITIS: dobbiamo comunque fare qualcosa di nuovo?
Sì. Anche se eri un operatore KRITIS pienamente conforme, NIS2 aggiunge nuovi obblighi: registrazione obbligatoria presso il BSI tramite il portale del §33 (se non già effettuata), tempistiche di notifica degli incidenti più rigorose (cascata 24h/72h/1 mese), responsabilità esplicita degli organi di gestione ai sensi del §38 e misure obbligatorie di sicurezza della catena di fornitura. Le tue misure di sicurezza esistenti coprono probabilmente la maggior parte dei requisiti tecnici, ma gli obblighi normativi e di governance sono nuovi.
Quali sono i nuovi settori che non erano in KRITIS?
Sette settori rientrano di recente nell'ambito di applicazione di NIS2 che non erano coperti dal vecchio regime KRITIS: gestione dei rifiuti, produzione e distribuzione alimentare, fabbricazione di prodotti critici, servizi postali e di corriere, produzione e distribuzione di sostanze chimiche, organizzazioni di ricerca e infrastrutture e servizi digitali ampliati. Le aziende di questi settori si confrontano per la prima volta con una normativa di cybersicurezza obbligatoria.
NIS2 è semplicemente KRITIS con un altro nome?
No. NIS2 è un regime normativo sostanzialmente più ampio e profondo. KRITIS copriva circa 2.000 operatori con soglie elevate. NIS2 copre circa 30.000 soggetti con soglie molto più basse. NIS2 aggiunge la responsabilità personale degli organi di gestione, la registrazione obbligatoria, tempistiche strutturate di notifica degli incidenti, obblighi sulla catena di fornitura e sanzioni significativamente più elevate. Pensa a KRITIS come al programma pilota: NIS2 è il lancio completo.
Qual è la maggiore differenza pratica per le aziende?
La responsabilità personale degli organi di gestione ai sensi del §38 BSIG. Con KRITIS, la cybersicurezza era un problema del reparto IT. Con NIS2, la Geschäftsführung è personalmente responsabile dell'approvazione e della supervisione delle misure di cybersicurezza, deve sottoporsi a formazione in materia di cybersicurezza e può essere ritenuta responsabile dei danni derivanti dalla non conformità. Questa responsabilità non può essere derogata, neppure mediante delibera assembleare. Ciò trasforma la cybersicurezza da voce del budget IT a questione di governance a livello di consiglio.
- Direttiva (UE) 2022/2555 - direttiva NIS2, Allegato I e Allegato II (definizioni settoriali)
- BSIG - §28 (ambito e definizioni dei soggetti), §30 (misure di cybersicurezza), §32 (notifica degli incidenti), §33 (registrazione), §38 (responsabilità degli organi di gestione), §65 (sanzioni)
- BSI-KritisV - Verordnung zur Bestimmung Kritischer Infrastrukturen (precedente regolamento sulle soglie KRITIS)
- BSI - orientamenti sull'ambito di NIS2 e documentazione di classificazione settoriale (2025)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit