§30 BSIG: le dieci misure di cybersicurezza
Risposta breve: il §30 del BSIG tedesco è il recepimento nazionale dell'articolo 21 NIS 2. I soggetti essenziali e importanti devono attuare dieci misure di gestione del rischio, dall'analisi del rischio alla sicurezza della catena di approvvigionamento all'autenticazione a più fattori. L'attuazione deve essere proporzionata alle dimensioni, all'esposizione al rischio e allo stato dell'arte.
Cosa richiede il §30 BSIG
Il §30 BSIG è al centro dell'attuazione tedesca di NIS 2. Obbliga i soggetti essenziali e importanti ad adottare misure tecniche e organizzative adeguate, proporzionate ed efficaci per gestire i rischi per la sicurezza dei loro sistemi informatici, componenti e processi.
La disposizione recepisce l'articolo 21(2) della direttiva NIS 2 (direttiva (UE) 2022/2555) nel diritto tedesco. La sostanza è valida in tutta l'UE e identica in ogni Stato membro. La formulazione è stata adattata allo stile legislativo tedesco, ma le dieci misure del §30(2) nn. da 1 a 10 BSIG corrispondono uno a uno all'articolo 21(2)(a) fino a (j) NIS 2.
Gli obblighi si applicano dalla data di entrata in vigore della NIS2UmsuCG. La legge non prevede alcun periodo transitorio. Chiunque rientri nell'ambito di applicazione è tenuto alle misure dal giorno in cui vi rientra.
N. 1: Politiche di analisi dei rischi e di sicurezza dei sistemi informatici
Politiche di analisi dei rischi e di sicurezza dei sistemi informatici. Corrisponde all'articolo 21(2)(a) NIS 2. Operazionalizzata dal CIR (UE) 2024/2690 sezione 2 per i settori digitali nel suo allegato.
N. 2: Gestione degli incidenti
Rilevamento, risposta, contenimento, ripristino e revisione post-incidente. Corrisponde all'articolo 21(2)(b) NIS 2. Si interconnette con l'obbligo di notifica ai sensi del §32 BSIG.
N. 3: Continuità operativa
Gestione dei backup, ripristino in caso di disastro e gestione delle crisi. Corrisponde all'articolo 21(2)(c) NIS 2. Un'interruzione del cloud presso il vostro fornitore rientra qui.
N. 4: Sicurezza della catena di approvvigionamento
Sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza nelle relazioni con i fornitori diretti e i prestatori di servizi. Corrisponde all'articolo 21(2)(d) NIS 2. Questo obbligo si propaga contrattualmente a ogni fornitore diretto.
N. 5: Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione
Misure di sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di sistemi informatici, componenti e processi, compresa la gestione e la divulgazione delle vulnerabilità. Corrisponde all'articolo 21(2)(e) NIS 2. Si sovrappone agli obblighi del Cyber Resilience Act per i prodotti con elementi digitali.
N. 6: Valutazione dell'efficacia
Politiche e procedure per valutare l'efficacia delle misure di gestione del rischio. Corrisponde all'articolo 21(2)(f) NIS 2. È il ciclo di feedback: non solo introdurre le misure, ma verificare se funzionano.
N. 7: Igiene informatica e formazione
Pratiche di base di igiene informatica e formazione in materia di cybersicurezza. Corrisponde all'articolo 21(2)(g) NIS 2. Si applica a tutto il personale, con formazione specifica per i ruoli IT. La formazione dell'organo di gestione è regolata separatamente ai sensi del §38(3) BSIG.
N. 8: Crittografia e cifratura
Politiche e procedure relative all'uso della crittografia e, ove appropriato, della cifratura. Corrisponde all'articolo 21(2)(h) NIS 2. 'Ove appropriato' consente una differenziazione basata sul rischio, ma esclude un'esenzione generalizzata.
N. 9: Sicurezza delle risorse umane, controllo degli accessi, gestione degli asset
Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset. Corrisponde all'articolo 21(2)(i) NIS 2. Copre l'inserimento e l'uscita del personale, l'assegnazione degli accessi secondo il principio della necessità di conoscere e un inventario degli asset.
N. 10: Autenticazione a più fattori e comunicazioni protette
Soluzioni di autenticazione a più fattori o continua, comunicazioni vocali, video e testuali protette e, ove appropriato, sistemi di comunicazione di emergenza protetti all'interno del soggetto. Corrisponde all'articolo 21(2)(j) NIS 2.
Il §30(1) seconda frase BSIG richiede che le misure siano scelte tenendo conto dello stato dell'arte, delle pertinenti norme europee e internazionali e del costo di attuazione. Sono considerati le dimensioni, l'esposizione al rischio e la probabilità di incidenti.
La proporzionalità non è una licenza per saltare una misura. Il BSI ha chiarito nei suoi orientamenti sul §38(3) BSIG che un trasferimento generalizzato del rischio a un'assicurazione informatica o a prestatori di servizi è escluso. Proporzionato significa: non ogni misura alla massima profondità, ma adattata alla situazione specifica e documentata per iscritto.
L'articolo 21(2) NIS 2 è la base a livello dell'UE. Le dieci lettere da (a) a (j) sono vincolanti. La formulazione è stata mantenuta aperta affinché gli Stati membri potessero inserirla nelle strutture di vigilanza nazionali. Il §30 BSIG adotta le dieci misure come nn. da 1 a 10 senza deviazioni sostanziali.
Per i fornitori di servizi DNS, i registri TLD, i fornitori di cloud, i data center, le reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i mercati online, i motori di ricerca online, le piattaforme di social network e i prestatori di servizi fiduciari, il regolamento di esecuzione della Commissione UE 2024/2690 operazionalizza le dieci misure nel suo allegato. Il regolamento si applica direttamente, senza recepimento nazionale. Per questi settori, sia il §30 BSIG sia il CIR sono sul tavolo.
Il §30 BSIG si applica ai soggetti essenziali ai sensi del §28(6) BSIG e ai soggetti importanti ai sensi del §28(7) BSIG. I settori sono elencati nell'allegato 1 e nell'allegato 2 della direttiva NIS 2. La soglia dimensionale è di almeno 50 dipendenti o 10 milioni di euro di fatturato annuo, con regole speciali per le KRITIS e per i settori che si applicano a prescindere dalle dimensioni.
In caso di incertezza, iniziate con il test di applicabilità ai sensi dell'articolo 2 NIS 2. Anche i fornitori di soggetti regolati entrano in contatto con il §30 tramite il n. 4 (catena di approvvigionamento): gli obblighi si propagano contrattualmente ai fornitori diretti.
Le violazioni dell'obbligo di misure ai sensi del §30 BSIG comportano sanzioni amministrative pecuniarie ai sensi del §65 BSIG. Per i soggetti essenziali, il massimo è di 10 milioni di euro o il 2 per cento del fatturato globale dell'esercizio precedente, a seconda di quale sia il valore più elevato. Per i soggetti importanti, il massimo è di 7 milioni di euro o l'1,4 per cento.
Il §38 BSIG aggiunge la responsabilità personale dell'organo di gestione per la violazione dell'obbligo di approvare le misure del §30 e di monitorarne l'attuazione. La responsabilità non dipende dal fatto che si sia effettivamente verificato un danno.
Domande frequenti sul §30 BSIG
Il §30 BSIG è lo stesso dell'articolo 21 NIS 2?
Nella sostanza, sì. Il §30 BSIG è il recepimento tedesco dell'articolo 21 NIS 2. Le dieci misure del §30(2) nn. da 1 a 10 BSIG corrispondono uno a uno all'articolo 21(2)(a) fino a (j) NIS 2. Per un lavoro a livello dell'UE, citate l'articolo 21 NIS 2 come fonte primaria e fate riferimento al §30 BSIG come recepimento tedesco.
Devo attuare tutte e dieci le misure?
Sì. Le dieci misure non sono facoltative. La scelta avviene all'interno di ciascuna misura attraverso la proporzionalità. Saltare un'intera misura non è consentito. La profondità di attuazione può essere adattata alle dimensioni, all'esposizione al rischio e allo stato dell'arte, ma eliminare un intero numero non lo è.
Cosa significa proporzionalità nella pratica?
La proporzionalità ai sensi del §30(1) seconda frase BSIG significa: le misure si allineano alle dimensioni, all'esposizione al rischio, alla probabilità e gravità degli incidenti e al costo di attuazione. La decisione deve essere documentata per iscritto. Un trasferimento generalizzato del rischio a un'assicurazione informatica o a un prestatore di servizi non è accettato dal BSI come attuazione proporzionata.
Come dimostro l'attuazione al BSI?
Attraverso la documentazione. Per ciascuna delle dieci misure, registrate per iscritto l'attuazione scelta, la motivazione della profondità e la valutazione dell'efficacia. Un audit del BSI ai sensi del §61 o del §62 BSIG esamina questi documenti, non le spiegazioni orali. Un'autovalutazione strutturata su tutte e dieci le misure è il punto di partenza più rapido.
Qual è la differenza tra il §30 BSIG e l'IT-Grundschutz?
Il §30 BSIG è l'obbligo. L'IT-Grundschutz è una metodologia concreta che soddisfa l'obbligo. Il §44(2) BSIG nomina l'IT-Grundschutz come attuazione sufficiente. Altri standard come la ISO 27001 sono ugualmente possibili, ma le prove restano legate alle dieci misure del §30 BSIG, non alla struttura dello standard scelto.