§ 32 BSIG: l'obbligo di notifica degli incidenti NIS 2
Tre fasi, un conto alla rovescia di 24 ore e cosa significa davvero significativo.
Cosa richiede il § 32 BSIG
Il § 32 BSIG recepisce nel diritto tedesco l'obbligo di notifica dell'articolo 23 NIS 2. Le entità interessate devono notificare gli incidenti significativi all'Ufficio federale per la sicurezza informatica (BSI) in tre fasi. La domanda difficile raramente è come notificare, ma se un incidente sia significativo.
Il conto alla rovescia di 24 ore inizia quando l'entità viene a conoscenza dell'incidente. Chi si chiede solo durante l'emergenza se un incidente sia da notificare ha già consumato metà di quel termine.
Preallarme entro 24 ore
Un primo preallarme al BSI entro 24 ore dalla conoscenza dell'incidente significativo, indicando se si sospetta che sia causato da atti illeciti o dolosi e se possa avere un impatto transfrontaliero.
Notifica entro 72 ore
Una notifica più completa entro 72 ore, che integra il preallarme con una prima valutazione dell'incidente, della sua gravità e del suo impatto, nonché degli indicatori di compromissione se disponibili.
Relazione finale dopo un mese
Una relazione finale entro un mese dalla notifica: una descrizione dettagliata, il tipo di minaccia o la causa, le misure correttive applicate ed eventuali impatti transfrontalieri.
A livello UE, le soglie quantitative di un incidente significativo sono stabilite dal regolamento di esecuzione (UE) 2024/2690, ma si applicano direttamente solo ai fornitori di infrastrutture e servizi digitali ivi indicati. Per la maggior parte delle entità interessate, come produzione, logistica, sanità o rifiuti, non esistono cifre UE.
Per tali entità, il carattere significativo è disciplinato dai criteri qualitativi dell'articolo 23(3) NIS 2, recepiti come definizione legale al § 2 numero 11 BSIG. Ogni impresa deve decidere autonomamente, entro 24 ore, se un incidente sia da notificare ed essere in grado di documentare tale decisione. La valutazione documentata è la prova.
Le notifiche vanno al BSI, in Germania tramite il suo portale di notifica. Stabilite internamente, in anticipo, chi decide se notificare e chi presenta effettivamente la notifica. Chiarirlo durante un incidente costa tempo che non avete.
Definire il percorso decisionale prima di un incidente, anche solo come un albero decisionale di una pagina, fa parte della misura di gestione degli incidenti di cui all'articolo 21(2)(b) NIS 2.
Se un incidente riguarda dati personali, può applicarsi in parallelo un distinto obbligo di notifica ai sensi dell'articolo 33 GDPR. I due regimi hanno destinatari e termini diversi.
Non presentate l'una al posto dell'altra. Un incidente ransomware che cifra i dati dei clienti può attivare sia la cascata di notifica del § 32 BSIG sia la notifica della violazione entro 72 ore ai sensi del GDPR all'autorità per la protezione dei dati.
Domande frequenti
Quando inizia il termine di 24 ore?
Quando l'entità viene a conoscenza dell'incidente significativo, non quando è iniziato.
Esistono soglie fisse in euro per un incidente significativo?
Solo per i fornitori di servizi digitali indicati nel RE (UE) 2024/2690. Per tutte le altre entità si applicano i criteri qualitativi dell'articolo 23(3) NIS 2.
Cosa faccio se non sono sicuro che un incidente sia significativo?
Documentate la vostra valutazione e le ragioni. La decisione motivata è ciò che un auditor si aspetta di vedere; l'assenza di qualsiasi valutazione è la vera mancanza.
Devo notificare anche ai sensi del GDPR?
Se sono coinvolti dati personali, verificate separatamente l'articolo 33 GDPR. Ha un proprio termine di 72 ore e un destinatario diverso.
Cosa succede dopo la notifica?
Il BSI può richiedere ulteriori informazioni e la relazione finale segue entro un mese dalla notifica.