Domande frequenti sulla NIS2

L'Unione europea modificherà o adeguerà ancora la direttiva NIS 2?

La direttiva NIS 2 (UE) 2022/2555 è diritto dell'UE applicabile da gennaio 2023 e stabilisce il quadro vincolante. Una modifica sarebbe possibile solo attraverso una nuova procedura legislativa dell'UE e attualmente non è prevista. Le precisazioni arrivano invece tramite atti di esecuzione come il CIR (UE) 2024/2690, che dettaglia le misure tecniche minime di cui all'articolo 21 per determinati soggetti, non tramite una rifusione della direttiva stessa. Per le aziende ciò significa: i contenuti sono definiti, non aspettate modifiche, ma attuate gli obblighi previsti dal diritto applicabile.

Saranno previsti finanziamenti federali a sostegno dell'attuazione della NIS 2 nelle aziende?

Un sussidio federale dedicato specificamente all'attuazione della NIS 2 attualmente non è previsto. Gli obblighi di cui all'articolo 21 della direttiva NIS 2 sono basati sul rischio e proporzionati: l'impegno è commisurato a dimensioni, esposizione al rischio e probabilità di accadimento, quindi una media impresa non ha bisogno di una soluzione da gruppo societario. I sussidi generali per la digitalizzazione e la consulenza erogati dal governo federale e dai Länder possono cofinanziare singole misure a seconda del programma; è opportuno verificarli con l'ufficio di promozione competente o la camera di commercio (IHK). Pianificate quindi l'attuazione con le vostre forze, il finanziamento non è garantito.

Qual è lo stato attuale del BSIG e quando entra in vigore la legge di attuazione della NIS 2?

La legge di attuazione della NIS 2 è già in vigore: il Bundestag l'ha adottata il 13 novembre 2025, il Bundesrat l'ha approvata il 21 novembre 2025, la promulgazione nella Gazzetta ufficiale federale è avvenuta il 5 dicembre 2025 e la legge si applica dal 6 dicembre 2025. Ciò rende efficace il BSI-Act radicalmente rivisto (BSIG nuova versione), che recepisce la direttiva NIS 2 nel diritto tedesco. Il termine di registrazione di tre mesi successivo all'entrata in vigore è scaduto il 6 marzo 2026. Chiunque sia interessato e non si sia ancora registrato deve farlo senza indugio (vedi ../anwendungsbereich/nis2-registrierung).

Dove posso trovare il BSIG / la legge di attuazione della NIS 2?

Troverete la direttiva NIS 2 (UE) 2022/2555 in versione integrale su EUR-Lex (Gazzetta ufficiale L 333 del 27 dicembre 2022) e, sempre lì, il relativo regolamento di esecuzione come CIR (UE) 2024/2690. Il recepimento tedesco, ossia il BSI-Act applicabile nella sua nuova versione, attualmente lo consultate su gesetze-im-internet.de (BSIG). Il testo di promulgazione della legge di attuazione della NIS 2 (un atto omnibus) compare nella Gazzetta ufficiale federale del 5 dicembre 2025. Per la pratica corrente, la versione consolidata del BSIG su gesetze-im-internet.de è la fonte più semplice.

In che modo la legge di attuazione della NIS 2 differisce dal BSIG?

Il BSIG è l'atto sostanziale: una legge autonoma e specifica che disciplina in modo permanente i compiti del BSI nonché gli obblighi dei soggetti essenziali e importanti. La legge di attuazione della NIS 2, invece, è un atto omnibus, ossia il contenitore legislativo che rifonde il BSIG e al contempo modifica ulteriori leggi settoriali (per esempio in materia di telecomunicazioni, energia e assicurazione sociale) al fine di recepire pienamente la direttiva NIS 2 nel diritto tedesco. In breve: la legge di attuazione della NIS 2 ha svolto il proprio compito al momento dell'entrata in vigore e ha trasferito le proprie modifiche nelle leggi vigenti. Ciò che disciplina i vostri obblighi quotidiani è quindi il BSIG nella sua nuova versione, non il contenitore.

Un'azienda può essere regolamentata anche se i servizi pertinenti non sono forniti in Germania?

Sì. Non conta dove viene fornito un servizio, ma dove è stabilito il soggetto (articolo 26 della direttiva NIS 2, recepito in Germania tramite gli articoli 59 e 60 BSIG). Chiunque sia stabilito in Germania o vi abbia nominato un rappresentante può essere soggetto alla vigilanza tedesca, anche se i clienti si trovano all'estero. Una norma speciale si applica ai fornitori di DNS, cloud, data center e simili nonché ai fornitori di reti pubbliche di comunicazione elettronica e di servizi di comunicazione elettronica accessibili al pubblico: per essi è determinante lo stabilimento principale nell'UE, ossia lo Stato membro in cui sono prevalentemente prese le decisioni sulle misure di gestione dei rischi. Quale stabilimento conti in ciascun caso è illustrato nella pagina wiki su una sede al di fuori dell'UE.

Cosa si intende esattamente con il termine "trascurabile" nel contesto dell'articolo 28, paragrafo 3, BSIG, e in base a quali criteri viene effettuata questa classificazione?

Trascurabile significa un'attività la cui portata, nel quadro complessivo dell'azienda, è talmente ridotta da non avere peso ai fini della classificazione come soggetto importante o essenziale. Gli indicatori sono il numero di persone ivi impiegate, il fatturato generato da tale attività e la relativa quota di bilancio, ciascuno in rapporto all'intera attività. Nessun singolo dato decide da solo: ciò che conta è la visione d'insieme. Inoltre, se l'attività figura anche nell'oggetto sociale (statuto, atto costitutivo), questo depone contro la trascurabilità. In caso di dubbio, l'attività dovrebbe essere documentata e trattata prudenzialmente come non trascurabile.

Le aziende municipalizzate (Eigenbetriebe) sono interessate dalla NIS 2?

Non automaticamente. La pura attività amministrativa a livello comunale è in linea di principio disciplinata dal diritto dei Länder (Landesrecht) e non dal BSIG; l'IT-Planungsrat ha espressamente escluso il livello comunale in questo caso. Un'azienda municipalizzata diventa interessata solo quando essa stessa rientra in uno dei settori coperti (come energia, acqua, acque reflue, rifiuti) e gestisce un impianto critico oppure raggiunge le soglie dimensionali per i soggetti importanti o essenziali. Decisiva è quindi l'attività concreta della singola azienda, non la forma giuridica dell'azienda municipalizzata (Eigenbetrieb). Per i gestori di servizi pubblici e di smaltimento dei rifiuti aiutano i test della wiki, per esempio azienda di servizi pubblici comunale o gestore dello smaltimento delle acque reflue.

La mia azienda rientra nell'ambito di applicazione del BSIG / della legge di attuazione della NIS 2?

Ciò dipende da tre questioni: settore, dimensioni e casi particolari. In primo luogo, la vostra attività deve rientrare in uno dei settori indicati nell'allegato I o II della direttiva NIS 2 (in Germania allegati 1 e 2 del BSIG). In secondo luogo, dovete di regola avere almeno 50 dipendenti o più di 10 milioni di euro di fatturato annuo e di totale di bilancio annuo (media impresa ai sensi della raccomandazione 2003/361/CE); le aziende più piccole sono coperte solo in casi eccezionali designati. In terzo luogo, esistono configurazioni che si applicano indipendentemente dalle dimensioni, per esempio per i gestori di impianti critici o per determinati fornitori del settore dell'infrastruttura digitale. La classificazione è un'autoclassificazione; il BSI non invia provvedimenti. Il test completo è fornito nella pagina wiki Chi è interessato.

Come vanno classificati i termini soggetto essenziale, importante e particolarmente importante?

La direttiva NIS 2 conosce due classi: soggetti essenziali (allegato I) e soggetti importanti (allegato II), articolo 3 della direttiva NIS 2. Il BSIG tedesco recepisce questa impostazione, ma chiama la classe superiore soggetto particolarmente importante (articolo 28, paragrafo 1, BSIG) e l'altra soggetto importante (articolo 28, paragrafo 2, BSIG); essenziale e particolarmente importante indicano quindi lo stesso livello. La differenza non sta negli obblighi di sicurezza, che sono sostanzialmente identici, ma nella vigilanza: i soggetti particolarmente importanti sono soggetti a vigilanza proattiva, i soggetti importanti solo a vigilanza ex post, attivata da una circostanza specifica. Se rientriate nella classe superiore o inferiore deriva da settore, dimensioni e dallo status di gestore di un impianto critico.

Come viene valutata l'inclusione dei soggetti ai sensi dell'articolo 28, paragrafo 1, n. 4, BSIG?

L'articolo 28, paragrafo 1, n. 4, BSIG riguarda i soggetti dei tipi di cui all'allegato 1 che offrono beni o servizi a un'altra persona dietro corrispettivo e hanno un fatturato annuo superiore a 50 milioni di euro e al contempo un totale di bilancio annuo superiore a 43 milioni di euro (recepimento dell'articolo 3, paragrafo 1, della direttiva NIS 2). La valutazione si svolge quindi in due fasi: la vostra attività appartiene a un settore dell'allegato 1 e superate cumulativamente entrambe le soglie finanziarie? Nel calcolo devono essere incluse le imprese associate e collegate ai sensi della raccomandazione 2003/361/CE. Se entrambe le soglie sono superate, rientrate tra i soggetti particolarmente importanti, senza che il numero di dipendenti abbia rilevanza.

Su quale base si fondano le soglie relative al numero di dipendenti, al fatturato annuo e al totale di bilancio annuo utilizzate per classificare le categorie di impresa nell'articolo 2, paragrafo 1, della direttiva NIS 2, in particolare riguardo al rinvio all'articolo 2 dell'allegato della raccomandazione 2003/361/CE?

La direttiva NIS 2 non definisce essa stessa le categorie dimensionali, ma rinvia alla definizione UE per le piccole e medie imprese di cui all'articolo 2 dell'allegato della raccomandazione 2003/361/CE. In base a essa: una media impresa ha meno di 250 dipendenti e al massimo 50 milioni di euro di fatturato annuo oppure al massimo 43 milioni di euro di totale di bilancio annuo; una piccola impresa è al di sotto di 50 dipendenti e al massimo 10 milioni di euro per entrambi i valori. La NIS 2 copre in linea di principio le imprese a partire dalla dimensione media, ossia da 50 dipendenti o più di 10 milioni di euro di fatturato e totale di bilancio. Nel calcolo si applicano le regole sulle imprese collegate e associate della raccomandazione, con l'eccezione dell'articolo 3, paragrafo 4, del suo allegato.

Il numero di dipendenti e il livello di fatturato si riferiscono a una singola sede (filiale) oppure, se del caso, all'intera azienda?

Ciò che conta è l'intera azienda, non la singola filiale o sede di attività. Il numero di dipendenti, il fatturato e il totale di bilancio sono determinati a livello del soggetto giuridico, comprese le imprese associate e collegate da prendere in considerazione ai sensi della raccomandazione 2003/361/CE (articolo 28, paragrafo 4, BSIG). Una filiale non va quindi considerata a sé stante, bensì come parte del tutto. Qualcosa di diverso può applicarsi solo se una parte dell'azienda opera in modo dimostrabilmente del tutto indipendente in termini di sistemi informatici, componenti e processi.

Le imprese collegate che non sono attive in Germania o non nell'UE devono essere incluse nel calcolo dei parametri relativi alle soglie dimensionali?

Sì. Nel calcolo delle soglie, le imprese associate e collegate ai sensi della raccomandazione 2003/361/CE devono essere incluse interamente, indipendentemente dal fatto che si trovino in Germania, in un altro Stato membro dell'UE o al di fuori dell'UE (articolo 28, paragrafo 4, BSIG in combinato disposto con la raccomandazione). I dipendenti, il fatturato e il totale di bilancio delle società collegate vengono quindi sommati proporzionalmente o per intero su base mondiale. L'ubicazione geografica di una società madre o consorella non cambia nulla riguardo alla sua inclusione. Se la vostra azienda sia poi effettivamente soggetta alla vigilanza tedesca è determinato separatamente dalla questione dello stabilimento (articolo 26 della direttiva NIS 2).

Se una società madre e una controllata con IT condivisa devono ciascuna essere assegnate a uno dei tipi di soggetto coperti e soddisfano (congiuntamente) la regola sulle soglie dimensionali, sono allora coperte entrambe le società, oppure è sufficiente che i requisiti siano soddisfatti dalla capogruppo?

Sono coperte entrambe. La NIS 2 si ricollega al singolo soggetto giuridico: se la società madre e la controllata devono ciascuna essere assegnate a un settore coperto e raggiungono le soglie, ciascuna è di per sé un soggetto con propri obblighi ai sensi degli articoli 30 e seguenti BSIG. L'IT utilizzata congiuntamente non cambia nulla a riguardo e non esonera la controllata. Nella pratica, la gestione dei rischi, la segnalazione e le evidenze possono essere organizzate e condivise centralmente, ma la responsabilità giuridica rimane distinta per ciascun soggetto. La registrazione e la conformità devono quindi essere garantite in modo indipendente per ciascuna azienda interessata.

A chi ci si può rivolgere se, nonostante il controllo di inclusione del BSI, restano dubbi sull'inclusione nel caso specifico?

Il BSI pubblica un autotest online (controllo di inclusione) per la classificazione di base, ma non fornisce consulenza giuridicamente vincolante sui singoli casi e non emette provvedimenti dichiarativi. Se dopo l'autotest restano dubbi, un esame giuridico del caso specifico è la via più pulita, per esempio da parte di avvocati o consulenti specializzati in NIS 2. Documentate la vostra classificazione e i dati sottostanti in modo comprensibile, perché in caso di dubbio dovete essere in grado di giustificare voi stessi l'autoclassificazione. Come registrare correttamente questa classificazione è illustrato nella pagina wiki sull'autoclassificazione.

Vorrei richiedere un'esenzione dalla NIS 2. È possibile?

No. Non esiste alcuna procedura su istanza con cui un soggetto possa farsi esentare dalla NIS 2. Le poche eccezioni sono stabilite dalla legge stessa (articolo 37 BSIG, basato sull'articolo 2 della direttiva NIS 2) e rientrano esclusivamente nell'iniziativa delle autorità federali ivi indicate, per esempio per determinate attività nell'ambito della sicurezza nazionale, della difesa o del contrasto. Il BSI non può né richiedere né concedere tali eccezioni. Se ritenete di non essere interessati, la via corretta non è quindi un'istanza, bensì un'autoclassificazione pulita e documentata che dimostri che le soglie settoriali o dimensionali non sono soddisfatte.

I soggetti essenziali e importanti devono, tra l'altro, comunicare i propri intervalli di indirizzi IP pubblici ai sensi della legge di attuazione della NIS 2. Quali informazioni vanno fornite qui?

Al momento della registrazione, l'articolo 27 della direttiva NIS 2 (recepito in Germania nell'articolo 33 BSIG) richiede denominazione e forma giuridica, indirizzo, recapiti aggiornati, il settore pertinente, un elenco degli Stati membri in cui sono forniti servizi e, appunto, gli intervalli di indirizzi IP pubblici. Ciò riguarda solo gli intervalli di indirizzi statici, instradati pubblicamente, attraverso i quali il vostro soggetto è raggiungibile dall'esterno o gestisce sistemi critici. Gli indirizzi dinamici e gli intervalli IP che assegnate ai vostri clienti finali non sono inclusi. Nella pratica indicate quindi le vostre reti registrate (spesso in notazione CIDR), non ogni singolo indirizzo. La procedura e i termini sono illustrati in /wiki/anwendungsbereich/nis2-registrierung.

Come sono definiti i servizi digitali?

La direttiva NIS 2 non introduce un unico termine ombrello "servizio digitale", ma indica tre tipi specifici nell'articolo 6: mercato online, motore di ricerca online e piattaforma di servizi di social network. Ciascuno di questi è un servizio ai sensi della direttiva (UE) 2015/1535, ossia un servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario. Questi tre fornitori appartengono al settore dei servizi digitali nell'allegato I della direttiva. Cloud computing, data center, CDN e servizi analoghi sono categorie distinte dell'infrastruttura digitale, non parte di questa definizione. Verificate il vostro caso specifico tramite /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Quali strategie sono necessarie per integrare in modo conforme alla legge requisiti normativi eventualmente divergenti per l'attuazione della NIS 2, come quelli esistenti in Germania e altrove in Europa, in un unico sistema di gestione della sicurezza delle informazioni (ISMS) e per garantirlo in modo continuativo?

Costruite il vostro ISMS sulla base comune dell'UE: gli obblighi di cui all'articolo 21 della direttiva NIS 2 e i requisiti tecnici minimi del regolamento di esecuzione CIR 2024/2690 si applicano in modo identico in tutti gli Stati membri e ne costituiscono il nucleo. Su questo nucleo aggiungete, come strato, le specificità nazionali dei paesi in cui operate, per esempio regole di notifica differenti o obblighi aggiuntivi. Nella pratica ciò significa: un unico insieme di misure ed evidenze, più un registro che documenti per ciascun paese lo scostamento e l'autorità competente. Dove i paesi sono diversamente rigorosi, dovete soddisfare il livello più elevato in tutto il gruppo, e allora siete conformi ovunque. Standard riconosciuti come ISO 27001 o l'IT-Grundschutz del BSI forniscono il quadro comune a tal fine.

Che cosa significa "stato dell'arte"? Ne esiste una definizione?

Non esiste una definizione giuridica fissa, e ciò è intenzionale: lo stato dell'arte descrive ciò che è attualmente consolidato e comprovato nella pratica come misura di sicurezza efficace, e si evolve nel tempo. L'articolo 21, paragrafo 1, della direttiva NIS 2 (in Germania articolo 30 BSIG) impone di tenerne conto e di attingere a tal fine alle pertinenti norme europee e internazionali. Il parametro di riferimento sono quindi opere riconosciute come ISO/IEC 27001, l'IT-Grundschutz del BSI o le linee guida dell'ENISA, non ciò che è di volta in volta più recente sul mercato. Le misure devono inoltre essere proporzionate: si tiene conto della situazione di rischio, delle dimensioni del soggetto e dei costi di attuazione. Vi orientate in base agli standard attuali e documentate perché la vostra scelta si adatta al rischio.

Domande sulla classificazione delle società di gruppo e dei servizi informatici da esse forniti in relazione alla classificazione come fornitore di servizi gestiti (MSP)

Un servizio gestito sussiste ai sensi dell'articolo 6, punto 39, della direttiva NIS 2 quando un fornitore installa, gestisce, amministra o cura la manutenzione di sistemi informatici o applicazioni per un altro soggetto e ne assume la responsabilità operativa. Decisiva è questa responsabilità operativa, non l'appartenenza al gruppo. Una società informatica centrale che amministra attivamente sistemi per società consorelle può quindi qualificarsi essa stessa come MSP e rientrare autonomamente nell'ambito di applicazione. Una pura società holding che si occupa solo della direzione aziendale, senza gestire operativamente i sistemi di un altro soggetto, non è invece un MSP. Verificate separatamente per ciascuna società del gruppo chi gestisce effettivamente quali servizi: /wiki/anwendungsbereich/bin-ich-msp-managed-service-provider.

Le aziende che gestiscono impianti critici secondo il vecchio quadro normativo (BSIG prima del 6 dicembre 2025 in combinato disposto con la BSI-KritisV) e hanno la sede principale all'estero restano gestori KRITIS dopo l'entrata in vigore del BSIG (nuova versione)?

Sì. Per i gestori KRITIS ciò che conta è dove si trova l'impianto critico e fornisce servizi di approvvigionamento in Germania, non dove si trova la sede principale del gruppo. Chiunque gestisca un impianto che raggiunge le soglie del regolamento KRITIS in Germania rimane quindi gestore KRITIS anche ai sensi del nuovo BSIG, indipendentemente da una sede legale all'estero. La situazione è diversa solo per determinati servizi transfrontalieri (come parti dell'infrastruttura digitale), per i quali l'articolo 26 della direttiva NIS 2 prevede una propria regola di giurisdizione. Maggiori informazioni sulla questione della sede legale in /wiki/anwendungsbereich/nis2-hauptsitz-ausserhalb-eu.

Gestisco privatamente un server DNS. Devo registrarmi nel portale del BSI e inviare notifiche?

No. La direttiva NIS 2 si rivolge ai soggetti che offrono un servizio coperto a titolo commerciale, non agli operatori privati per hobby. Nel settore dell'infrastruttura digitale sono regolamentati i fornitori di servizi DNS e i registri dei nomi di dominio di primo livello (TLD) che forniscono tali servizi come organizzazione a terzi (articolo 3 e allegato I della direttiva). Un server DNS gestito privatamente senza prestazione commerciale di servizi non è coperto, quindi non c'è registrazione e non ci sono obblighi di notifica. Non appena ciò diventa un servizio offerto a terzi, la classificazione cambia.

Un'azienda in linea di principio soggetta alla NIS 2 ma in liquidazione a breve termine e che non svolge più alcuna attività commerciale significativa va comunque classificata come soggetto importante o essenziale?

Finché l'azienda esiste giuridicamente e fornisce ancora il servizio coperto, rimane un soggetto importante o essenziale, anche durante la liquidazione. La classificazione ai sensi dell'articolo 3 della direttiva NIS 2 si ricollega all'attività effettiva, non all'intenzione di cessare. Se il soggetto interrompe in modo permanente l'attività commerciale coperta, la condizione non sussiste più e con essa l'inclusione nell'ambito di applicazione; fino ad allora gli obblighi continuano ad applicarsi. Una mera cessazione dell'attività annunciata ma non ancora completata non è sufficiente. Finché i sistemi degni di protezione sono in funzione, la registrazione e la gestione dei rischi restano dovute.

I servizi SaaS offerti in modo indipendente vanno classificati come servizi di cloud computing ai sensi del BSIG se funzionano sull'infrastruttura di fornitori cloud esterni e il fornitore SaaS non gestisce esso stesso le risorse di calcolo?

Decisiva è la definizione di servizio di cloud computing di cui all'articolo 6, punto 30, della direttiva NIS 2: un servizio che consente l'amministrazione su richiesta e l'ampio accesso remoto a un insieme scalabile ed elastico di risorse di calcolo condivisibili. Ciò che conta è ciò che offrite all'esterno, non se l'hardware sottostante vi appartiene. Un'offerta SaaS può soddisfare queste caratteristiche anche se funziona su infrastruttura di terzi. Se invece il vostro SaaS offre un'applicazione specialistica chiaramente definita priva di queste caratteristiche cloud, non è un servizio di cloud computing ai sensi della direttiva. Verificate le caratteristiche specifiche in /wiki/anwendungsbereich/bin-ich-cloud-anbieter-nis2.

La distinzione tra responsabilità commerciale e responsabilità operativa, decisiva per gli MSP, è trasferibile anche ad altri servizi del settore dell'infrastruttura digitale (o ad altri settori del BSIG)?

La distinzione tra responsabilità commerciale e operativa è un'utile idea di verifica, ma non sostituisce la rispettiva definizione giuridica. Per ciascun tipo di servizio si applica anzitutto il tenore dell'articolo 6 della direttiva NIS 2, per esempio per servizio di cloud computing, servizio di data center o fornitore di servizi DNS. Per molti di questi servizi la classificazione spetta a chi effettivamente fornisce e gestisce il servizio, ossia a chi ne assume la responsabilità operativa. La mera responsabilità commerciale o contrattuale senza gestione propria di norma non fonda il ruolo di soggetto. Applicate quindi il criterio per ciascun tipo di servizio sulla base della rispettiva definizione, non come regola generale.

Rientro nella definizione di prestatore di servizi fiduciari?

I prestatori di servizi fiduciari sono definiti all'articolo 3 del regolamento eIDAS (UE) n. 910/2014: fornitori di servizi fiduciari elettronici come firme e sigilli elettronici, validazioni temporali, servizi di recapito elettronico certificato o certificati per l'autenticazione di siti web. Se offrite tale servizio a titolo commerciale, rientrate in questa definizione e quindi nell'ambito di applicazione della NIS 2. I prestatori di servizi fiduciari qualificati sono considerati al riguardo soggetti essenziali, indipendentemente dalle loro dimensioni. Chiunque utilizzi firme o certificati solo internamente, senza offrirli come servizio, non è un prestatore di servizi fiduciari. Una verifica dettagliata è disponibile in /wiki/anwendungsbereich/bin-ich-vertrauensdiensteanbieter-nis2.

Nel settore "fabbricazione, produzione e commercio di sostanze chimiche", per quanto riguarda il "commercio di sostanze chimiche", rientra nell'ambito di applicazione qualsiasi commercio di prodotti finiti costituiti da sostanze chimiche?

No, non ogni commercio di prodotti contenenti sostanze chimiche. L'allegato II della direttiva NIS 2 copre la fabbricazione e il commercio di sostanze chimiche e di miscele nonché la produzione di articoli a partire da tali sostanze, in ciascun caso ai sensi del regolamento REACH (CE) n. 1907/2006. Si intendono quindi le sostanze e le miscele in quanto tali, non ogni prodotto finito che a un certo punto sia stato fabbricato a partire da sostanze chimiche. Chiunque commerci articoli finiti (come mobili o prodotti elettronici) non esercita un commercio di sostanze chimiche in questo senso. Inoltre, per l'inclusione nell'ambito di applicazione devono essere soddisfatti i criteri dimensionali.

Come determino il codice NACE della mia azienda?

Determinate il codice NACE (in Germania trasposto come codice WZ, attualmente WZ 2025) in base alla vostra attività economica principale, ossia l'attività con cui generate la quota maggiore di valore aggiunto o di fatturato. Riferimenti utili sono la vostra iscrizione al registro delle imprese o al registro di commercio e il codice gestito dall'Ufficio federale di statistica o dalla vostra IHK. Se la vostra azienda svolge più attività, assegnate ciascuna alla classe appropriata e verificate singolarmente per ciascuna l'inclusione nell'ambito di applicazione. Potete trovare il codice anche tramite la banca dati di classificazione dell'Ufficio federale di statistica. Decisivo per la NIS 2 è ciò che fate effettivamente, non il solo codice registrato.

Che ruolo svolgono i codici NACE nel determinare se un soggetto rientra nell'ambito di applicazione?

I codici NACE sono un ausilio di orientamento, ma non il criterio giuridico. Se rientriate nell'ambito di applicazione è disciplinato dai settori e dai tipi di soggetto degli allegati I e II della direttiva NIS 2 unitamente alle soglie dimensionali, non dalla mera assegnazione del codice. Il codice NACE o WZ vi aiuta ad assegnare la vostra attività a uno di questi settori, ma non sostituisce la valutazione sostanziale. Può accadere che un codice si adatti approssimativamente ma l'attività non rientri nella definizione giuridica, e viceversa. Resta decisiva la vostra attività effettiva misurata rispetto alla definizione: potete trovare il test completo in /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Le aziende devono istituire un team di crisi per gestire gli incidenti?

No, un team di crisi formale non è richiesto dalla legge. L'articolo 21, paragrafo 2, lettera c), della direttiva NIS 2 (recepito nell'articolo 30 BSIG) richiede misure per la continuità operativa e la gestione delle crisi, ma lascia aperto il modo in cui organizzarle. Ciò che conta è che responsabilità, reperibilità e procedure per un'emergenza siano definite ed esercitate. In un'attività di due persone può trattarsi di una breve serie di istruzioni, in organizzazioni più grandi di un team designato. Il parametro di riferimento è la proporzionalità ai sensi dell'articolo 21, paragrafo 1.

L'analisi dei rischi richiesta dalla legge di attuazione della NIS 2 riguarda l'intera azienda oppure specificamente le minacce informatiche e il loro impatto sui sistemi informatici?

Riguarda i rischi per i vostri sistemi informatici e di rete, non un'analisi generale dei rischi aziendali. L'articolo 21, paragrafo 2, lettera a), della direttiva NIS 2 (articolo 30 BSIG) nomina espressamente le politiche per l'analisi dei rischi e la sicurezza dei sistemi informativi. Ciò comprende i sistemi con cui trattate, conservate o trasmettete informazioni e le minacce che ne mettono in pericolo la disponibilità, l'integrità e la riservatezza. La portata non è rigida: segue il rischio effettivo e la rilevanza dei sistemi per la vostra attività (articolo 21, paragrafo 1).

La mia azienda soddisfa i criteri per qualificarsi come soggetto essenziale o gestore KRITIS, oppure come soggetto importante. Quali obblighi devono essere soddisfatti?

Tre insiemi di obblighi si applicano allo stesso modo a entrambe le categorie. In primo luogo, la registrazione presso il BSI compresi i recapiti (articolo 27, articolo 33 BSIG). In secondo luogo, le misure di gestione dei rischi dal catalogo di cui all'articolo 21, paragrafo 2 (articolo 30 BSIG), che spaziano dall'analisi dei rischi alla gestione degli incidenti, dalla catena di approvvigionamento alla crittografia e al controllo degli accessi. In terzo luogo, la segnalazione a fasi degli incidenti di sicurezza significativi ai sensi dell'articolo 23 (articolo 32 BSIG): preallarme entro 24 ore, conferma entro 72 ore, relazione finale dopo un mese. La differenza sta nella vigilanza: i soggetti essenziali sono vigilati in modo proattivo, i soggetti importanti su base ex post. Potete trovare il test di classificazione completo in Wer ist betroffen.

Da quando si applicano gli obblighi del BSIG / della legge di attuazione della NIS 2?

Gli obblighi si applicano direttamente non appena entra in vigore il recepimento tedesco. La legge di attuazione della NIS 2 è stata promulgata il 5 dicembre 2025 ed è entrata in vigore il 6 dicembre 2025. Gli obblighi di gestione dei rischi e di segnalazione si applicano quindi da tale momento; un periodo di tolleranza separato per le misure sostanziali non è previsto. Solo la registrazione ha un proprio termine (articolo 33 BSIG), vedi Registrierung.

Sarà previsto un periodo di transizione?

Per gli obblighi di sicurezza sostanziali non è previsto alcun periodo di transizione generale. Chiunque rientri nell'ambito di applicazione deve soddisfare le misure di cui all'articolo 21 (articolo 30 BSIG) dal momento in cui si applicano. Solo la registrazione è scaglionata nel tempo: deve essere effettuata entro tre mesi dal momento in cui vi qualificate come soggetto (articolo 33 BSIG). I gestori KRITIS il cui termine per le evidenze esistenti cadeva entro i primi dodici mesi dall'entrata in vigore possono, a loro scelta, utilizzare la data originaria.

Quali requisiti sono posti alla reperibilità dei soggetti importanti ed essenziali?

Dovete fornire al BSI un punto di contatto raggiungibile, di regola un numero di telefono e un indirizzo e-mail, e mantenere questi dati aggiornati (articolo 27, articolo 33 BSIG). Attraverso questo canale il BSI trasmette segnalazioni di incidenti, avvisi e richieste di follow-up. La legge non prescrive alcuna qualifica particolare per le persone preposte. Ciò che conta è solo che il punto di contatto sia effettivamente raggiungibile e che le segnalazioni possano essere trattate tempestivamente, affinché il preallarme di 24 ore ai sensi dell'articolo 23 funzioni. Per i gestori KRITIS si applicano inoltre requisiti di reperibilità più rigorosi.

Abbiamo esternalizzato completamente la nostra IT a fornitori di servizi esterni. Quali obblighi dobbiamo allora ancora soddisfare in quanto soggetto importante?

Potete esternalizzare le operazioni, ma non la responsabilità. Gli obblighi di cui all'articolo 30 BSIG restano indirizzati al vostro soggetto, non al fornitore di servizi. In concreto ciò significa: dovete gestire la sicurezza della catena di approvvigionamento (articolo 21, paragrafo 2, lettera d), ossia garantire contrattualmente che il vostro fornitore di servizi attui misure appropriate e vi segnali gli incidenti. La registrazione, la segnalazione degli incidenti significativi ai sensi dell'articolo 23 e l'approvazione e la vigilanza delle misure da parte della direzione (articolo 20, articolo 38 BSIG) restano a vostro carico. Maggiori informazioni in Bin ich MSP-Kunde.

Da quando l'impianto fotovoltaico sul tetto dell'azienda conta come infrastruttura critica?

Un impianto sul tetto per l'autoapprovvigionamento di regola non è infrastruttura critica. Lo status KRITIS sorge solo quando un impianto di produzione di energia raggiunge la soglia della BSI-KritisV, attualmente 104 megawatt di potenza nominale netta installata (allegato 1, settore energia). Decisiva è l'immissione nella rete di approvvigionamento generale, non l'autoconsumo. La classificazione come impianto critico ha inoltre effetto solo dal 1° aprile dell'anno successivo al primo raggiungimento della soglia. Un tipico impianto sul tetto si colloca di diversi ordini di grandezza al di sotto di questa soglia.

Le aziende devono dimostrare la conformità ai requisiti?

Sì, dovete essere in grado di dimostrare l'attuazione, ma la forma dell'evidenza differisce per categoria. I soggetti essenziali e importanti sono soggetti alla vigilanza del BSI (articoli 32 e 33, articoli 61 e seguenti BSIG): il BSI può richiedere informazioni, documenti e ispezioni, ma per essi non è prescritta una certificazione obbligatoria regolare. Dovreste quindi documentare politiche, misure e gestione degli incidenti in modo da poterli presentare su richiesta. Un obbligo periodico di evidenza in senso stretto si applica solo ai gestori KRITIS.

Sono un gestore KRITIS. Quando devo presentare i miei documenti di evidenza ai sensi del BSIG / della legge di attuazione della NIS 2?

I gestori KRITIS dimostrano al BSI il soddisfacimento dei requisiti ogni tre anni (articolo 39 BSIG); il ciclo di audit è stato esteso da due a tre anni. Il BSI ha notificato individualmente ai gestori registrati le nuove date di presentazione. Se la vostra data precedente cadeva entro i primi dodici mesi dall'entrata in vigore, potete a vostra scelta utilizzare la data originaria. Decisiva è sempre la data specificamente comunicata a voi, non una data limite generica.

Come posso dimostrare che la mia azienda attua le misure richieste?

Fornite l'evidenza attraverso la vostra documentazione: la vostra gestione dei rischi, le misure tecniche e organizzative adottate e la prova che esse sono efficaci (politiche, configurazioni, relazioni di audit, registri delle formazioni). La disposizione di riferimento è l'articolo 21 della direttiva NIS 2 (UE) 2022/2555, recepito in Germania nel § 30 BSIG; il CIR (UE) 2024/2690 dettaglia ulteriormente le misure per determinati tipi di soggetto. Un certificato rilasciato da un organismo esterno può corroborare questa documentazione, ma non la sostituisce: ciò che conta è che i vostri registri coprano gli specifici requisiti giuridici. Un obbligo di presentazione delle evidenze al BSI sorge solo una volta che il BSI ordina un'ispezione (§ 61 BSIG) oppure rientrate nell'obbligo di evidenza regolare in quanto gestori di impianti critici (§ 39 BSIG).

L'IT-Grundschutz del BSI è obbligatorio per tutti i soggetti coperti dalla NIS 2?

No. L'articolo 21 della direttiva NIS 2 e il § 30 BSIG non prescrivono alcuna procedura particolare, ma richiedono misure appropriate, proporzionate ed efficaci in linea con lo stato dell'arte. L'IT-Grundschutz è la metodologia pubblicata dal BSI con cui questi requisiti possono essere soddisfatti in modo pulito, e gli organismi di valutazione la accettano. Potete soddisfare gli obblighi allo stesso modo tramite ISO 27001 o un altro ISMS riconosciuto, purché le misure coprano i vostri rischi specifici. Ciò che conta non è il nome dello standard, ma che i punti elencati nel § 30 siano effettivamente attuati e documentati.

Oltre a ISO 27001 e al Grundschutz del BSI, una certificazione aziendale secondo la VdS 10000 è anch'essa sufficiente a soddisfare i requisiti della legge di attuazione della NIS 2?

La VdS 10000 può essere un sensato punto di partenza, ma da sola non copre automaticamente tutti i requisiti del § 30 BSIG e dell'articolo 21 della direttiva NIS 2. Nessun certificato, nemmeno ISO 27001 o l'IT-Grundschutz, è una prova generale di conformità: resta decisivo se le vostre misure coprano gli ambiti richiesti dalla legge in modo completo e proporzionato al rischio. Utilizzate quindi la VdS 10000 come uno dei tasselli della vostra gestione dei rischi e confrontatela puntualmente con i requisiti del § 30 al fine di colmare eventuali lacune (per esempio nella catena di approvvigionamento o nella segnalazione).

Se una certificazione ISO 27001 non è sufficiente a soddisfare i requisiti del BSIG, come possono i clienti avere garanzie che la mia azienda sia conforme alla NIS 2? A tal fine deve essere divulgato l'intero ISMS?

No, non dovete divulgare il vostro ISMS completo. Verso i clienti di norma dimostrate la conformità all'articolo 21 della direttiva NIS 2 e al § 30 BSIG tramite evidenze mirate: un certificato ISO 27001 unitamente a una dichiarazione di applicabilità corrispondente, una dichiarazione di conformità NIS 2, questionari per i fornitori compilati o singole sintesi di audit. Ciò che conta è che queste evidenze riflettano le misure rilevanti per il rapporto commerciale, non l'intero vostro corpo di regole interne. Un obbligo formale di evidenza verso il BSI esiste solo per i gestori di impianti critici (§ 39 BSIG) o su ordine (§ 61 BSIG); verso i clienti si applica ciò che concordate contrattualmente.

Esistono requisiti di certificazione obbligatori per chi presta consulenza ad aziende e soggetti nel contesto della NIS 2, e come si applica ciò quando si svolgono ispezioni per produrre evidenze?

Per l'attività di consulenza in sé, né la direttiva NIS 2 né il BSIG prevedono una certificazione obbligatoria: chiunque può prestare consulenza e un accreditamento dei consulenti non è richiesto dalla legge. È diverso per le ispezioni formali a fini di evidenza per i gestori di impianti critici ai sensi del § 39 BSIG: esse sono svolte mediante audit di sicurezza, esami o certificazioni ogni tre anni, e il BSI stabilisce i requisiti per gli organismi che le effettuano. Se il BSI ordina un'ispezione presso altri soggetti essenziali (§ 61 BSIG), i suoi requisiti si applicano di conseguenza. Prestate quindi attenzione alla qualifica dell'organismo ispettore laddove la legge richiede un'ispezione formale, non già nel caso di una mera consulenza.

Il requisito di cui all'articolo 30, paragrafo 2, n. 4, BSIG in materia di sicurezza della catena di approvvigionamento può essere soddisfatto richiedendo certificati (ISO 27001, TISAX, ecc.) ai fornitori o ai prestatori di servizi diretti?

No, un certificato da solo non soddisfa il requisito. L'articolo 21, paragrafo 2, lettera d), della direttiva NIS 2, recepito in Germania nell'articolo 30, paragrafo 2, n. 4, BSIG, richiede un vostro concetto per la sicurezza della catena di approvvigionamento: dovete valutare i rischi di ciascun fornitore diretto, definire criteri di selezione e monitorare il tutto per la durata del contratto. Un certificato ISO 27001 o TISAX è qui un tassello utile e può facilitare la valutazione, ma non sostituisce la vostra valutazione basata sul rischio, perché la portata di un certificato spesso copre solo parti del fornitore. Verificate quindi esattamente che cosa sia certificato e documentate perché il certificato è sufficiente per il servizio che vi procurate.

Cosa consigliate alle aziende interessate ai sensi del BSIG di esigere dai produttori di software e dai prestatori di servizi?

Definite requisiti di sicurezza concreti e verificabili e inseriteli nei contratti, anziché affidarvi ad assicurazioni generiche. Elementi sensati sono: evidenze verificabili da parte del produttore sulla sicurezza del prodotto (come strategia di patch, gestione delle vulnerabilità, periodo di supporto), un obbligo per il prestatore di servizi di segnalare gli incidenti di sicurezza che salvaguardi il vostro termine di 24 ore ai sensi dell'articolo 23 NIS 2 (articolo 32 BSIG), nonché un questionario per i fornitori compilato e standardizzato. Per cataloghi di domande e requisiti minimi armonizzati a livello settoriale, il BSI rimanda ai lavori dell'UP KRITIS. Per i prestatori di servizi fortemente interconnessi come i fornitori di servizi gestiti si applicano aspettative aggiuntive (vedi ./bin-ich-msp-managed-service-provider).

Quando è possibile la registrazione ai sensi dell'articolo 33, paragrafo 1, BSIG nel portale del BSI, come si effettua la registrazione e come funziona il processo di segnalazione ai sensi dell'articolo 32 BSIG?

La registrazione è possibile non appena vi qualificate come soggetto interessato, e deve avvenire entro tre mesi dal momento in cui rientrate nell'ambito di applicazione per la prima volta o nuovamente (NIS 2 articolo 27, in Germania articolo 33, paragrafo 1, BSIG). Il processo si articola in due fasi: prima create un account presso Mein Unternehmenskonto (MUK) utilizzando il certificato di organizzazione ELSTER, poi registrate il soggetto nel portale del BSI. Successivamente segnalate gli incidenti di sicurezza anch'essi tramite il portale del BSI, seguendo la procedura in tre fasi di preallarme, relazione di follow-up e relazione finale (NIS 2 articolo 23, in Germania articolo 32 BSIG). Potete trovare una guida passo passo in Registration.

Cosa sta facendo il BSI per supportare le aziende riguardo alle registrazioni NIS 2 ancora in sospeso?

Il BSI mette a disposizione un controllo di applicabilità, una sezione FAQ, pacchetti informativi e webinar affinché i soggetti possano valutare e adempiere autonomamente al proprio obbligo di registrazione (base: NIS 2 articolo 27, articolo 33 BSIG). Se siate interessati o meno è qualcosa che chiarite anzitutto in base a settore e dimensioni. Potete trovare l'autotest completo in Chi è interessato.

Come può un'azienda registrare componenti critici?

I componenti critici riguardano solo i gestori di impianti critici (la vecchia logica KRITIS), non ogni soggetto NIS 2, e sono comunicati in modo specifico per settore. Il settore energia utilizza a tal fine modelli Excel cifrati, il settore delle telecomunicazioni utilizza modelli propri con cifratura PGP. Se non siete gestori di un impianto critico, questa fase non è rilevante per voi; ciò che conta allora è unicamente la registrazione del soggetto ai sensi dell'articolo 33 BSIG.

La registrazione nel portale del BSI può essere effettuata per un soggetto che non dispone di un codice fiscale tedesco?

Sì. Mein Unternehmenskonto richiede effettivamente un codice fiscale tedesco, ma i soggetti esteri possono richiederne uno presso l'ufficio delle imposte di Neubrandenburg (Referat RAB). Inviate il modulo di domanda all'indirizzo ivi indicato e ricevete il codice fiscale per posta; al momento della creazione dell'account selezionate Meclemburgo-Pomerania Anteriore come Land. Se la vostra sede principale si trova al di fuori dell'UE, dovreste inoltre verificare l'obbligo di designare un rappresentante nell'UE in Sede al di fuori dell'UE.

Durante la registrazione nel portale del BSI bisogna indicare gli Stati membri dell'UE in cui si fornisce un "servizio". Cosa si intende con questo?

Si intende l'attività che porta in primo luogo il vostro soggetto nell'ambito di applicazione, ossia il vostro servizio principale nel rispettivo settore, non ogni servizio accessorio e non ogni luogo in cui siano semplicemente utilizzati i vostri prodotti. Dovete indicare gli Stati membri in cui fornite effettivamente questo servizio (collegato a NIS 2 articolo 26 sulla giurisdizione). Se siete attivi in più paesi, aiuta la classificazione in Autoclassificazione.

Le aziende attive a livello internazionale possono effettuare la registrazione e la segnalazione degli incidenti di sicurezza centralmente presso il BSI e adempiere così al contempo ai propri obblighi ai sensi della legge di attuazione della NIS 2 per tutti gli Stati membri dell'UE?

Il principio di una giurisdizione unica presso la sede principale si applica solo a un gruppo strettamente delimitato di servizi digitali: servizi DNS, registri TLD, fornitori di cloud e data center, fornitori di servizi gestiti, reti di distribuzione dei contenuti e piattaforme online si registrano centralmente presso l'autorità della loro sede principale (NIS 2 articoli 26 e 27, in Germania articolo 60 BSIG). Tutti gli altri soggetti sono soggetti alla vigilanza di ogni Stato membro in cui sono attivi e devono registrarsi e segnalare separatamente in ciascuno di tali Stati. Una singola registrazione presso il BSI di norma quindi non copre i vostri obblighi negli altri paesi.

Ho domande sul portale del BSI e sulla registrazione. Il BSI fornisce informazioni anche su questo?

Sì. Il BSI gestisce una propria sezione FAQ dedicata specificamente al portale del BSI e alla procedura di registrazione e vi mette a disposizione guide e assistenza. Per domande tecniche su Mein Unternehmenskonto, contattate il relativo supporto; per domande di contenuto sulla registrazione NIS 2, utilizzate i canali di contatto del BSI. Riassumiamo il processo di registrazione in Registration.

In quanto soggetto regolamentato dalla DORA, devo registrarmi presso il BSI?

Sì, l'obbligo di registrazione ai sensi dell'articolo 33 BSIG resta in vigore anche se rientrate nella DORA in quanto impresa finanziaria. La DORA è lex specialis per gli obblighi sostanziali di sicurezza e segnalazione: in quanto impresa regolamentata dalla DORA siete esentati dagli articoli 30, 31, 32, 35, 36, 38 e 39 BSIG e segnalate gli incidenti che riguardano esclusivamente soggetti DORA secondo le regole della DORA anziché ai sensi dell'articolo 32 BSIG (base: NIS 2 articolo 4). Dovete nondimeno effettuare l'iscrizione nel portale del BSI.

Quale obiettivo persegue il BSI con l'obbligo di notifica? La notifica più rapida possibile con il rischio che un incidente verificatosi non abbia comportato una minaccia effettiva, oppure davvero solo la segnalazione di incidenti rilevanti in cui una minaccia si è concretizzata? Come sono definiti specificamente i termini venire a conoscenza (Kenntniserlangung) e incidente di sicurezza ai fini dell'obbligo di notifica?

L'obiettivo è la rapidità prima della completezza: l'art. 23 della direttiva NIS 2 (recepito nell'articolo 32 BSIG) richiede un preallarme entro 24 ore, una notifica entro 72 ore e una relazione finale al più tardi dopo un mese. Il breve termine di 24 ore è inteso a fornire all'autorità un quadro situazionale precoce affinché altri soggetti possano essere avvertiti. È meglio segnalare troppo presto e con incertezza che troppo tardi. Venire a conoscenza indica il momento a partire dal quale il vostro soggetto può valutare l'incidente con ragionevole certezza come significativo (non solo dopo un'analisi completa delle cause originarie), e il termine di 24 ore decorre da quel momento. Un incidente di sicurezza è significativo ai sensi dell'art. 23, par. 3, della direttiva NIS 2 se ha causato o è in grado di causare una grave perturbazione operativa o perdite finanziarie, oppure se si è ripercosso o è in grado di ripercuotersi su altre persone causando danni materiali o immateriali considerevoli.

Sarà possibile effettuare notifiche volontarie sugli incidenti di sicurezza?

Sì. L'art. 30 della direttiva NIS 2 (recepito nell'articolo 35 BSIG) prevede espressamente le notifiche volontarie, anche per soggetti che non rientrano affatto nella NIS 2 e per incidenti al di sotto della soglia di significatività. Le notifiche volontarie sono trattate allo stesso modo delle notifiche obbligatorie, ma con priorità inferiore: le notifiche obbligatorie hanno la precedenza. Una notifica volontaria non fa sorgere alcun obbligo aggiuntivo e non può essere interpretata a svantaggio del soggetto notificante.

Le notifiche degli incidenti possono essere presentate in inglese?

La lingua procedurale dell'autorità è il tedesco, quindi le notifiche dovrebbero essere effettuate in tedesco. Tuttavia, a causa del breve termine di 24 ore ai sensi dell'art. 23 della direttiva NIS 2, vale quanto segue: un preallarme rapido in inglese è meglio di uno tardivo in tedesco. Quindi, se necessario, presentate prima in inglese e aggiungete i dettagli in lingua tedesca nelle notifiche di follow-up.

Come si deve procedere nel caso di un incidente di sicurezza rilevante ai fini della NIS 2 con potenziali effetti su sedi operative in più Stati membri dell'UE, quando lo stabilimento principale dell'azienda interessata si trova in Germania? Oltre al BSI, devono essere informate anche le autorità competenti degli altri Stati interessati?

Si applica il principio del paese di origine ai sensi dell'art. 26 della direttiva NIS 2: se il vostro stabilimento principale è in Germania, ai fini della giurisdizione siete in linea di principio vigilati unicamente in Germania e segnalate l'incidente una sola volta al BSI. Non dovete informare voi stessi le autorità degli altri Stati membri interessati. La condivisione transfrontaliera è gestita dalle autorità tra loro tramite la rete di CSIRT e il gruppo di cooperazione. Una notifica multipla in ciascun paese interessato non è quindi richiesta. Un'eccezione si applica ai fornitori di DNS, cloud, data center e analoghi servizi digitali, la cui giurisdizione è determinata dall'ubicazione del loro stabilimento principale nell'UE.

Se parti della mia azienda sono interessate dalla DORA e altre parti dalla NIS 2, il mio fornitore di servizi informatici deve segnalare due volte gli incidenti di sicurezza?

No, non è necessario segnalare due volte. La DORA è la regola più specifica rispetto alla NIS 2 (art. 4 DORA, art. 1, par. 2, della direttiva NIS 2 e articolo 1, par. 6, BSIG): nella misura in cui un incidente riguarda l'ambito DORA, i canali e i termini di notifica della DORA hanno la precedenza e sostituiscono in tale misura l'obbligo di notifica NIS 2. Ciò che conta è quale regola copre il servizio interessato, non l'azienda nel suo complesso. Chiarite in anticipo con il vostro fornitore di servizi informatici, in via contrattuale, secondo quale regola esso segnali quale incidente a quale autorità.

È prevista per il futuro una soluzione europea per la registrazione e la notifica?

Determinati fornitori di servizi digitali (per esempio fornitori di servizi DNS, fornitori di cloud, data center, mercati online) sono già registrati in un registro a livello dell'UE tramite l'ENISA ai sensi dell'art. 27 della direttiva NIS 2. Per tutti gli altri soggetti, la registrazione e la notifica restano nazionali, ossia in Germania tramite il portale del BSI. Una piattaforma europea pienamente unificata per tutti i soggetti che vada oltre questo non è attualmente stata decisa. Per ora, il canale di notifica nazionale resta decisivo.

Come si garantisce che i dati di registrazione e i dati aziendali raccolti ai sensi delle regole NIS 2 / KRITIS siano trattati in modo riservato e protetti da accessi non autorizzati?

La riservatezza è garantita dalla legge: l'art. 23, par. 9, della direttiva NIS 2 obbliga le autorità a tutelare l'interesse del soggetto notificante alla riservatezza, e il BSIG contiene a tal fine proprie regole di riservatezza e di limitazione delle finalità. I dati sono utilizzati solo per le finalità previste dalla legge, per esempio la valutazione situazionale e la prevenzione delle minacce, e non sono pubblicati. L'accesso è limitato agli organismi competenti; la comunicazione ad altre autorità avviene solo nei limiti consentiti dalla legge e nel rispetto della riservatezza.

Cosa succede se un'azienda obbligata segnala un incidente in ritardo o non lo segnala affatto all'autorità competente? Chi verifica se gli incidenti soggetti a segnalazione siano stati segnalati correttamente?

L'obbligo di segnalazione deriva dall'articolo 23 della direttiva NIS 2: un preallarme entro 24 ore, una notifica entro 72 ore e una relazione finale entro un mese dall'incidente significativo (recepito in Germania nel §32 BSIG). Una segnalazione tardiva, o nessuna segnalazione, è una violazione di un obbligo che l'autorità competente (il BSI per la maggior parte dei soggetti) può sanzionare ai sensi delle regole di vigilanza ed esecuzione degli articoli da 31 a 34 (§§61 e seguenti e §65 BSIG). Le misure possibili comprendono istruzioni, ordini vincolanti e sanzioni pecuniarie il cui livello dipende dal tipo di soggetto: per i soggetti essenziali, l'articolo 34 fissa un massimale di almeno 10 milioni di euro o del 2 per cento del fatturato annuo mondiale (se superiore), e per i soggetti importanti di almeno 7 milioni di euro o dell'1,4 per cento. L'autorità valuta se una segnalazione sia stata effettuata correttamente sulla base della segnalazione presentata e può verificarlo tramite i suoi poteri di vigilanza ai sensi degli articoli 32 e 33 (come richieste di informazioni, audit, ispezioni in loco). Una segnalazione tempestiva e completa nel formato prescritto è quindi la via più sicura. Troverete una guida passo passo all'obbligo e all'autorità in Registrazione e obbligo di segnalazione.

Quali obblighi ha la direzione ai sensi della NIS 2?

La direzione deve approvare le misure di gestione dei rischi, sorvegliarne l'attuazione e partecipare a formazioni sulla cybersicurezza (art. 20 direttiva NIS 2, recepito nell'articolo 38 BSIG). Approvare significa esaminare attivamente e acconsentire per iscritto, non limitarsi ad apporre una firma. Sorvegliare significa verificare regolarmente se le misure siano attuate ed efficaci. L'attuazione operativa può essere delegata, ma la responsabilità della direzione resta in capo alla direzione. Se rientriate affatto nell'ambito di applicazione è qualcosa che dovreste chiarire anzitutto con il test completo.

Cosa significa l'obbligo di approvazione e sorveglianza della direzione?

Approvazione significa: la direzione esamina le misure di gestione dei rischi pianificate, le comprende nella sostanza e le approva in modo documentato (art. 20, par. 1, direttiva NIS 2, in Germania articolo 38, par. 1, BSIG). Sorveglianza significa: una misura approvata una volta e mai più riesaminata non adempie l'obbligo. Relazioni di stato fisse, indicatori chiave e un chiaro percorso di escalation sono sensati affinché la direzione possa dimostrare in qualsiasi momento lo stato attuale. Questo obbligo grava sulla direzione stessa, che non può trasferirlo a nessuno.

La direzione deve partecipare a una formazione?

Sì. La direzione dei soggetti essenziali e importanti deve partecipare regolarmente a formazioni sulla cybersicurezza (art. 20, par. 2, direttiva NIS 2, in Germania articolo 38, par. 3, BSIG). L'obiettivo è che la direzione sia in grado di individuare i rischi, valutare le misure di gestione dei rischi e stimarne l'impatto sui servizi. La direttiva non indica un numero minimo di ore né intervalli fissi; nei suoi orientamenti il BSI raccomanda un aggiornamento annuale e indica circa quattro ore come valore orientativo per la durata. Questo obbligo si applica a ogni persona che è preposta alla gestione del soggetto per legge, statuto o atto costitutivo, e non può essere delegato.

La direzione può delegare il proprio obbligo di formazione?

No. L'obbligo di formazione grava personalmente sugli organi di gestione e non può essere trasferito a dipendenti o a fornitori di servizi esterni (art. 20, par. 2, direttiva NIS 2, in Germania articolo 38, par. 3, BSIG). Potete nominare un responsabile della protezione dei dati o della sicurezza e distribuire l'attuazione operativa, ma partecipare voi stessi alla formazione resta un vostro compito. Documentate chi ha partecipato, per quanto tempo e con quali contenuti, in modo da poterlo presentare all'autorità su richiesta.

La direzione è personalmente responsabile per le violazioni?

Se un membro della direzione viola il proprio obbligo di approvazione, sorveglianza o formazione, risponde verso il proprio soggetto del danno causato per colpa secondo le regole di diritto societario della rispettiva forma giuridica (art. 20 direttiva NIS 2, in Germania articolo 38 BSIG). Questa pretesa spetta alla società, non a terzi, ed è esclusa una rinuncia integrale alla responsabilità tramite l'atto costitutivo o lo statuto. Nella pratica riducete il rischio documentando in modo pulito approvazioni, controlli e registri delle formazioni. La migliore protezione non è la rinuncia, bensì l'insieme di obblighi dimostrabilmente adempiuti.

I webinar saranno registrati?

No. I webinar del BSI sulla NIS 2 non sono registrati, quindi o partecipate dal vivo o non vi partecipate affatto. Importante: i webinar sono un'offerta informativa volontaria, non una parte obbligatoria della vostra attuazione. Ciò che conta per i vostri obblighi sono le misure di gestione dei rischi di cui all'articolo 21 della direttiva NIS 2 (recepito in Germania nel §30 BSIG), non la partecipazione a un webinar.

Come ricevo i materiali di ciascun webinar?

Tutti i partecipanti registrati ricevono successivamente le slide per e-mail. Il presupposto è quindi la registrazione al rispettivo webinar: chiunque non sia registrato non riceve automaticamente i materiali. Dopo la sessione, controllate anche la cartella spam se l'e-mail con l'allegato non arriva.

Il BSI può supportare i soggetti nell'attuazione della NIS 2?

Sì, ma solo in termini generali, non per il vostro caso specifico. Il BSI mette a disposizione FAQ, pacchetti informativi, un pacchetto introduttivo e seminari di avvio, ma nell'ambito del suo mandato statutario (§3 BSIG, che recepisce i compiti dalla direttiva NIS 2) espressamente non fornisce né consulenza sul singolo caso né consulenza legale. Per l'attuazione concreta nella vostra azienda avete quindi bisogno di competenze proprie oppure di un fornitore di servizi qualificato o di consulenza legale. Da dove potete iniziare voi stessi è mostrato dal test di applicabilità completo in Wer ist betroffen.

Esistono già informazioni o orientamenti del BSI sulle misure da attuare da parte dei soggetti essenziali e importanti ai sensi della NIS 2?

Sì. Sulla sua pagina web centrale dedicata alla NIS 2 il BSI pubblica orientamenti concreti sui singoli obblighi e misure. Nella sostanza essi corrispondono alle misure di gestione dei rischi di cui all'articolo 21 della direttiva NIS 2 e al regolamento di esecuzione (UE) 2024/2690 (recepito in Germania nel §30 BSIG). Come modalità metodologica il BSI indica l'IT-Grundschutz: se lo applicate, le misure di cui al §30 BSIG sono generalmente considerate adempiute, il che è l'orientamento più pratico attualmente disponibile.

Il settore dei prestatori di assistenza sanitaria copre anche le strutture di assistenza a lungo termine?

No. Il tipo di soggetto "prestatore di assistenza sanitaria" si ricollega alla definizione di cui all'articolo 3, lettera g), della direttiva 2011/24/UE, a cui la NIS 2 (allegato I, settore sanitario della direttiva (UE) 2022/2555) rinvia. La pura assistenza a lungo termine non rientra in questa definizione e non è quindi coperta in quanto tale. Importante: se una struttura di assistenza fornisce inoltre servizi di assistenza sanitaria ai sensi della definizione (come trattamento medico o infermieristico), questa parte può essere coperta, purché siano soddisfatte le soglie dimensionali di cui al §28 BSIG. Verificate passo passo: Chi è interessato.

Il tipo di soggetto "prestatore di assistenza sanitaria" copre anche la distribuzione o la fornitura di dispositivi medici?

No. La mera distribuzione o fornitura di dispositivi medici non soddisfa la definizione di servizio di assistenza sanitaria di cui all'articolo 3, lettera g), della direttiva 2011/24/UE, a cui la NIS 2 rinvia per il settore sanitario (allegato I). Non siete quindi interessati attraverso questo tipo di soggetto. Possono tuttavia applicarsi altri punti di riferimento: i fabbricanti di dispositivi medici critici appartengono al settore sanitario, i fabbricanti di dispositivi medici e di dispositivi medico-diagnostici in vitro appartengono al settore manifatturiero (allegato II). Verificate inoltre se siete coperti come impianto critico ai sensi della KritisV.

Come si procede quando un'attività rientra tra gli impianti critici (punto di dispensazione di dispositivi medici), ed è quindi infrastruttura critica ai sensi della BSI-KritisV, ma la soglia di fatturato specificata per i soggetti essenziali non viene raggiunta?

I gestori di un impianto critico sono, ai sensi dell'articolo 28, paragrafo 1, BSIG, un soggetto essenziale indipendentemente dalle dimensioni e dal fatturato. Le soglie dimensionali e di fatturato del criterio dimensionale generale non hanno quindi qui alcun ruolo: chiunque superi la soglia della KritisV per l'impianto è coperto, anche se l'azienda al di sotto di essa è una piccola attività. L'unico fattore decisivo è la soglia quantitativa della rispettiva categoria di impianto nella KritisV (§2 numero 22 BSIG). Potete raggiungere la soglia della KritisV senza raggiungere la soglia di dipendenti o di fatturato del criterio dimensionale generale, e siete allora comunque pienamente interessati.

Le strutture per l'assistenza all'integrazione (Eingliederungshilfe) sono interessate dalla NIS 2?

L'assistenza all'integrazione in quanto tale non è un proprio tipo di soggetto ai sensi della NIS 2 e non rientra nella definizione di servizio di assistenza sanitaria di cui all'articolo 3, lettera g), della direttiva 2011/24/UE. Non siete quindi interessati per il solo motivo dell'assistenza all'integrazione. Dipende dalle attività specificamente svolte: se la struttura fornisce inoltre servizi di assistenza sanitaria ai sensi della definizione e raggiunge le soglie di cui al §28 BSIG, questa parte può essere interessata. Per sicurezza, dovreste verificare inoltre se si applica un altro settore NIS 2 o un impianto critico ai sensi della KritisV.

I servizi medici di emergenza sono interessati dalla NIS 2?

Dipende dall'attività svolta, non dall'etichetta "servizio medico di emergenza". Nella misura in cui un servizio medico di emergenza fornisce servizi di assistenza sanitaria ai sensi dell'articolo 3, lettera g), della direttiva 2011/24/UE (come l'assistenza medica di emergenza), esso può essere coperto attraverso il settore sanitario (allegato I) se sono soddisfatte le soglie di cui al §28 BSIG. Il puro trasporto di pazienti senza trattamento medico di norma non rientra in questo. Se il servizio medico di emergenza è di proprietà pubblica, verificate inoltre le regole per la pubblica amministrazione.

I servizi di consulenza in sicurezza informatica rientrano nel settore dell'infrastruttura digitale, per esempio nel tipo di soggetto Managed Security Service Provider (MSSP)?

No. La pura consulenza in sicurezza informatica non è un servizio di sicurezza gestito. Ai sensi della NIS 2 (articolo 6 numero 40 della direttiva (UE) 2022/2555), un MSSP è un MSP che operativamente fornisce o gestisce il supporto per attività di gestione del rischio di cybersicurezza, ossia assume l'esercizio continuativo di funzioni di sicurezza per i clienti. Chiunque esclusivamente consigli, effettui audit o formi, senza esercitare o gestire in modo continuativo i sistemi dei clienti, non rientra nell'MSP o nell'MSSP (il settore della gestione dei servizi TIC appartiene all'allegato I, non all'infrastruttura digitale). Tuttavia, non appena gestite effettivamente i servizi di sicurezza dei clienti (come esercizio di un SOC, monitoraggio, gestione delle patch), può applicarsi la classificazione come MSSP.

Le controllate in cui è organizzato l'esercizio informatico centrale di un gruppo societario vanno considerate fornitori di servizi gestiti (MSP) o fornitori di servizi di sicurezza gestiti (MSSP)?

Il fattore decisivo è se il servizio informatico sia fornito esternamente sul mercato. MSP e MSSP ai sensi della NIS 2 (articolo 6 numeri 39 e 40 della direttiva (UE) 2022/2555) forniscono servizi per altre aziende, non per sé stessi. Una controllata informatica infragruppo che serve esclusivamente il proprio gruppo di norma non è quindi un MSP o un MSSP attraverso questo tipo di soggetto. Ciò non significa necessariamente "non interessata": se la controllata serve anche terzi al di fuori del gruppo, può applicarsi la classificazione come MSP o MSSP, e indipendentemente da ciò, i dipendenti e il fatturato delle società collegate sono aggregati ai fini della soglia dimensionale (società collegate ai sensi della definizione di PMI 2003/361/CE).

Il web hosting rientra in uno dei tipi di soggetto? (come fornitore cloud o MSP)

Il classico web hosting in sé non è né un servizio di cloud computing né un MSP. Un servizio di cloud computing ai sensi della NIS 2 (articolo 6 numero 30 della direttiva (UE) 2022/2555) richiede risorse di calcolo scalabili, fornite in modo elastico e condivisibili con amministrazione su richiesta, cosa che il puro hosting su risorse fisse tipicamente non soddisfa. Un MSP richiede la gestione continuativa dei sistemi informatici del cliente, non la mera messa a disposizione di spazio di archiviazione e spazio web. Il fattore decisivo è sempre la configurazione specifica: se il fornitore offre inoltre risorse cloud elastiche o gestisce attivamente i sistemi dei clienti, può applicarsi una classificazione. Maggiori informazioni: Sono un fornitore cloud.

I lavoratori autonomi che gestiscono DNS autoritativi per clienti di web hosting sono anch'essi interessati dagli obblighi di attuazione della cybersicurezza?

Sì, ciò può applicarsi. I fornitori di servizi DNS sono, ai sensi della NIS 2 (allegato I, infrastruttura digitale, termine di cui all'articolo 6 numero 20 della direttiva (UE) 2022/2555), un soggetto essenziale indipendentemente dalle loro dimensioni. La consueta soglia di dipendenti o di fatturato non si applica quindi qui, sicché anche i lavoratori autonomi possono essere coperti (§28 paragrafo 1 BSIG). Il fattore decisivo è se gestite effettivamente la risoluzione DNS autoritativa come vostro servizio (non la mera detenzione di un proprio dominio). Se ciò si applica, gli obblighi in materia di gestione dei rischi, notifica e registrazione si applicano integralmente.

Tutte le aziende rientrano nell'ambito di applicazione del recepimento nazionale della direttiva NIS 2 se sono un "fornitore di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico"?

Non automaticamente ogni azienda, ma la soglia è bassa. I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico appartengono all'infrastruttura digitale (allegato I della direttiva (UE) 2022/2555) e sono, ai sensi del §28 BSIG, coperti non appena viene raggiunta la soglia per le medie imprese (da 50 dipendenti, oppure oltre 10 milioni di EUR di fatturato con un totale di bilancio superiore a 10 milioni di EUR). I termini sono disciplinati dalla direttiva (UE) 2018/1972 (codice europeo delle comunicazioni elettroniche), non dalla comprensione propria di un'azienda di "servizio di comunicazione". Nota: nella misura in cui il TKG contiene requisiti settoriali pertinenti per questi servizi, i corrispondenti obblighi del BSIG si applicano solo nella misura in cui il TKG non prevalga (§28 BSIG).

Un servizio di cloud computing non auto-scalabile, il che è un criterio cloud ai sensi del NIST [standard di cybersicurezza statunitense NIST SP 800], rientra nelle regole della legge di attuazione della NIS 2?

Il fattore decisivo non è lo standard NIST bensì la definizione di servizio di cloud computing nella NIS 2 (articolo 6 numero 30 della direttiva (UE) 2022/2555). Secondo essa, il servizio deve fornire risorse di calcolo scalabili ed elastiche, ossia scalabili su richiesta verso l'alto e verso il basso, condivisibili, tramite una rete. Se questa scalabilità ed elasticità è del tutto assente, allora ai sensi della definizione NIS 2 di norma non sussiste un servizio di cloud computing, e il tipo di soggetto fornitore cloud non si applica. Tuttavia, ciò non significa necessariamente "non interessata affatto": verificate se si applica un altro tipo di soggetto (come servizio di data center o MSP) oppure se siete coperti attraverso un altro settore. Dettagli: Sono un fornitore cloud.

I soggetti finanziari assoggettati alla DORA affrontano obblighi di doppia registrazione, doppia segnalazione degli incidenti di sicurezza, doppia vigilanza, doppia evidenza, ecc. a causa della legge di attuazione della NIS 2 e della DORA?

No, una vera e propria doppia regolamentazione non è prevista. Per i soggetti finanziari, la DORA (regolamento (UE) 2022/2554) è la regola più specifica. Ai sensi dell'articolo 4 della direttiva NIS 2, i requisiti della DORA in materia di gestione dei rischi, segnalazione degli incidenti e vigilanza hanno quindi la precedenza, e i corrispondenti obblighi NIS 2 recedono. Ciò che resta è unicamente la registrazione: l'articolo 27 della direttiva NIS 2 (riflesso nel diritto tedesco tramite il pertinente obbligo di registrazione del BSIG) copre anche i soggetti DORA, affinché le autorità possano mantenere un quadro completo. Continuate a segnalare gli incidenti ai sensi della DORA e in aggiunta vi registrate, senza che ciò crei una seconda catena di segnalazione o un secondo livello di vigilanza.

In che modo i requisiti della NIS 2 differiscono dai requisiti di sicurezza specifici per lo smart meter gateway?

I due insiemi di regole operano a livelli diversi e non si escludono a vicenda. La NIS 2 (articolo 21 della direttiva, nel diritto tedesco articolo 30 BSIG) richiede all'organizzazione nel suo complesso di mantenere una gestione dei rischi: processi, responsabilità, catena di approvvigionamento, pianificazione di contingenza. I requisiti per lo smart meter gateway, invece, derivano dalla legge sull'esercizio dei punti di misura e dalle direttive tecniche del BSI (per esempio la TR-03109) e riguardano la sicurezza tecnica di un dispositivo specifico, compresa la certificazione. In breve: la NIS 2 disciplina come mettete in sicurezza la vostra azienda, i requisiti dello smart meter disciplinano come deve essere progettato un singolo dispositivo. Entrambi si applicano in parallelo.

Come è avvenuta la ridenominazione in "Digital Energy Services"?

La precedente categoria di impianto del punto di aggregazione (Buendelstelle) è stata rinominata "Digital Energy Services" perché il termine riflette meglio il ruolo crescente dei sistemi informatici e dei processi digitali nel settore energetico rispetto al vecchio nome, strettamente legato all'aggregazione delle letture dei contatori. Più importante del nome è la conseguenza: per questa categoria, la regolamentazione della sicurezza delle informazioni non spetta più al BSIG, bensì agli articoli 5c e seguenti EnWG, ed è competente la Bundesnetzagentur.

Cosa significa la modifica normativa per il mio punto di aggregazione (BueStel)?

Il vostro punto di aggregazione è sottratto alla regolamentazione del BSIG in quanto "Digital Energy Service". I requisiti di sicurezza delle informazioni saranno in futuro disciplinati dagli articoli 5c e seguenti EnWG, e l'autorità di vigilanza competente è la Bundesnetzagentur, non più il BSI. Per l'impianto interessato nella categoria 1.1.2 non dovete più fornire evidenze al BSI ai sensi dell'articolo 8a BSIG. Il vostro punto di contatto e i vostri requisiti tecnici cambiano quindi; verificate tempestivamente i requisiti della Bundesnetzagentur.

Quali obblighi verso il BSI permangono dopo la modifica normativa?

Verso il BSI permangono essenzialmente la registrazione e il mantenimento aggiornato dei vostri dati anagrafici nel portale del BSI, finché l'assegnazione è ancora ivi conservata. La vigilanza sostanziale e le evidenze per gli impianti classificati come "Digital Energy Services" passano alla Bundesnetzagentur ai sensi degli articoli 5c e seguenti EnWG. Se avete inoltre ulteriori impianti registrati presso il BSI, gli obblighi del BSIG continuano ad applicarsi a essi immutati; solo i digital energy services vengono sottratti.

Quale base di audit posso utilizzare per le evidenze?

Per le evidenze verso il BSI resta decisiva la base consolidata: uno standard di audit riconosciuto come uno standard di sicurezza settoriale (B3S) ai sensi dell'articolo 8a paragrafo 2 BSIG oppure uno standard equivalente che copra i requisiti per il vostro impianto. Per gli impianti sottratti in quanto "Digital Energy Services", tuttavia, la base di audit è disciplinata dai requisiti della Bundesnetzagentur sulla base degli articoli 5c e seguenti EnWG. Decisivo è quindi sotto quale regime è conservato il vostro impianto dopo la modifica; chiarite ciò anzitutto prima di selezionare uno standard di audit.

Come scopro entro quando devo fornire le evidenze?

Il termine deriva dalla vostra categoria di impianto e dal ciclo di evidenza a voi applicabile, non da un'unica data limite uniforme. Per gli impianti che restano nel mondo del BSIG si applica il consueto ciclo di evidenza regolare ai sensi dell'articolo 8a BSIG; il BSI comunica la data specifica nell'ambito della vostra registrazione o tramite provvedimento ufficiale. Per gli impianti passati alla Bundesnetzagentur in quanto "Digital Energy Services", quest'ultima stabilisce le date di evidenza ai sensi degli articoli 5c e seguenti EnWG. In caso di dubbio, è decisivo il provvedimento scritto della rispettiva autorità competente; non fate affidamento su una cifra annuale generica.

Quale impatto ha la legge di attuazione della NIS 2 sugli altri impianti della mia azienda registrati presso il BSI?

La sottrazione riguarda solo gli impianti classificati come "Digital Energy Services" (precedente categoria 1.1.2). Tutti gli altri impianti della vostra azienda registrati presso il BSI restano nel regime del BSIG: gli obblighi di registrazione, gestione dei rischi ed evidenza continuano lì immutati. Non si crea alcuna lacuna e non vi è alcuna decadenza automatica; continuate a gestire gli impianti non interessati esattamente come prima e mantenete il BSI come autorità competente.

L'audit in corso per la fornitura delle evidenze ai sensi dell'articolo 8a BSIG per un impianto nella categoria di impianto 1.1.2 deve essere completato?

No. Per gli impianti nella categoria 1.1.2 che escono dal BSIG in quanto "Digital Energy Services", non vanno più fornite evidenze ai sensi dell'articolo 8a BSIG al BSI, sicché un audit in corso a tale scopo non deve più essere completato per il BSI. Osservate tuttavia i futuri requisiti della Bundesnetzagentur ai sensi degli articoli 5c e seguenti EnWG; il lavoro di audit già svolto può continuare a essere utilizzabile in tale ambito. Chiarite l'esatta transizione direttamente con l'autorità competente prima di interrompere un audit.

I gestori di una rete di approvvigionamento energetico ai sensi dell'articolo 5d paragrafo 4 EnWG devono registrarsi nel portale del BSI?

Sì. I gestori di una rete di approvvigionamento energetico ai sensi dell'articolo 5d paragrafo 4 EnWG sono obbligati a registrarsi nel portale del BSI, anche se non sono al contempo classificati come soggetto essenziale o importante ai sensi del §28 BSIG. L'obbligo di registrazione qui si ricollega all'esercizio della rete ed esiste indipendentemente dalla soglia dimensionale generale della NIS 2. Inserite i vostri dati anagrafici nel portale del BSI entro il termine. Maggiori informazioni sulla procedura: nis2-registrierung.

I ristoranti d'albergo, i ristoranti o le attività di ristorazione contano come "soggetti importanti"?

Di regola, no. Il settore alimentare dell'allegato 2 copre solo le aziende del commercio all'ingrosso nonché della produzione e trasformazione industriale di prodotti alimentari, non la classica ristorazione. Un ristorante d'albergo, un ristorante o un'attività di ristorazione non rientra quindi nella NIS 2 per il solo fatto della preparazione dei pasti. Ciò che resta inoltre decisivo è se siano soddisfatte le soglie dimensionali; verificate la vostra classificazione in modo sistematico: wer-ist-betroffen-vollstaendiger-test.

"sowie" (nonché) equivale a "o"?

Sì. Nella formulazione relativa ai prodotti alimentari dell'allegato 2, "sowie" collega le attività indicate in modo enumerativo, non cumulativo. Un'azienda è quindi già coperta se è attiva nel commercio all'ingrosso oppure nella produzione industriale oppure nella trasformazione; non deve svolgere tutte e tre le attività contemporaneamente. Ciò che è poi inoltre decisivo per l'inclusione è se siano soddisfatte le pertinenti soglie dimensionali.

Tutti i partecipanti a una catena di approvvigionamento sicura nell'ambito della sicurezza dell'aviazione rientrano nella KRITIS, anche se sono piccole imprese al di sotto delle soglie per l'applicabilità della NIS 2?

No. La partecipazione alla catena di approvvigionamento sicura ai sensi del §9a LuftSiG non rende automaticamente un'azienda un'infrastruttura critica e non la rende automaticamente un soggetto NIS 2. Sono decisive due soglie distinte: diventate gestore KRITIS solo se superate le soglie di volume della BSI-KritisV per un servizio critico (tipicamente nei settori dell'aviazione o della logistica). L'applicabilità della NIS 2 ai sensi dell'allegato I o II della direttiva NIS 2 (UE) 2022/2555, a sua volta, richiede che siate attivi in un settore coperto e soddisfiate i criteri dimensionali (di regola da 50 dipendenti o più di 10 milioni di EUR di fatturato annuo; il BSIG recepisce ciò nel §28). Chiunque si collochi al di sotto di entrambe le soglie non è coperto né dalla KRITIS né dalla NIS 2 per la mera partecipazione alla catena di approvvigionamento. Potete trovare il test completo in Chi è interessato.

Quali forme giuridiche rientrano nel settore finanziario e nel sottosettore bancario secondo la NIS 2?

La classificazione non si basa sulla forma giuridica (GmbH, AG, eG o altra), bensì sull'attività. Nel settore bancario, l'allegato I della direttiva NIS 2 (UE) 2022/2555 copre gli enti creditizi ai sensi dell'articolo 4, paragrafo 1, punto 1, del regolamento (UE) n. 575/2013, ossia le imprese la cui attività consiste nel raccogliere depositi o altri fondi rimborsabili dal pubblico e nel concedere crediti per proprio conto. A tal fine non è prescritta alcuna forma giuridica specifica; ciò che conta è unicamente che siate autorizzati come ente creditizio e svolgiate questa attività. Importante: per gli enti creditizi, la DORA (regolamento (UE) 2022/2554) si applica con priorità in quanto lex specialis dal 17 gennaio 2025, sicché gli obblighi operativi di gestione dei rischi e di segnalazione vanno adempiuti ai sensi della DORA anziché della NIS 2. Potete verificare se siete interessati come banca in Sono una banca ai sensi della NIS 2.