NIS2 e IT-Grundschutz
Il §44(2) BSIG offre una scorciatoia giuridica: l'attuazione dell'IT-Grundschutz è riconosciuta in Germania come prova della conformità NIS2.
La catena giuridica
Le aziende tedesche godono di un vantaggio unico rispetto alle loro omologhe europee in materia di conformità NIS2. Mentre le aziende in Francia, Italia o nei Paesi Bassi devono lavorare direttamente sulla direttiva NIS2 e sul regolamento di esecuzione dell'UE, le aziende tedesche possono avvalersi dell'IT-Grundschutz, una metodologia consolidata, mantenuta dal BSI, che è stata lo standard per la sicurezza delle informazioni in Germania per oltre 25 anni.
Il §44(2) BSIG offre la scorciatoia giuridica: le aziende che attuano l'IT-Grundschutz possono utilizzarlo come prova della conformità NIS2. Non si tratta di un orientamento informale. È codificato nella legge federale sulla cybersicurezza. Il BSI stesso sviluppa e mantiene sia il framework Grundschutz sia il regime di applicazione NIS2, garantendo l'allineamento per progettazione.
Questa pagina mappa l'intera catena giuridica dalla direttiva NIS2 dell'UE attraverso il recepimento tedesco fino alla metodologia di attuazione pratica. Comprendere questa catena è essenziale per qualsiasi responsabile della conformità: indica esattamente quali requisiti provengono da dove, perché esistono e come soddisfarli con prove documentate.
Direttiva NIS2
Direttiva UE 2022/2555, il framework di cybersicurezza valido in tutta l'UE
BSIG
Legge federale tedesca sulla cybersicurezza, recepisce NIS2 nel diritto tedesco
CIR 2024/2690
Regolamento di esecuzione dell'UE, definisce le misure tecniche minime
IT-Grundschutz
Metodologia del BSI, il framework tedesco consolidato per attuare queste misure
Il §44(2) BSIG stabilisce che la conformità ai requisiti del §30 BSIG può essere dimostrata attraverso l'attuazione di standard riconosciuti, e fa esplicito riferimento all'IT-Grundschutz come uno di tali standard. Ciò significa che, se si attua il Grundschutz secondo la metodologia BSI-200-1 fino a BSI-200-4, si dispone di una base giuridicamente riconosciuta per affermare la conformità NIS2. Non è una carta del tipo 'esci gratis di prigione' (servono comunque le prove), ma fornisce una metodologia chiara e approvata dal BSI da seguire.
In pratica, ciò significa che non è necessario interpretare la direttiva NIS2 o il CIR 2024/2690 da zero. Il Grundschutz Kompendium mappa già i requisiti tecnici su specifici Bausteine (moduli) e Anforderungen (requisiti). Quando il BSI verifica la vostra conformità NIS2, sta verificando rispetto a una metodologia che esso stesso ha creato, non rispetto a una direttiva UE astratta. Questo allineamento elimina il divario interpretativo che affligge le aziende negli altri Stati membri dell'UE.
Per gli auditor del BSI, l'attuazione del Grundschutz è terreno familiare. Verificano il Grundschutz da decenni. Ciò significa efficienza dell'audit: gli auditor sanno esattamente quali prove aspettarsi, la terminologia è standardizzata e la metodologia è documentata in tedesco. Confrontatelo con il difendere un approccio di conformità ad hoc rispetto al CIR in lingua inglese. Il vantaggio pratico è significativo.
Il CIR 2024/2690 (regolamento di esecuzione della Commissione) è stato pubblicato il 17 ottobre 2024 e stabilisce i requisiti tecnici e metodologici per la conformità NIS2 in tutta l'UE. Si applica direttamente (non è necessario alcun recepimento) e definisce le misure minime che tutti i soggetti essenziali e importanti devono attuare. Questo è il pavimento, non il soffitto.
Il CIR vincola direttamente solo 11 tipi specifici di soggetti digitali: fornitori di servizi DNS, registri dei nomi di dominio di primo livello (TLD), servizi di cloud computing, fornitori di servizi di data center, reti di distribuzione dei contenuti, servizi gestiti, servizi di sicurezza gestiti, mercati online, motori di ricerca online, piattaforme di social network e prestatori di servizi fiduciari. Tuttavia, il §30 BSIG impone indipendentemente le stesse 10 misure (art. 21(2) NIS-2) a tutti i settori coperti da NIS2 in Germania, cosicché il dettaglio tecnico del CIR diventa il riferimento de facto anche al di fuori del suo ambito diretto.
Il Grundschutz Kompendium copre ogni area di misura del CIR e va oltre attraverso i suoi Bausteine. Laddove il CIR dice brevemente 'attuare il controllo degli accessi', il Grundschutz specifica esattamente come, per esempio attraverso moduli come ORP.4 (Identity and Access Management) con indicazioni di attuazione passo dopo passo. È per questo che il §44(2) BSIG riconosce il Grundschutz: è un superinsieme delle aree di misura del CIR, non solo un equivalente.
Riconoscimento da parte del BSI
L'IT-Grundschutz è esplicitamente richiamato nel §44(2) BSIG come standard riconosciuto per dimostrare la conformità NIS2. La certificazione ISO 27001 può supportare la vostra posizione, ma non è specificamente nominata nella legge. Quando il BSI è sia l'autore del framework sia l'autorità di applicazione, l'allineamento conta.
Copertura dei requisiti
Il Grundschutz copre ogni area di misura del CIR 2024/2690 attraverso i Bausteine del suo Kompendium e va oltre in modo prescrittivo. La ISO 27001 copre la gestione della sicurezza delle informazioni in modo ampio, ma non affronta specificamente tutte le misure del §30 BSIG, in particolare le tempistiche di notifica degli incidenti specifiche di NIS2 (§32 BSIG), i requisiti relativi alla catena di approvvigionamento (§30(2)(4) BSIG) e gli obblighi dell'organo di gestione (§38 BSIG). Servirebbe la ISO 27001 più ulteriori interventi per colmare le lacune.
Lingua e metodologia
Il Grundschutz è sviluppato in tedesco, dal BSI, per organizzazioni tedesche. La terminologia corrisponde esattamente al BSIG. La ISO 27001 è uno standard internazionale pubblicato in inglese, con una terminologia diversa e una metodologia meno prescrittiva. Per un'azienda del Mittelstand tedesco di 100 persone, le indicazioni di attuazione concrete e in lingua tedesca del Grundschutz sono significativamente più pratiche degli obiettivi di controllo astratti della ISO 27001.
Vantaggio in fase di audit
Quando il BSI verifica la vostra conformità NIS2, presentare prove strutturate secondo il Grundschutz significa che l'auditor parla la vostra lingua. La metodologia, la struttura della documentazione e le aspettative sulle prove sono standardizzate. Questo si traduce in audit più rapidi, meno fraintendimenti ed esiti più chiari.
Allineamento con il BSI
Il BSI pubblica il Grundschutz Kompendium, applica la conformità NIS2 e può ispezionare la vostra attuazione nell'ambito dei suoi poteri di vigilanza (§61 BSIG); la certificazione formale è svolta da auditor accreditati dal BSI. Utilizzare la metodologia propria del BSI assicura che la vostra interpretazione dei requisiti corrisponda a quella del regolatore. Non c'è alcun divario interpretativo: la stessa organizzazione che definisce le regole fornisce anche il manuale operativo.
Certezza giuridica
Il §44(2) BSIG conferisce all'attuazione del Grundschutz un riconoscimento giuridico esplicito come prova di conformità. È la posizione giuridica più solida disponibile: state seguendo la metodologia riconosciuta dalla legge stessa. In caso di contestazione, potete richiamarvi a una specifica disposizione di legge che convalida il vostro approccio, non solo alle migliori prassi del settore o all'opinione di un consulente.