Il nuovo obbligo di sicurezza IT per le aziende tedesche
Se hai cercato 'IT Sicherheitspflicht', stai cercando NIS2. Da dicembre 2025, il BSIG revisionato rende la cybersicurezza un obbligo di legge per circa 29.500 aziende tedesche.
NIS2 è l'obbligo di sicurezza IT di cui hai sentito parlare
In Germania non esiste alcuna 'legge sull'obbligo di sicurezza IT' a sé stante. Ciò che esiste è la Direttiva NIS2 (UE 2022/2555), trasposta nel diritto tedesco tramite il NIS2UmsuCG, che ha riformato la legge federale sulla cybersicurezza (BSIG). Questa è la legge che crea obblighi vincolanti di sicurezza IT per le aziende in 18 settori critici.
Il BSIG è entrato in vigore il 6 dicembre 2025. Richiede alle aziende interessate di implementare 10 specifiche misure di gestione del rischio di cybersicurezza (Sezione 30 BSIG), di registrarsi presso il BSI, di segnalare gli incidenti significativi entro termini rigorosi e di mettere in sicurezza la propria catena di approvvigionamento. La direzione è personalmente responsabile ai sensi della Sezione 38 BSIG di garantire la conformità.
Se la tua azienda ha 50 o più dipendenti o supera i 10 milioni di euro di fatturato annuo e opera in uno dei 18 settori NIS2, questi obblighi si applicano a te fin da ora. Il termine di registrazione era il 6 marzo 2026. L'attuazione di tutte le misure è richiesta entro il 17 ottobre 2026.
Settore
La tua azienda opera in uno dei 18 settori: energia, trasporti, banche, sanità, acqua, infrastruttura digitale, servizi ICT, pubblica amministrazione, spazio, servizi postali, gestione dei rifiuti, prodotti chimici, produzione alimentare, manifatturiero o fornitori digitali.
Numero di dipendenti
Hai 50 o più dipendenti. Ciò segue la definizione UE di PMI e include tutti i dipendenti dell'intero gruppo, non solo l'entità tedesca. I dipendenti a tempo parziale contano in proporzione.
Fatturato annuo
Il tuo fatturato annuo supera i 10 milioni di euro E il tuo totale di bilancio supera i 10 milioni di euro. Se superi la soglia dei dipendenti OPPURE quella finanziaria, rientri nell'ambito.
Servizi critici
Alcuni tipi di soggetto rientrano nell'ambito indipendentemente dalle dimensioni: fornitori di DNS, registri di TLD, prestatori di servizi fiduciari qualificati, operatori KRITIS e fornitori unici di servizi essenziali in una regione.
Registrati presso il BSI
Completa la tua registrazione tramite il portale del BSI (muk.bsi.bund.de). Questo è un obbligo di legge ai sensi della Sezione 33 BSIG con una propria sanzione fino a 500.000 euro. Il portale è attivo da gennaio 2026, e il termine era il 6 marzo 2026. Se l'hai mancato, registrati immediatamente.
Conduci una valutazione del rischio
Identifica i tuoi asset IT critici, valuta i rischi per ciascuno e documenta le decisioni di trattamento. La Sezione 30 BSIG richiede misure di gestione del rischio proporzionate all'esposizione al rischio. Hai bisogno di un inventario degli asset e di una valutazione del rischio strutturata prima di poter implementare le misure.
Implementa 10 misure di sicurezza
La Sezione 30 BSIG definisce 10 ambiti obbligatori: policy di gestione del rischio, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, sicurezza della rete, gestione delle vulnerabilità, igiene di cybersicurezza, crittografia, controllo degli accessi e autenticazione a più fattori. Ogni ambito richiede policy documentate ed evidenze di attuazione.
Imposta la segnalazione degli incidenti
Gli incidenti di cybersicurezza significativi devono essere segnalati al BSI entro 24 ore (allarme tempestivo iniziale), 72 ore (notifica completa) e 1 mese (relazione finale). Definisci cosa significa un incidente significativo per la tua azienda e stabilisci una chiara catena di segnalazione prima che accada qualcosa.
Mantieni la conformità nel tempo
NIS2 non è un progetto una tantum. Hai bisogno di revisioni annuali della valutazione del rischio, di formazione regolare per la direzione (la Sezione 38 BSIG richiede la partecipazione personale), di rivalutazioni dei fornitori e di un monitoraggio continuo degli incidenti. La piattaforma traccia tutte le scadenze e le inoltra automaticamente.
Il quadro sanzionatorio è modellato sul GDPR. I soggetti essenziali rischiano sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo globale. I soggetti importanti rischiano fino a 7 milioni di euro o l'1,4%. Le sole violazioni di registrazione comportano sanzioni fino a 500.000 euro. Il BSI ha poteri di applicazione e può ordinare la conformità o limitare le operazioni.
Oltre alle sanzioni, la Sezione 38 BSIG crea una responsabilità personale per la direzione. I dirigenti devono approvare le misure di cybersicurezza, sovrintendere all'attuazione e completare la formazione. Sono responsabili verso la propria azienda per le violazioni colpose. Questa responsabilità non può essere derogata per contratto. Sostenere di non aver compreso la cybersicurezza non costituisce esplicitamente una difesa.
Domande frequenti
NIS2 è la stessa cosa dell'obbligo di sicurezza IT di cui sento parlare?
Sì. Non esiste una legge separata 'IT Sicherheitspflicht'. NIS2 è la direttiva UE che è stata trasposta nel diritto tedesco come BSIG revisionato tramite il NIS2UmsuCG. Quando si parla di nuovi obblighi di sicurezza IT per le aziende tedesche, si intende questa legge. È in vigore dal 6 dicembre 2025.
Siamo un'azienda manifatturiera di 60 persone. Questo si applica davvero a noi?
Molto probabilmente sì. Il manifatturiero è elencato nell'Allegato II di NIS2 (che copre la produzione di dispositivi medici, elettronica, apparecchiature elettriche, macchinari, autoveicoli e altre attrezzature di trasporto). Con 60 dipendenti, superi la soglia dei 50 dipendenti. Saresti classificato come 'soggetto importante' ai sensi della Sezione 28(2) BSIG, e tutti gli obblighi NIS2 si applicano.
Il termine di registrazione è scaduto. Cosa dovremmo fare?
Registrati immediatamente. Il portale del BSI all'indirizzo muk.bsi.bund.de accetta ancora registrazioni. Una registrazione tardiva è meglio di nessuna registrazione. La sanzione per la mancata registrazione è fino a 500.000 euro, ma il BSI valuta la buona fede. Un'azienda che si registra con qualche settimana di ritardo e può dimostrare di aver lavorato attivamente alla conformità è in una posizione enormemente migliore rispetto a una che non ha fatto nulla.
Il nostro fornitore IT esterno può gestire la conformità NIS2 per noi?
Possono aiutare a implementare le misure tecniche, ma l'obbligo di legge resta in capo alla tua azienda. La Sezione 30 BSIG afferma esplicitamente che puoi esternalizzare le operazioni ma non la responsabilità. La tua direzione resta personalmente responsabile ai sensi della Sezione 38 BSIG. Devi documentare cosa fa il tuo fornitore IT, verificare le sue misure di sicurezza e includerlo nel tuo processo di gestione dei fornitori.
Quanto costa la conformità NIS2 per un'azienda mid-market?
Per un'azienda da 50 a 250 dipendenti, aspettati di spendere tra 20.000 e 80.000 euro nel primo anno, a seconda della tua attuale maturità in materia di sicurezza. Ciò include la valutazione del rischio, la documentazione delle policy, i miglioramenti tecnici e la formazione. Le aziende che hanno già misure di sicurezza IT di base sono nella fascia bassa. Il costo annuo continuativo cala significativamente dopo il primo anno, perché la maggior parte del lavoro è di setup, non di manutenzione.