Cosa significa davvero 'proporzionato' nell'Art. 21(1) NIS 2
La singola parola più utile in NIS 2 è 'proporzionato'. È la linea tra un'attuazione che un Mittelstand di 60 persone può sostenere e un costo di teatro dell'audit che nessuna Geschäftsführung approverà.
Perché la proporzionalità è la parola portante
La maggior parte dei team affronta l'Art. 21 NIS 2 come una lista di controllo di dieci misure di cybersicurezza. La direttiva non dice questo. Dice che i soggetti devono adottare misure adeguate e proporzionate, e l'Art. 21(1) elenca sei fattori che decidono cosa significhi proporzionato nel tuo caso specifico.
Questo conta in due direzioni. Verso l'alto: consente a uno Stadtwerk di 60 persone di operare senza lo stack GRC di una banca di 5000 persone. Verso il basso: ti costringe a mettere per iscritto perché il tuo livello sia sufficiente. La proporzionalità non è una scappatoia, è una scelta documentata.
I lettori alle prime armi spesso lo trascurano perché la parola suona come una clausola elusiva. È il contrario. La proporzionalità è l'unico ancoraggio giuridico per adattare NIS 2 a un budget Mittelstand, ed è l'unica difesa contro un auditor che suggerisce che avresti dovuto fare di più.
Art. 21(1) NIS 2 (operativo)
Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services.
Lo stesso paragrafo elenca sei fattori che decidono la proporzionalità: il grado di esposizione del soggetto ai rischi, la dimensione del soggetto, la probabilità di occorrenza degli incidenti e la loro gravità, incluso il loro impatto sociale ed economico, lo stato dell'arte e il costo di attuazione. Tutti e sei sono input decisionali, nessuno di essi è facoltativo.
Considerando 79 NIS 2
Cybersecurity risk-management measures should be commensurate with the degree of exposure to risks of the entity concerned and the societal and economic impact that an incident would have.
Il Considerando 79 è il quadro interpretativo. Dice a tribunali e auditor che da un piccolo soggetto con una bassa impronta transfrontaliera non ci si aspetta che eguagli un grande operatore paneuropeo.
CIR 2024/2690, Art. 1
This Regulation lays down the technical and the methodological requirements of the measures referred to in Article 21(2) of Directive (EU) 2022/2555 with regard to the entities listed in the Annex.
Il regolamento di esecuzione quantifica le misure solo per un ristretto insieme di fornitori di infrastruttura digitale (DNS, TLD, cloud, data center, CDN, MSP, MSSP, marketplace, motore di ricerca, piattaforma sociale, servizi fiduciari). Tutti gli altri applicano la proporzionalità senza quelle soglie quantitative.
Grado di esposizione ai rischi
Qual è la reale superficie di minaccia? Un'utility dell'acqua potabile con un solo segmento SCADA è in una posizione diversa da un ospedale con cartelle cliniche su internet aperta.
Dimensione del soggetto
Numero di dipendenti, fatturato, portata di mercato. La direttiva si aspetta controlli diversi da 60 dipendenti e da 6000 dipendenti. Entrambi possono essere conformi.
Probabilità e gravità degli incidenti
Tasso storico di incidenti, interesse degli autori di minacce per il settore, gravità in caso di occorrenza. Un produttore farmaceutico affronta probabilità diverse da un broker logistico.
Impatto sociale ed economico
Chi viene danneggiato quando fallisci. Un operatore di rete elettrica ha una densità di impatto per guasto più alta di un'azienda SaaS B2B. Questo fattore spinge verso misure più pesanti anche in soggetti piccoli.
Stato dell'arte
Qual è la base tecnica che un pari ragionevole adotterebbe. La MFA nel 2026 è stato dell'arte per l'accesso amministrativo; l'archiviazione delle password con SHA-1 non lo è.
Costo di attuazione
Documentato esplicitamente nell'Art. 21(1). Non puoi saltare una misura perché è costosa, ma puoi scegliere una via meno costosa se raggiunge l'obiettivo di sicurezza.
Stadtwerk, 80 dipendenti, distribuzione di energia
Settore dell'Allegato I, rientra nell'ambito indipendentemente dalle dimensioni se fornisce servizi essenziali. Stack proporzionato: MFA su accesso amministrativo e OT, rete OT segmentata, clausole contrattuali scritte con i fornitori, esercitazione annuale sugli incidenti, registro dei rischi documentato. Nessun SOC, nessun SIEM-as-a-service. Difendibile perché l'esposizione è settoriale ma il numero di dipendenti è piccolo.
Ospedale, 200 dipendenti, clinica regionale
Settore sanitario dell'Allegato I. Lo stack proporzionato aggiunge: cifratura dei dati dei pazienti a riposo, audit dei fornitori per i vendor di IT clinico, reperibilità 24/7 per la risposta agli incidenti, policy formale di classificazione degli incidenti. Più pesante dello Stadtwerk perché l'impatto sociale è più alto per guasto e la superficie di minaccia è più ampia.
Un'analisi scritta della proporzionalità
Percorri i sei fattori, dichiara la tua posizione su ciascuno, giustifica perché la profondità delle misure risultanti sia sufficiente. Una pagina è sufficiente per un soggetto di 60 persone.
Una registrazione costi-benefici per ogni passo saltato
Se un soggetto pari fa X e tu non lo fai, documenta perché. Stand der Technik più costo è una ragione legittima. Il silenzio non lo è.
Una revisione annuale
Le decisioni di proporzionalità invecchiano. Il panorama delle minacce si muove, la tua dimensione cambia, la prassi dei pari si sposta. Riformula la tua posizione almeno una volta l'anno.
- Direttiva (UE) 2022/2555 (NIS 2), Art. 21(1) e Considerando 79, www.eur-lex.europa.eu
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), Art. 1, www.eur-lex.europa.eu
- Legge sull'Ufficio federale per la sicurezza nella tecnologia dell'informazione (BSIG), §30 (trasposizione nazionale dell'Art. 21), www.gesetze-im-internet.de
- ENISA Technical Implementation Guidance v1.0 (giugno 2025) sulla valutazione della proporzionalità
Questa pagina fornisce orientamento strutturato basato su fonti pubblicamente disponibili (Direttiva NIS 2, CIR 2024/2690, BSIG, ENISA TIG). Non costituisce consulenza legale ai sensi del §2 RDG. Per casi specifici consulta un avvocato abilitato. Aggiornato al 2026-06-04.