Art. 21 NIS 2 + §30 BSIG + BSI 200-1

Cos'è un ISMS e ne ho bisogno per NIS 2?

Un ISMS non è un software. È il modo in cui la tua organizzazione decide, gestisce e migliora i propri controlli di sicurezza. NIS 2 non usa mai la parola, ma l'Art. 21(2) richiede esattamente ciò che un ISMS fa.

Simon OrzelSimon Orzel·

Perché si sbaglia su questo

ISMS è una delle parole più abusate nelle conversazioni su NIS 2. La confusione più comune è trattarlo come uno strumento da acquistare. Non lo è. Un ISMS è il modo in cui un'organizzazione gestisce la sicurezza delle informazioni: come si decidono le policy, come si valutano i rischi, come si scelgono i controlli, come si gestiscono gli incidenti, come tutto ciò viene rivisto.

NIS 2 stesso non usa mai 'ISMS' come termine. La direttiva parla di 'policy', 'misure', 'gestione del rischio' e 'governance'. L'Art. 21(2) elenca dieci requisiti che insieme descrivono esattamente ciò che un ISMS fa. La ISO 27001 chiama questa stessa cosa 'un sistema di gestione della sicurezza delle informazioni'. IT-Grundschutz la chiama 'Informationssicherheitsmanagementsystem'. La sostanza è identica.

La domanda pratica non è se hai un ISMS ma quanto peso ha. Un Mittelstand di 60 persone che funziona con una policy di una pagina più un piccolo registro dei rischi più una riunione di revisione annuale può soddisfare NIS 2. Una banca di 6000 persone no. Entrambi gestiscono un ISMS; uno è semplicemente più pesante dell'altro.

Dove NIS 2 lo richiede senza nominarlo
Tre agganci testuali. Due nella direttiva, uno in IT-Grundschutz che operazionalizza entrambi.

Art. 21(1) e 21(2) NIS 2

Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks. The measures shall include at least the following: policies on risk analysis and information system security; incident handling; business continuity; supply chain security; security in network and information systems acquisition; policies and procedures to assess the effectiveness of cybersecurity risk-management measures; basic cyber hygiene practices and training; cryptography; human resources security, access control policies and asset management; use of multi-factor authentication.

Letti insieme, i dieci punti descrivono un sistema di gestione. 'Policy', 'procedure', 'valutare l'efficacia' — sono verbi da ISMS. NIS 2 non richiede la certificazione ISO 27001, ma richiede la sostanza che la ISO 27001 copre.

§30 BSIG (trasposizione tedesca dell'Art. 21)

Wesentliche und wichtige Einrichtungen ergreifen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der von ihnen für die Erbringung ihrer Dienste genutzten informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.

La trasposizione tedesca usa 'geeignete, verhältnismäßige und wirksame' — adeguate, proporzionate ed efficaci. Efficaci è la parola che rende necessario il sistema di gestione: puoi dimostrare l'efficacia solo se misuri e rivedi.

BSI IT-Grundschutz BSI 200-1, §3

Ein Informationssicherheitsmanagementsystem (ISMS) ist die Gesamtheit der Regelungen, die zur Steuerung und Überwachung der Aufgaben des Informationssicherheitsmanagements in einer Organisation dienen.

La più breve definizione giuridica di un ISMS in tedesco. È l'insieme delle regole che governano come la sicurezza delle informazioni viene guidata e sorvegliata. Non uno strumento, non un progetto, non un audit una tantum. Un modo di lavorare.

Quattro elementi che rendono un ISMS un ISMS
Che tu lo chiami ISMS, ISO 27001, IT-Grundschutz o 'il nostro programma di sicurezza', quattro elementi devono essere presenti.

Ambito definito

Quali parti dell'organizzazione copre l'ISMS, quali sono i confini, cosa è esplicitamente escluso. Senza un ambito, ogni conversazione va alla deriva.

Policy documentata

Una policy scritta di sicurezza delle informazioni firmata dall'organo di amministrazione. Una pagina è sufficiente per un piccolo soggetto. Impegna l'organizzazione a principi specifici e assegna la responsabilità.

Decisioni basate sul rischio

I controlli sono scelti perché affrontano rischi identificati, non perché compaiono in una lista di controllo. Il registro dei rischi è il collegamento dall'inventario al controllo.

Revisione periodica

Almeno annuale. L'organo di amministrazione esamina cosa ha funzionato, cosa no, cosa è cambiato nel panorama delle minacce. Un ISMS statico non è un ISMS, è un'istantanea.

Tre cose che un ISMS non è
La maggior parte dei malintesi guidati dall'approvvigionamento nasce da uno di questi.

Non uno strumento software

Gli strumenti supportano un ISMS, non lo sostituiscono. Puoi gestire un ISMS adeguato in un raccoglitore; non puoi sostituire le decisioni di governance con un abbonamento SaaS.

Non un progetto una tantum

Impostare l'ISMS è un progetto. Gestirlo è un lavoro continuativo. La revisione annuale è il momento che trasforma il deliverable di un progetto in un sistema.

Non la stessa cosa di un audit

Gli audit verificano se l'ISMS funziona. Non costituiscono l'ISMS. Un audit senza un sistema di gestione sottostante non ha nulla da verificare.

Hai bisogno di un ISMS per NIS 2?

Se il tuo soggetto rientra nell'ambito di NIS 2, la sostanza di un ISMS è richiesta indipendentemente da come lo chiami. Senza una policy documentata, decisioni basate sul rischio e un ciclo di revisione, non puoi dimostrare che le misure ai sensi dell'Art. 21(2) siano 'adeguate, proporzionate ed efficaci' come richiede il §30 BSIG.

Ciò che non è richiesto è la certificazione ISO 27001. Molti auditor se la aspettano perché è la prova più riconosciuta, ma un ISMS costruito in proprio allineato a IT-Grundschutz o a uno standard settoriale è altrettanto valido. Scegli lo standard che puoi sostenere, non quello che appare più imponente su una slide.

Costruisci un ISMS minimale in quattro artefatti
Quattro documenti sono il pavimento assoluto per un Mittelstand di 60 persone. Ciascuno sta in una pagina.

1. Dichiarazione di ambito

Quali entità giuridiche, quali sedi, quali servizi sono coperti. Un paragrafo firmato dall'organo di amministrazione.

2. Policy di sicurezza delle informazioni

Da cinque a sette principi. Esempi: classificare i dati per sensibilità, limitare l'accesso amministrativo a persone nominate, formare tutto il personale annualmente, segnalare gli incidenti entro i termini concordati, rivedere i rischi annualmente.

3. Registro dei rischi

Una riga per ogni rischio identificato. Descrizione, probabilità, impatto, decisione di trattamento, titolare, data di revisione. Da dieci a venti righe per un piccolo soggetto.

4. Programma di revisione

Un documento che stabilisce che l'organo di amministrazione rivede l'ISMS una volta l'anno, chi partecipa, quali evidenze vengono presentate. Senza questo, l'ISMS è decorazione.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), Art. 21(1) e 21(2), www.eur-lex.europa.eu
  • Legge sull'Ufficio federale per la sicurezza nella tecnologia dell'informazione (BSIG), §30, www.gesetze-im-internet.de
  • BSI IT-Grundschutz Standard BSI 200-1, §3 (definizione di ISMS), www.bsi.bund.de
  • ISO/IEC 27001:2022 (standard ISMS internazionale, volontario ai sensi di NIS 2)

Questa pagina fornisce orientamento strutturato basato su fonti pubblicamente disponibili (Direttiva NIS 2, BSIG, BSI IT-Grundschutz, ISO/IEC 27001). Non costituisce consulenza legale ai sensi del §2 RDG. Per casi specifici consulta un avvocato abilitato. Aggiornato al 2026-06-04.

Inizia con i quattro artefatti minimali
La piattaforma produce modelli modificabili di ambito, policy, registro dei rischi e programma di revisione, calibrati sui requisiti NIS 2.
Accedi alla piattaforma