§1 BSIG + Art. 8 NIS 2

Cos'è il BSI?

Autorità federale superiore alle dipendenze del Ministero federale dell'Interno, istituita ai sensi del §1 BSIG. Ai sensi di NIS 2 è l'autorità competente, il punto unico di notifica e il gestore del CSIRT nazionale.

Simon OrzelSimon Orzel·

Cos'è

Chiunque si occupi di NIS 2 in Germania per la prima volta finisce per arrivare al BSI. L'Ufficio federale per la sicurezza informatica ha sede a Bonn, esiste dal 1991 e, ai sensi del §1 BSIG, è l'autorità federale per la cibersicurezza. In pratica significa: qualunque cosa tu debba segnalare, registrare o dimostrare ai sensi di NIS 2 finisce per passare attraverso il BSI.

Ciò che confonde molti lettori alle prime armi: ai sensi di NIS 2 il BSI non ha un solo ruolo ma quattro. È l'autorità competente ai sensi dell'Art. 8 NIS 2, il punto unico a cui notifichi gli incidenti significativi ai sensi del §32 BSIG, l'organismo presso cui ti registri ai sensi del §33 BSIG e il gestore del CSIRT nazionale (CERT-Bund) ai sensi dell'Art. 10 NIS 2. Quattro interfacce, un'unica autorità.

In pratica incontri il BSI in tre punti di contatto: registrazione, notifica degli incidenti e vigilanza. Ciò che il BSI non fa: consulenza legale sul caso specifico, certificazione ISO 27001 o consulenza per l'attuazione. Il lavoro di attuazione resta a tuo carico, internamente o con supporto esterno.

Base giuridica
L'istituzione e i compiti del BSI sono stabiliti nel BSIG. Le sue competenze ai sensi di NIS 2 sono strutturate dalla legge di attuazione di NIS 2 e di rafforzamento della cibersicurezza.

§1 BSIG (istituzione)

La Federazione mantiene, quale autorità federale superiore nell'ambito del portafoglio del Ministero federale dell'Interno, dell'Edilizia e della Comunità, l'Ufficio federale per la sicurezza informatica.

Autorità federale superiore indipendente significa che il BSI è organizzativamente separato ma soggetto alla vigilanza tecnica e di servizio del Ministero federale dell'Interno. Non agisce come un ministero né come un tribunale.

§3 BSIG (compiti)

L'Ufficio federale promuove la sicurezza informatica. A tal fine svolge i seguenti compiti: difesa dalle minacce alla sicurezza della tecnologia informatica federale, raccolta e valutazione di informazioni sui rischi di sicurezza, consulenza e allerta, definizione di standard minimi.

Il catalogo del §3 BSIG è ampio. Per NIS 2 i compiti più rilevanti sono la consulenza e l'allerta, la definizione di standard minimi e il supporto alle autorità competenti nelle indagini sugli incidenti di sicurezza.

Art. 8 NIS 2 (autorità competenti) + §32, §33 BSIG

Gli Stati membri designano una o più autorità competenti responsabili della cibersicurezza. Essi garantiscono che tali autorità competenti vigilino sull'applicazione della presente direttiva a livello nazionale.

La Germania ha designato il BSI quale autorità competente ai sensi dell'Art. 8 NIS 2. Le notifiche passano attraverso il §32 BSIG e le registrazioni attraverso il §33 BSIG.

Cosa fa il BSI ai sensi di NIS 2 in concreto
Cinque ruoli che toccano ogni soggetto direttamente o indirettamente.

Autorità di registrazione

Ti registri tramite il portale del BSI ai sensi del §33 BSIG. Tre mesi dal momento in cui rientri per la prima volta nell'ambito di NIS 2. Dati obbligatori: dati anagrafici, settore, referente, ambito di attività, classe dimensionale.

Punto unico di notifica

Notifichi gli incidenti significativi ai sensi del §32 BSIG tramite il punto unico di notifica del BSI. Preallarme entro 24 ore, notifica di follow-up entro 72 ore, relazione finale entro un mese. Entrambi i termini decorrono dal momento in cui ne vieni a conoscenza.

CSIRT nazionale (CERT-Bund)

CERT-Bund è il CSIRT nazionale della Germania ai sensi dell'Art. 10 NIS 2. Riceve le notifiche di incidente, coordina la risposta e scambia informazioni con gli altri Stati membri nella rete di CSIRT dell'UE.

Vigilanza

La vigilanza sui soggetti NIS 2 è ancorata nel BSIG. Il BSI può richiedere informazioni, ordinare audit ed emanare direttive. Le sanzioni sono irrogate ai sensi del §65 BSIG.

Centro di informazione e allerta

Rapporti sulla situazione, avvisi di sicurezza, standard minimi tecnici: il BSI pubblica in continuo. L'Alleanza per la cibersicurezza e UP KRITIS aggiungono indicazioni pratiche.

Cosa il BSI non è
Tre malintesi comuni al primo contatto.

Non una fonte di consulenza legale individuale

Indicazioni generali e standard minimi: sì. Valutazione giuridica della tua fattispecie specifica: no. Per quello ti serve un avvocato.

Non un organismo di certificazione ISO 27001

Il BSI non rilascia certificati ISO 27001. Ciò che il BSI gestisce sono i propri schemi di certificazione, ad esempio IT-Grundschutz e Common Criteria. Sono indipendenti da ISO.

Non un consulente per l'attuazione

Il BSI ispeziona e vigila, non attua per tuo conto. Il lavoro operativo di NIS 2 avviene all'interno del tuo soggetto, con le tue persone o con consulenza esterna.

Nota pratica

Nelle conversazioni con i gruppi dirigenti che si avvicinano a NIS 2 per la prima volta emergono due domande: cosa devo segnalare, cosa devo registrare. Le risposte sono nei §32 e §33 BSIG. Entrambi passano attraverso il portale del BSI, entrambi richiedono un certificato organizzativo ELSTER come credenziale di accesso.

Il centro informativo principale resta bsi.bund.de. Il portale di segnalazione vero e proprio ha un proprio indirizzo ed è collegato da lì. I lettori alle prime armi tendono a confondere i due.

Fonti
  • Legge sull'Ufficio federale per la sicurezza informatica (BSIG), in particolare §§1, 3, 32, 33, 65, www.gesetze-im-internet.de
  • Direttiva (UE) 2022/2555 (NIS 2), Art. 8, 10, 23, 27, www.eur-lex.europa.eu
  • Sito web del BSI: www.bsi.bund.de
  • Legge di attuazione di NIS 2 e di rafforzamento della cibersicurezza (NIS2UmsuCG)

Questa pagina fornisce una guida strutturata basata su fonti pubblicamente disponibili (Direttiva NIS 2, BSIG, pubblicazioni del BSI). Non costituisce consulenza legale ai sensi del §2 RDG. Per i casi specifici consulta un avvocato abilitato. Aggiornato al 2026-06-04.

Sei un soggetto essenziale o importante?
La verifica di applicabilità gratuita chiarisce in pochi minuti se NIS 2 si applica a te e quali obblighi hai nei confronti del BSI.