Art. 23(4)(a) NIS 2 + §32 BSIG + §121 BGB

Cosa significa davvero 'senza indebito ritardo' sull'orologio delle 24 ore di NIS 2

L'Art. 23(4)(a) NIS 2 ha due timer, non uno. Conoscerne la differenza è la differenza tra difendere un allarme tempestivo presentato in tempo e affrontare una sanzione evitabile ai sensi del §65 BSIG.

Simon OrzelSimon Orzel·

Perché la formulazione conta

L'Art. 23(4)(a) NIS 2 dice che l'allarme tempestivo è dovuto 'senza indebito ritardo e in ogni caso entro 24 ore' dal momento in cui si viene a conoscenza di un incidente significativo. Due timer, non uno. La cifra delle 24 ore è un limite massimo invalicabile; il dovere operativo è la prima frase.

Nella pratica ciò significa: una notifica che arriva all'ora 23 può comunque essere in ritardo se il soggetto avrebbe ragionevolmente potuto presentarla all'ora 4. 'Ragionevolmente' è ciò che gli auditor verificano a posteriori.

I lettori alle prime armi si fissano sul numero delle 24 ore e perdono la struttura giuridica. Comprendere entrambi gli orologi è la difesa più economica che puoi preparare in anticipo rispetto a un incidente.

Dove risiede la struttura
Un articolo operativo, una trasposizione, un considerando.

Art. 23(4)(a) NIS 2

Where applicable, an early warning, which, without undue delay and in any event within 24 hours of becoming aware of the significant incident, shall indicate whether the significant incident is suspected of being caused by unlawful or malicious acts or could have a cross-border impact.

Due timer esplicitamente nominati nella stessa frase. 'Senza indebito ritardo' è il dovere operativo; '24 ore' è il limite esterno. A far scattare il dovere è la consapevolezza, non il rilevamento.

§32(1) Nr. 1 BSIG

Wesentliche und wichtige Einrichtungen melden dem Bundesamt erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung als frühe Erstmeldung.

La trasposizione tedesca usa 'unverzüglich' per 'senza indebito ritardo'. 'Unverzüglich' è un termine giuridico definito nel §121(1) BGB, ossia 'ohne schuldhaftes Zögern', senza colpevole indugio. Quella definizione importa un intero corpo di giurisprudenza tedesca nel dovere di segnalazione di NIS 2.

Considerando 102 NIS 2 (contesto)

In order to determine the reporting obligations, the timeline of the notification and the format of the notification, the assessment of the impact of the incident should be considered.

Il Considerando 102 è l'indizio interpretativo: la tempistica della notifica non è scollegata dalla ragionevole valutazione del soggetto. Non ci si aspetta che tu presenti prima di avere le informazioni; ci si aspetta che tu presenti non appena ragionevolmente possibile.

I due orologi, in linguaggio chiaro
Entrambi partono dal momento della consapevolezza. Entrambi devono essere rispettati. Non sono alternativi.

Orologio 1: senza indebito ritardo

Il dovere operativo. Il soggetto deve notificare non appena ragionevolmente possibile dopo esserne venuto a conoscenza. 'Ragionevole' concede tempo per confermare i fatti ed effettuare l'escalation interna; non concede di accorpare per comodità né di aspettare l'inizio della giornata lavorativa.

Orologio 2: in ogni caso entro 24 ore

Il limite massimo invalicabile. Qualunque cosa significhi 'ragionevole' nel caso specifico, l'allarme tempestivo non può essere più tardi di 24 ore dalla consapevolezza. Oltre quel limite, il soggetto è in violazione anche con una giustificazione perfetta.

Innesco: la consapevolezza

Non il rilevamento tecnico. La consapevolezza in termini giuridici è quando il soggetto, agendo ragionevolmente, sapeva o avrebbe dovuto sapere. Un avviso SIEM lasciato non letto in una coda può già contare come consapevolezza per il soggetto se un SOC operante ragionevolmente lo avrebbe letto.

Cosa 'senza indebito ritardo' consente e cosa non consente
Tre regole tratte dalla giurisprudenza tedesca su 'unverzüglich' e dalle linee guida ENISA TIG.

Consentito: tempo per confermare

Non devi presentare prima di avere informazioni significative. Alcune ore per fare triage, confermare l'ambito ed escludere i falsi positivi sono ragionevoli. La direttiva non penalizza una verifica responsabile.

Consentito: tempo per l'escalation

L'escalation interna lungo la catena di risposta agli incidenti, con l'approvazione del responsabile designato della segnalazione, fa parte del normale iter dovuto. Un'escalation di due ore in orario lavorativo è ragionevole; un'attesa di 20 ore perché l'amministratore delegato rientri dalle ferie non lo è.

Non consentito: accorpamento per comodità

Aspettare di combinare più incidenti sospetti, aspettare l'orario d'ufficio quando l'incidente è avvenuto alle 22:00, aspettare che si delinei una strategia di comunicazione. Nessuna di queste è una ragione che sopravviva a un audit. 'Unverzüglich' tollera la verifica, non il ritardo per la comodità del soggetto.

Esempio concreto: payload ransomware alle 14:00
Percorriamo quando parte ciascun orologio e cosa significa ragionevole in un caso concreto.

14:00: il SOC rileva attività di cifratura su un file server

Rilevamento tecnico. Non ancora consapevolezza giuridica se il SOC sta indagando. Il soggetto è messo in allerta ma non si è ancora formato la convinzione che un incidente sia significativo.

15:30: incidente confermato come ransomware, ambito parzialmente chiaro

La consapevolezza sorge ora al più tardi. Entrambi gli orologi partono. Il limite esterno delle 24 ore scade alle 15:30 del giorno successivo. Il dovere 'senza indebito ritardo' si attiva immediatamente.

16:45: allarme tempestivo inviato

75 minuti dopo la conferma. Difendibile come 'senza indebito ritardo' se il soggetto ha usato il tempo per verificare e per effettuare l'escalation interna al responsabile designato della segnalazione. La notifica include i due elementi di contenuto obbligatori dell'Art. 23(4)(a): sospetta causa dolosa e valutazione dell'impatto transfrontaliero.

Cosa cercano gli auditor nel tuo registro cronologico

Quando il BSI o un'autorità nazionale competente verifica un incidente a posteriori, il documento di interesse è il registro cronologico del soggetto stesso. Sono attese tre colonne: ora dell'evento, cosa si sapeva in quel momento, quale azione è stata intrapresa.

L'audit pone una sola domanda: in ciascun punto della cronologia, il passo successivo era ragionevole dato ciò che si sapeva. Un registro pulito con azioni prudenti difende la tempistica della notifica. Un registro scarno invita l'auditor a presumere il peggio.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), Art. 23(4)(a), Considerando 102, www.eur-lex.europa.eu
  • Legge sull'Ufficio federale per la sicurezza nella tecnologia dell'informazione (BSIG), §32, www.gesetze-im-internet.de
  • Bürgerliches Gesetzbuch (BGB), §121(1): definizione di 'unverzüglich'
  • ENISA Technical Implementation Guidance v1.0 (giugno 2025), §5 sulla documentazione cronologica degli incidenti

Questa pagina fornisce orientamento strutturato basato su fonti pubblicamente disponibili (Direttiva NIS 2, BSIG, BGB, ENISA TIG). Non costituisce consulenza legale ai sensi del §2 RDG. Se uno specifico ritardo sia 'indebito' in un caso particolare è una questione giuridica per un avvocato abilitato. Aggiornato al 2026-06-04.

Esercitati sulla cronologia prima di un incidente
Il modulo incidenti della piattaforma registra gli eventi cronologici con marche temporali e approvazioni decisionali, così il registro di audit si scrive da solo.