Come prepararsi a un audit del BSI ai sensi del §64 e del §65 BSIG
L'articolo 32 NIS2 dà a ogni autorità di vigilanza un kit di strumenti definito. Il §64 BSIG lo copia nel diritto tedesco. Questa pagina percorre la scala probatoria a quattro gradini che il BSI utilizza, più ciò a cui un soggetto essenziale, un soggetto importante e un operatore KRITIS devono ciascuno essere pronti.
La versione breve
Un audit del BSI non è un evento unico. L'articolo 32 NIS2 elenca un insieme definito di poteri di vigilanza per i soggetti essenziali: ispezioni in loco, audit di sicurezza mirati da parte di un organismo indipendente, audit ad hoc quando vi è un motivo giustificato, scansioni di sicurezza, e richieste scritte di informazioni e documenti. Il BSI sale lungo quella scala.
Il §64 BSIG traspone tali poteri nel diritto tedesco come Auskunfts- und Unterlagenanforderung, Vor-Ort-Prüfung e technische Untersuchung. Il §61 BSIG stabilisce i poteri di vigilanza circostanti. Il §65 BSIG è dove risiedono le sanzioni. Le sanzioni arrivano fino a dieci milioni di euro o al due percento del fatturato del gruppo per i soggetti essenziali e a sette milioni o all'uno virgola quattro percento per i soggetti importanti, rispecchiando l'articolo 34 NIS2.
La maggior parte degli audit non arriva mai al passaggio in loco. Una documentazione pulita, un organo di direzione in grado di risponderne, e un piano scritto di trattamento per le lacune note chiudono l'audit al gradino uno o due. Questa pagina percorre la scala, il testo giuridico che vi sta dietro, e le tre trappole che trasformano un audit cartaceo in una visita in loco.
Articolo 32 Direttiva NIS2 (2022/2555)
Gli Stati membri provvedono affinché le misure di vigilanza imposte ai soggetti essenziali ai fini della presente direttiva siano effettive, proporzionate e dissuasive, tenuto conto delle circostanze di ciascun singolo caso. Nell'esercizio dei loro poteri di vigilanza nei confronti dei soggetti essenziali, le autorità competenti hanno il potere di assoggettare tali soggetti a: a) ispezioni in loco e vigilanza a distanza, comprese verifiche casuali, condotte da professionisti qualificati; b) audit di sicurezza periodici e mirati svolti da un organismo indipendente o da un'autorità competente; c) audit ad hoc, anche se giustificati a motivo di un incidente significativo o di una violazione della presente direttiva da parte del soggetto essenziale; d) scansioni di sicurezza basate su criteri di valutazione del rischio obiettivi, non discriminatori, equi e trasparenti, se necessario con la cooperazione del soggetto interessato; e) richieste di informazioni necessarie per valutare le misure di gestione dei rischi di cybersicurezza adottate dal soggetto interessato.
L'articolo 32 fissa il kit di strumenti ex ante per i soggetti essenziali. L'articolo 33 lo rispecchia per i soggetti importanti ma come vigilanza ex post, vale a dire che il BSI può agire solo quando ha indizi di non conformità. L'articolo 34 fissa i massimali sanzionatori che il BSIG copia.
Regolamento di esecuzione (UE) 2024/2690 della Commissione, Allegato
Ai fini dell'articolo 21(2) della direttiva (UE) 2022/2555, i soggetti interessati stabiliscono, attuano e applicano una politica di sicurezza dei sistemi informatici e di rete [...] e il quadro di gestione del rischio [...] che affronta i rischi per la sicurezza dei sistemi informatici e di rete.
L'Allegato della CIR è ciò a fronte di cui un auditor verifica effettivamente. Specifica cosa devono contenere la gestione del rischio, la sicurezza della catena di approvvigionamento, il trattamento degli incidenti, la continuità operativa, la formazione, la crittografia, il controllo degli accessi e le altre misure dell'articolo 21(2). La direttiva dà al BSI il diritto di guardare. L'Allegato della CIR fissa l'asticella.
§64 BSIG (Germania)
Das Bundesamt kann die zur Erfüllung seiner Aufgaben erforderlichen Informationen einschließlich personenbezogener Daten verarbeiten. Es kann insbesondere Auskünfte und die Übermittlung von Unterlagen verlangen, Räume, Grundstücke und Anlagen besonders wichtiger und wichtiger Einrichtungen während der üblichen Geschäftszeiten betreten und besichtigen sowie Prüfungen, einschließlich technischer Untersuchungen, vornehmen.
Il §64 BSIG dà al BSI tre poteri operativi: chiedere documenti, entrare nei tuoi uffici durante l'orario di lavoro, condurre un'ispezione tecnica. Il §61 BSIG fissa il più ampio mandato di vigilanza. Il §65 BSIG fissa le sanzioni, con i massimali dell'articolo 34 riportati direttamente. Gli operatori KRITIS hanno un ulteriore obbligo probatorio triennale ai sensi del §29 BSIG.
Richiesta di documentazione e walkthrough
Il gradino uno è una Auskunfts- und Unterlagenanforderung scritta del §64 BSIG. Il BSI chiede il tuo quadro di gestione del rischio, la tua lista degli asset, la tua policy di trattamento degli incidenti, i tuoi registri della formazione, le tue misure sulla catena di approvvigionamento e l'evidenza della formazione della direzione del §38 BSIG. Il gradino due è una chiamata di walkthrough: il BSI chiede ai ruoli responsabili di spiegare cosa c'è sulla carta. Ci si attende di norma la presenza di un membro dell'organo di direzione a questa chiamata. La maggior parte degli audit si chiude qui.
Ispezione in loco
Se manca documentazione o il walkthrough espone lacune che il BSI non riesce a conciliare, il §64 BSIG consente loro di entrare nei tuoi locali durante l'orario di lavoro e ispezionare. Chiederanno di vedere come le policy si traducono in pratica: backup che girano davvero, controllo degli accessi davvero applicato, playbook degli incidenti davvero conosciuti. L'articolo 32(2)(c) consente loro di salire ad hoc dopo un incidente significativo, senza preavviso. La soluzione non è dare buona prova di sé il giorno stesso. È non avere nulla che il walkthrough non potesse già mostrare.
Audit di sicurezza mirato e ispezione tecnica
L'articolo 32(2)(b) consente al BSI di ordinare un audit di sicurezza periodico o mirato da parte di un organismo indipendente, a tue spese. Il §64 BSIG aggiunge la technische Untersuchung: scansioni, revisioni delle configurazioni, analisi dei log. L'articolo 32(2)(d) consente loro di eseguire scansioni di sicurezza sul tuo perimetro secondo criteri obiettivi e non discriminatori. Questo gradino è raro per i soggetti importanti, strutturalmente disponibile per i soggetti essenziali, e il percorso standard per gli operatori KRITIS ai sensi del §29 BSIG (ciclo triennale di Nachweis).
Datato e firmato batte esaustivo
Un auditor non vuole una policy perfetta. Vuole una policy datata, firmata da un titolare nominato, riesaminata l'ultima volta negli ultimi dodici mesi e tracciabile a una versione. Una policy di sei pagine con un'approvazione dell'amministratore delegato di due mesi fa vale più di una policy di quaranta pagine di cui nessuno è titolare. Lacune note con un piano scritto di trattamento e una data obiettivo vanno bene. Lacune ignote e decisioni non documentate no.
L'organo di direzione deve essere nella stanza
L'articolo 20 NIS2 pone l'organo di direzione sotto responsabilità per l'approvazione delle misure di gestione dei rischi di cybersicurezza e per la supervisione dell'attuazione. Il §38 BSIG traspone questo con responsabilità personale. Un walkthrough del BSI in cui l'amministratore delegato non sa rispondere del quadro di rischio è di per sé un rilievo. La soluzione non è un copione. È un riesame trimestrale a cui l'amministratore delegato partecipa davvero.
Audit standard del BSI + §29 KRITIS Nachweis
Per i soggetti essenziali e importanti, il BSI opera la scala del §64 BSIG dalla richiesta di documentazione in su. Per gli operatori KRITIS (infrastrutture critiche ai sensi del §28 BSIG), il §29 BSIG aggiunge un obbligo triennale di Nachweis: ogni tre anni, l'operatore presenta evidenze (di norma una relazione di audit esterna) che dimostrano che le misure del §30 BSIG sono in atto. Il Nachweis del §29 è scandito dal calendario e non dipende dall'avvio di un audit da parte del BSI.
ENISA + Gruppo di cooperazione NIS
ENISA, l'Agenzia dell'UE per la cybersicurezza, pubblica la Technical Implementation Guidance (TIG) che mappa l'articolo 21 NIS2 su standard consolidati come ISO/IEC 27001:2022 e NIST CSF 2.0. Il Gruppo di cooperazione NIS ai sensi dell'articolo 14 NIS2 coordina la prassi di audit tra gli Stati membri. Se operi in più Paesi, la sostanza che gli auditor verificano è la stessa. La meccanica (moduli, canali, scadenze) differisce.
Autorità competenti settoriali
Per alcuni settori (energia, finanza, telecomunicazioni) la vigilanza è in parte in capo al regolatore settoriale (BNetzA, BaFin) anziché al BSI o accanto ad esso. La direttiva lo consente e il §61 BSIG nomina le ripartizioni di competenza. I poteri dell'articolo 32 in sé non cambiano. Cambia quale autorità si presenta alla porta.
Se le nostre policy sono scritte, siamo pronti.
Le policy scritte sono il gradino uno. Il walkthrough al gradino due è dove l'audit si decide davvero. L'auditor chiede al ruolo responsabile di spiegare come la policy funziona nella pratica. Se il ruolo non sa spiegarla, la policy è carta e l'audit si sposta in loco ai sensi del §64 BSIG. Il rimedio non sono policy migliori. È che la persona responsabile le usi davvero e che l'organo di direzione le riesamini davvero.
Metteremo in ordine la documentazione una volta arrivata la lettera di audit.
Il BSI di norma concede una scadenza di due-quattro settimane per la richiesta di documentazione del §64. Costruire un registro dei rischi, un inventario degli asset e una policy di trattamento degli incidenti da zero in quella finestra non è realistico. Produce inoltre il peggior artefatto possibile per un auditor: un documento fresco senza cronologia delle versioni, senza approvazioni precedenti e senza uso tracciabile. I documenti devono essere operati, non prodotti per la lettera.
Siamo responsabili solo di ciò che esercitiamo noi stessi, non dei nostri fornitori.
L'articolo 21(2)(d) NIS2 e il §30(2)(4) BSIG pongono la sicurezza della catena di approvvigionamento in capo al soggetto, non al fornitore. Una risposta a scatola chiusa come 'se ne occupa il nostro managed service provider' è un rilievo. L'auditor chiederà le clausole contrattuali, la valutazione del rischio fornitore e l'evidenza che verifichi il fornitore. Gli operatori KRITIS affrontano questo più nettamente: il Nachweis del §29 copre anche i servizi gestiti. Puoi esternalizzare il funzionamento, non la responsabilità.
Un fornitore regionale di energia con cui lavoriamo rientra nell'ambito di applicazione come operatore KRITIS ai sensi del §28 BSIG. Il loro ultimo Nachweis del §29 è stato diciotto mesi fa, il prossimo è dovuto tra diciotto. Eseguono la preparazione su base continua: ogni trimestre, il CISO percorre una misura del §30 BSIG con l'amministratore delegato, raccoglie le evidenze (versione della policy, approvazione, ultimo riesame, voci di trattamento aperte) e chiude qualsiasi lacuna prima del trimestre successivo. Quando l'auditor bussa, nulla viene prodotto per la visita. Tutto è datato.
Il Nachweis del §29 stesso passa attraverso un auditor esterno incaricato dall'operatore. Il BSI non conduce l'audit direttamente: accetta la relazione esterna. La relazione di audit segnala le lacune come 'erhebliche Mängel' (difetti significativi), 'sonstige Mängel' (altri difetti) o nessuno. I difetti significativi attivano obblighi di follow-up. Gli altri difetti vengono accompagnati da un piano di trattamento e da una data obiettivo. Il fornitore di energia chiude circa l'ottanta percento dei rilievi di audit prima che la relazione vada al BSI, trattando la lista delle lacune come l'agenda permanente per i due trimestri successivi.
Ogni requisito NIS2 sulla piattaforma produce per impostazione predefinita tre cose: una policy con una versione e un'approvazione, un riesame ricorrente con una scadenza, e una pista di controllo che registra chi ha fatto cosa e quando. Una Auskunfts- und Unterlagenanforderung del §64 BSIG diventa un'esportazione, non un progetto di scrittura. Consegni un pacchetto di evidenze confezionato (policy, approvazioni, lista degli asset, registro dei rischi, registro degli incidenti, registri della formazione, lista dei fornitori) invece di rovistare alla ricerca di file.
Per gli operatori KRITIS il Nachweis del §29 gira sugli stessi dati. L'auditor esterno ottiene una vista in sola lettura sugli stessi artefatti che l'azienda già opera. Non c'è un secondo strumento, nessun cumulo parallelo di fogli di calcolo, e nessuna corsa nella settimana dell'audit. Il punto è strutturale: quando arriva il giorno della lettera di audit, non stai preparando. Stai esportando.
- Direttiva (UE) 2022/2555 (NIS2), Articoli 32, 33, 34 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 (CIR) della Commissione, Allegato — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI Act (BSIG), §29 (KRITIS Nachweis), §61 (Aufsichtsbefugnisse), §64 (Auskunfts- und Untersuchungsbefugnisse), §65 (Bußgeldvorschriften)
- BSI Infopakete 'NIS 2 Pflichten' — bsi.bund.de/dok/nis-2-infopakete
- ENISA Technical Implementation Guidance per la CIR (UE) 2024/2690 (al maggio 2026)
- Documenti di riferimento del Gruppo di cooperazione NIS sulla prassi di vigilanza — digital-strategy.ec.europa.eu