Mittelstand / PMI

Attuazione di NIS2 per le aziende del mid-market

Una roadmap pratica di attuazione in 12 settimane per le aziende tedesche con 50-250 dipendenti - senza bisogno di un team di sicurezza.

Simon OrzelSimon Orzel·Laufend geprüft

Sei interessato. E ora?

Si stima che 29.500 aziende in Germania rientrino nell'ambito di NIS2. Se hai più di 50 dipendenti e operi in un settore coperto - gestione dei rifiuti, produzione alimentare, manifatturiero, energia, trasporti, sanità, infrastruttura digitale - sei quasi certamente una di esse. Il BSIG è entrato in vigore il 6 dicembre 2025, e il termine di registrazione presso il BSI era il 6 marzo 2026.

Ecco cosa la maggior parte dei consulenti non ti dirà: per un'azienda mid-market con un'IT di base, la conformità NIS2 è gestibile. Non è un progetto da 6 mesi e sei cifre. La maggior parte dei 49 requisiti BSIG è documentazione da scrivere una volta sola - policy, valutazioni del rischio, procedure. Solo una manciata richiede processi operativi continuativi. La legge esige misure 'adeguate' proporzionate al tuo rischio - non un'infrastruttura di sicurezza da Fortune 500.

Questa guida ti dà il piano pratico: una roadmap di 12 settimane, i ruoli che ti servono (tutti a tempo parziale, tutti personale già in organico), gli errori comuni che fanno inciampare le aziende delle tue dimensioni, e l'ordine di priorità per affrontare le 10 misure obbligatorie ai sensi del §30 BSIG. Niente teoria, niente allarmismo - solo i passi.

A chi è rivolta questa guida
Questa guida è scritta specificamente per le aziende tedesche del mid-market che incontrano NIS2 per la prima volta.
  • Aziende con 50-250 dipendenti nei settori NIS2
  • Personale IT limitato - magari 2-5 persone, non un team di sicurezza
  • Nessun reparto di conformità dedicato né esperienza GRC
  • Prima volta che si confrontano con NIS2, BSIG o la registrazione presso il BSI

Roadmap di attuazione

Fondamenta
Settimane 1-2
Stabilire le fondamenta organizzative: registrarsi presso il BSI, assegnare le responsabilità e informare la direzione sulla loro responsabilità personale ai sensi del §38 BSIG. Questa fase riguarda il coinvolgimento delle persone giuste e la definizione dell'ambito.
  • Registrazione presso il BSI tramite Mein Unternehmenskonto + portale BSI
  • Nominare un responsabile della conformità (ruolo a tempo parziale, non una nuova assunzione)
  • Briefing della direzione sui doveri del §38 BSIG e sulla responsabilità personale
  • Configurare la piattaforma di conformità e invitare i membri del team
  • Ambito iniziale: identificare quale categoria di soggetto si applica (essenziale o importante)
Valutazione del rischio
Settimane 3-4
Costruire l'inventario degli asset e condurre la valutazione iniziale del rischio. Questa è la base su cui poggia tutto il resto - §30(1) BSIG misura 1. Usa la metodologia di analisi del rischio BSI-200-3: identificare gli asset, identificare le minacce, valutare probabilità e impatto, decidere il trattamento.
  • Costruire l'inventario degli asset - raggruppare gli asset identici (es. '45 laptop' = 1 voce)
  • Identificare e categorizzare i fornitori con accesso ai tuoi sistemi
  • Condurre la valutazione iniziale del rischio: probabilità × impatto per ogni asset
  • Documentare le decisioni sul trattamento del rischio: accettare, mitigare, trasferire o evitare
  • Mappare i rischi sulle misure BSIG - quali controlli affrontano quali rischi
Controlli e documentazione
Settimane 5-8
Documentare i controlli e le procedure di sicurezza. Questa è la fase più ampia per volume, ma la maggior parte dei requisiti sono policy da scrivere una volta sola. Concentrati sul documentare ciò che già fai (la maggior parte delle aziende ha processi informali) e sul colmare le lacune effettive.
  • Scrivere o adottare policy di sicurezza (sicurezza delle informazioni, controllo degli accessi, risposta agli incidenti)
  • Documentare l'uso della crittografia e l'approccio alla gestione delle chiavi
  • Configurare il processo di risposta agli incidenti con la cascata a 24h/72h/1 mese
  • Rivedere il controllo degli accessi: privilegio minimo, procedure di onboarding/offboarding
  • Documentare le procedure di continuità operativa e di backup
  • Implementare o documentare la MFA per i sistemi critici
Evidenze e prontezza all'audit
Settimane 9-12
Chiudere il cerchio: approvazioni della direzione, completamento della formazione, raccolta delle evidenze e una prima verifica di efficacia. Questa fase trasforma le tue misure documentate in evidenze di conformità verificabili.
  • La direzione approva formalmente tutte le misure di cybersicurezza (dovere del §38)
  • Completare la formazione obbligatoria della direzione in materia di cybersicurezza
  • Caricare i documenti di evidenza: screenshot, configurazioni, approvazioni delle policy
  • Eseguire la prima valutazione di efficacia - i controlli funzionano davvero?
  • Esportare il report di conformità per la revisione interna
I ruoli che ti servono
Non devi assumere nessuno. Queste sono responsabilità a tempo parziale assegnate al personale già in organico.

Responsabile della conformità (4-8 ore/settimana)

Guida il processo, compila i moduli dei requisiti, si coordina con l'IT e la direzione. Di solito il responsabile IT, il responsabile qualità o il responsabile operativo.

Referente IT (2-4 ore/settimana)

Fornisce l'input tecnico: dettagli degli asset, architettura di rete, stato della cifratura, controlli degli accessi. Il tuo amministratore o responsabile IT.

Sponsor della direzione (1-2 ore/settimana)

Rivede e approva le misure, completa la formazione, dimostra la supervisione. Richiesto dal §38 BSIG - non può essere delegato.

Auditor esterno (facoltativo)

Per gli operatori KRITIS: obbligatorio ogni 3 anni. Per i soggetti essenziali e importanti: facoltativo ma consigliato per il primo ciclo di conformità, per validare il tuo lavoro.

Errori comuni
Cosa vediamo sbagliare alle aziende - e come evitarlo.

  • Aspettare 'la guida definitiva'

    La legge è in vigore da dicembre 2025. La CIR definisce le misure tecniche. Non arriverà alcuna ulteriore guida che cambierebbe ciò che devi fare. Inizia ora.

  • Sovradimensionare la soluzione

    Un'azienda di gestione dei rifiuti di 100 persone non ha bisogno di un SOC o di un SIEM. Allinea i tuoi controlli al tuo profilo di rischio effettivo. Il BSIG richiede misure 'adeguate', non misure massime.

  • Trattarlo come un progetto IT

    Il §38 BSIG ne fa una responsabilità della direzione. Se l'amministratore delegato non è coinvolto, sei già non conforme. Programma il briefing della direzione nella settimana 1.

  • Ignorare la sicurezza della catena di approvvigionamento

    NIS2 richiede esplicitamente la valutazione della cybersicurezza dei tuoi fornitori. Questo coglie impreparate molte aziende. Inizia presto a documentare i rapporti con i fornitori.

  • Conformità di carta senza misure reali

    Scrivere policy che nessuno legge non conta. Il BSI può richiedere prove che le misure siano effettivamente implementate ed efficaci. Costruisci processi reali, non solo documenti.

Avvia oggi la tua attuazione
La piattaforma ti guida attraverso tutti i 49 requisiti BSIG nell'ordine in cui dovrebbero essere implementati, con moduli strutturati, caricamento delle evidenze e flussi di lavoro di approvazione della direzione - esattamente ciò di cui un'azienda mid-market ha bisogno per diventare conforme senza assumere un consulente.
Avvia il tuo processo di conformità NIS2