§32 BSIG

Manuale operativo per la notifica degli incidenti NIS2

Il §32 BSIG recepisce l'art. 23(4) NIS 2: tre relazioni obbligatorie con scadenze fisse (24h, 72h, 1 mese) più due relazioni condizionate (su richiesta, se l'incidente è ancora in corso). Mancare una scadenza è una violazione a sé, indipendente dall'incidente stesso.

Simon OrzelSimon Orzel·Laufend geprüft

La notifica degli incidenti ai sensi di NIS2

Il §32 BSIG attua l'articolo 23 della direttiva NIS2. Istituisce un regime obbligatorio di notifica per gli incidenti di sicurezza significativi. Ogni soggetto classificato come soggetto essenziale o soggetto importante deve effettuare la notifica al BSI quando un incidente soddisfa i criteri di significatività. La cascata prevede tre relazioni obbligatorie con scadenze fisse e due relazioni condizionate, attivate su richiesta o da un incidente in corso. L'obbligo non può essere delegato a un fornitore di servizi di sicurezza gestiti; è il soggetto stesso a essere responsabile della notifica tempestiva.

I tempi di notifica sono rigorosi e decorrono dal momento in cui il soggetto viene a conoscenza dell'incidente, non da quando l'indagine è completa. Questa è una distinzione fondamentale: il preallarme di 24 ore deve essere presentato sulla base della conoscenza iniziale, anche se la portata e l'impatto completi sono ignoti. Attendere informazioni complete prima di notificare è di per sé una violazione.

Cascata di notifica ai sensi dell'art. 23(4) NIS 2
Tre fasi obbligatorie con scadenze fisse dal momento della conoscenza, più fino a due relazioni condizionate (relazione intermedia su richiesta dell'autorità, relazione sull'avanzamento se l'incidente è ancora in corso il giorno in cui è dovuta la relazione finale).
1

Preallarme (Frühwarnung)

Entro 24 ore

La notifica iniziale al BSI che è stato rilevato un incidente potenzialmente significativo. Deve essere presentata entro 24 ore dalla conoscenza dell'incidente. Lo scopo è consentire al BSI di valutare l'impatto intersettoriale e di emettere allarmi ad altri soggetti se necessario.

  • Conferma che si è verificato o è sospettato un incidente significativo
  • Se si sospetta che l'incidente sia causato da atti illeciti o malevoli
  • Se l'incidente potrebbe avere un impatto transfrontaliero
  • Nome del soggetto, settore e dati di contatto per il seguito
2

Notifica dell'incidente (Meldung)

Entro 72 ore

Una notifica più dettagliata che aggiorna il preallarme con le informazioni aggiuntive raccolte durante la risposta iniziale. Deve essere presentata entro 72 ore dalla conoscenza. Aggiorna il BSI sulla natura, sulla gravità e sulla valutazione iniziale dell'impatto dell'incidente.

  • Valutazione aggiornata della gravità e dell'impatto dell'incidente
  • Indicatori di compromissione (IoC) ove disponibili
  • Valutazione iniziale della natura e della causa dell'incidente
  • Misure adottate o pianificate per mitigare l'incidente
  • Valutazione dell'impatto transfrontaliero ove applicabile
3

Relazione intermedia (Zwischenbericht)

Su richiesta

Presentata su richiesta del BSI tra la notifica delle 72 ore e la relazione finale. Aggiornamento sullo stato attuale della gestione dell'incidente. Non automatica; attivata dall'autorità.

  • Stato attuale del contenimento e della rimedazione
  • Nuovi riscontri su causa, portata o impatto
  • Adeguamenti alle contromisure
  • Valutazione aggiornata del danno
4

Relazione finale (Abschlussbericht)

1 mese dopo la notifica delle 72h

Una relazione finale completa presentata entro un mese dalla notifica dell'incidente delle 72 ore. Documentazione completa dell'incidente e della risposta.

  • Descrizione dettagliata dell'incidente, compresa gravità e impatto
  • Analisi della causa principale - il tipo di minaccia o vulnerabilità che ha causato l'incidente
  • Misure applicate e in corso per mitigare l'incidente e i suoi effetti
  • Impatto transfrontaliero ove applicabile
  • Lezioni apprese e azioni correttive pianificate o attuate
5

Relazione sull'avanzamento (Verlaufsbericht)

Se l'incidente è ancora in corso

Se l'incidente non è ancora risolto al momento in cui è dovuta la relazione finale, la relazione sull'avanzamento la sostituisce. La successiva relazione finale è poi dovuta entro un mese dalla risoluzione dell'incidente.

  • Stato attuale, poiché l'incidente è ancora in corso
  • Misure di contenimento attuate finora
  • Durata prevista fino alla risoluzione dell'incidente, ove prevedibile
  • Piano per l'eventuale relazione finale dopo la risoluzione dell'incidente
Cosa rende un incidente 'significativo'
Non ogni evento di sicurezza fa scattare l'obbligo di notifica del §32 BSIG. Un incidente è significativo se soddisfa uno o più dei seguenti criteri, come definiti all'articolo 23(3) della direttiva NIS2 e ulteriormente specificati nell'articolo 3 del CIR 2024/2690.

Interruzione del servizio

L'incidente ha causato o è in grado di causare una grave perturbazione operativa dei servizi forniti dal soggetto. Per i fornitori DNS e i registri TLD, il CIR specifica soglie tra cui una disponibilità inferiore al 99,9 % o la consegna di risposte DNS errate.

Perdita finanziaria

L'incidente ha causato o è in grado di causare una perdita finanziaria al soggetto. L'articolo 3 del CIR 2024/2690 specifica una soglia di 500.000 EUR o del 5 % del fatturato annuo, a seconda di quale sia inferiore. Questo include costi diretti (rimedazione, analisi forense) e costi indiretti (perdita di ricavi, penali contrattuali).

Impatto su altri soggetti

L'incidente ha causato o potrebbe causare un danno considerevole ad altre persone fisiche o giuridiche. Questo include incidenti che si propagano attraverso le catene di approvvigionamento, colpiscono infrastrutture condivise o espongono dati appartenenti a terzi.

Violazione dei dati

L'incidente comporta accesso non autorizzato a, distruzione di, o alterazione di dati. Si noti che la notifica degli incidenti NIS2 ai sensi del §32 BSIG è separata da e aggiuntiva rispetto alla notifica delle violazioni ai sensi degli art. 33/34 GDPR: entrambi gli obblighi possono applicarsi simultaneamente.

Interruzione prolungata

L'incidente ha causato o si prevede che causi una perturbazione prolungata dei servizi del soggetto. La soglia di durata non è fissata nella direttiva ma il CIR 2024/2690 fornisce criteri specifici per soggetto. Le interruzioni prolungate che colpiscono servizi critici si presumono significative.

Campi di notifica richiesti
Il portale di notifica del BSI richiede informazioni strutturate. Avere questi campi preparati in anticipo riduce significativamente il rischio di mancare la scadenza delle 24 ore.

  • Identificazione del soggetto

    Nome dell'azienda, numero di registrazione BSI, classificazione settoriale, codice NACE e punto di contatto designato per il coordinamento dell'incidente. Queste informazioni dovrebbero essere preconfigurate nel tuo piano di risposta agli incidenti, non cercate durante una crisi.

  • Natura e classificazione dell'incidente

    Tipo di incidente (ransomware, DDoS, violazione dei dati, minaccia interna, compromissione della catena di approvvigionamento, ecc.), sistemi e servizi interessati, cronologia degli eventi dal rilevamento allo stato attuale e classificazione iniziale della gravità.

  • Valutazione dell'impatto

    Numero di utenti o clienti interessati, servizi perturbati, impatto finanziario stimato, categorie di dati interessate (se presenti) e durata della perturbazione. Per il preallarme le stime sono accettabili: la precisione arriva nella notifica delle 72 ore e nella relazione finale.

  • Impatto transfrontaliero

    Se l'incidente interessa o potrebbe interessare soggetti o cittadini in altri Stati membri dell'UE. Questo attiva la condivisione di informazioni tra i CSIRT nazionali e può comportare il coordinamento dell'ENISA. Deve essere valutato sia nel preallarme sia nelle notifiche successive.

  • Misure di risposta

    Azioni adottate per contenere, eradicare e ripristinare dall'incidente. Comprende misure tecniche (isolamento, applicazione di patch, rotazione delle credenziali), misure di comunicazione (notifica ai clienti, briefing alle parti interessate) e misure organizzative (attivazione del team di crisi, ingaggio di supporto esterno).

Dove e come notificare
La notifica avviene esclusivamente tramite il portale di notifica digitale del BSI.

Tutte le relazioni sugli incidenti ai sensi del §32 BSIG devono essere presentate tramite il portale di notifica ufficiale del BSI. Il BSI non accetta relazioni via email, telefono o lettera in sostituzione della presentazione tramite portale, anche se il contatto telefonico con il team di risposta agli incidenti del BSI (CERT-Bund) è appropriato per coordinare la risposta agli incidenti critici in parallelo alla relazione formale.

Il portale di notifica è disponibile sul sito web del BSI nella sezione NIS2. L'accesso richiede una previa registrazione ai sensi del §33 BSIG, il che significa che i soggetti non registrati affrontano un problema aggravato: non possono presentare relazioni sugli incidenti attraverso il canale corretto perché non hanno completato la registrazione preliminare. Questo è un ulteriore motivo per cui la registrazione presso il BSI non deve essere ritardata.

Sanzioni per le inadempienze di notifica
La mancata notifica è sanzionata indipendentemente dall'incidente stesso. Un'azienda che subisce un incidente e lo gestisce bene tecnicamente ma non lo notifica affronta un'azione esecutiva separata.

Fino a 10.000.000 EUR o il 2 % del fatturato

Soggetti essenziali

Il maggiore tra 10 milioni di EUR o il 2 % del fatturato annuo mondiale dell'esercizio precedente. Si applica ai soggetti essenziali nei settori elencati nell'allegato 1 del BSIG (energia, trasporti, settore bancario, sanità, acqua, infrastrutture digitali, spazio, pubblica amministrazione).

Fino a 7.000.000 EUR o l'1,4 % del fatturato

Soggetti importanti

Il maggiore tra 7 milioni di EUR o l'1,4 % del fatturato annuo mondiale. Si applica ai soggetti importanti nei settori elencati nell'allegato 2 del BSIG (servizi postali, gestione dei rifiuti, prodotti chimici, prodotti alimentari, fabbricazione, fornitori digitali, ricerca).

Responsabilità personale - §38 BSIG

Direzione (Geschäftsleitung)

Se la direzione era a conoscenza di un incidente e non ha garantito una notifica tempestiva, ciò costituisce una violazione dell'obbligo di vigilanza ai sensi del §38(1) BSIG. La direzione può essere ritenuta personalmente responsabile verso l'azienda per i danni derivanti dall'inadempienza di notifica, separatamente dalle sanzioni imposte all'azienda stessa.

Fonti
  • Direttiva NIS2 (UE) 2022/2555 - Articolo 23 (Obblighi di notifica)
  • BSIG - §32 (Meldepflichten bei erheblichen Sicherheitsvorfällen)
  • BSIG - §38 (Billigung, Überwachung, Schulung - Geschäftsleitung)
  • BSIG - §65 (Bußgeldvorschriften)
  • CIR (UE) 2024/2690 - Articolo 3 (Significatività degli incidenti), Articolo 4 (Incidenti ricorrenti)
  • ENISA - Orientamenti sugli obblighi di notifica degli incidenti NIS2 e modelli (2024)
  • BSI - Documentazione e FAQ del portale di notifica NIS2
Sii pronto alla notifica prima che l'incidente colpisca
La piattaforma preconfigura i campi di notifica BSI, mantiene un registro degli incidenti con flussi di lavoro di classificazione e monitora le scadenze di 24h/72h/1 mese, così rispetti ogni obbligo sotto pressione.
Avvia il tuo processo di conformità NIS2