Requisiti NIS2
Ciò che i soggetti interessati devono attuare: 10 misure obbligatorie di cybersicurezza, una rigorosa cascata di notifica degli incidenti e una conformità basata sulle prove.
10 misure obbligatorie di gestione del rischio (§30 BSIG / Articolo 21(2) NIS-2)
Tutti i soggetti essenziali e importanti devono attuare queste misure. Non esiste alcun periodo transitorio. Questi obblighi si applicano in Germania dal 6 dicembre 2025.
Analisi del rischio e politiche di sicurezza dei sistemi informativi
Stabilire e mantenere politiche per l'analisi del rischio e la sicurezza dei sistemi informativi. Condurre valutazioni periodiche del rischio che coprano tutti i sistemi e processi critici.
Gestione degli incidenti
Attuare procedure per prevenire, rilevare, identificare, contenere, mitigare e rispondere agli incidenti di sicurezza.
Continuità operativa e gestione delle crisi
Gestione dei backup, pianificazione del ripristino in caso di disastro e procedure di gestione delle crisi per garantire la resilienza operativa.
Sicurezza della catena di fornitura
Misure di sicurezza per i rapporti con i fornitori diretti e i prestatori di servizi. Comprende la valutazione delle pratiche di cybersicurezza di tutti i fornitori e i requisiti di sicurezza contrattuali.
Sicurezza nell'acquisizione, sviluppo e manutenzione
Sicurezza nell'acquisizione, sviluppo e manutenzione di sistemi informatici e di rete. Comprende le procedure di gestione e divulgazione delle vulnerabilità.
Valutazione dell'efficacia
Politiche e procedure per valutare l'efficacia delle misure di gestione del rischio di cybersicurezza. Test e valutazione periodici dei controlli di sicurezza.
Formazione in materia di cybersicurezza e igiene informatica
Pratiche di base di formazione in materia di cybersicurezza per tutti i dipendenti. Programmi di sensibilizzazione su phishing, ingegneria sociale, gestione delle password e pratiche di uso sicuro dei sistemi.
Crittografia e cifratura
Politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura. Comprende i dati a riposo, i dati in transito e la gestione delle chiavi.
Sicurezza del personale, controllo degli accessi e gestione degli asset
Politiche di sicurezza delle risorse umane, meccanismi di controllo degli accessi e procedure di gestione degli asset. Comprende onboarding/offboarding, accesso secondo il principio del privilegio minimo e inventari degli asset.
Autenticazione a più fattori e comunicazioni protette
Uso di soluzioni di autenticazione a più fattori o continua. Comunicazioni vocali, video e di testo protette. Sistemi di comunicazione di emergenza protetti all'interno del soggetto.
Preallarme (Frühwarnung)
Notificare se si sospetta che l'incidente sia causato da atti illeciti o malevoli e se potrebbe avere un impatto transfrontaliero.
Notifica aggiornata (Aktualisierte Meldung)
Valutazione della gravità, valutazione dell'impatto, indicatori di compromissione e analisi iniziale della causa principale, se disponibile.
Relazione finale (Abschlussmeldung)
Descrizione dettagliata dell'incidente, causa principale confermata, misure di mitigazione adottate, misure preventive attuate e valutazione dell'impatto transfrontaliero.
Cosa si considera incidente "significativo"?
Un incidente di sicurezza è considerato significativo quando ha causato o è in grado di causare una grave perturbazione operativa o perdite finanziarie per il soggetto.
Si qualifica come significativo anche quando ha avuto ripercussioni o è in grado di averle su altre persone fisiche o giuridiche, causando danni materiali o immateriali considerevoli. Per gli 11 tipi di soggetti digitali di cui al CIR 2024/2690 (DNS, cloud, MSP, MSSP, mercati online, motori di ricerca, social network, servizi fiduciari, ecc.) si applicano ulteriori soglie quantitative ai sensi dell'art. 3 CIR (perdita finanziaria superiore a 500.000 EUR o al 5% del fatturato annuo, esfiltrazione di segreti commerciali, decesso o gravi danni alla salute, accesso non autorizzato malevolo riuscito) oltre ai criteri settoriali specifici di cui agli artt. da 5 a 14 (ad esempio interruzione del DNS superiore a 30 minuti o interruzione del cloud con oltre il 5% degli utenti interessati).
Requisiti di audit e di prova
Devono dimostrare la conformità mediante audit, ispezioni o certificazioni ogni 3 anni. Devono includere sistemi di rilevamento degli attacchi tra le loro misure. La scadenza iniziale per la prova è fissata dal BSI al momento della registrazione (~2028).
Nessun ciclo di audit obbligatorio periodico, ma devono mantenere una documentazione completa. Il BSI può effettuare controlli a campione proattivi e ordinare prove in qualsiasi momento mediante una selezione basata sul rischio.
Devono documentare l'attuazione di tutte le misure richieste. Le ispezioni del BSI sono solo reattive, attivate da incidenti o da un sospetto fondato di non conformità.
- Relazioni di audit interni o esterni
- Certificazioni (ISO 27001, BSI IT-Grundschutz, ecc.)
- Documentazione completa delle valutazioni del rischio, delle misure attuate e delle revisioni di efficacia
La certificazione ISO 27001 o IT-Grundschutz supporta ma non garantisce la conformità NIS2: i requisiti del BSIG possono andare oltre l'ambito della certificazione standard.
- Valutare le pratiche di cybersicurezza di tutti i fornitori diretti e prestatori di servizi
- Includere requisiti di cybersicurezza nei contratti con i fornitori
- Monitorare e riesaminare costantemente il livello di sicurezza dei fornitori
- Coordinare la divulgazione delle vulnerabilità con i fornitori
- Considerare la qualità complessiva dei prodotti e delle pratiche dei fornitori, comprese le loro procedure di sviluppo sicuro