Cambio dell'organo di amministrazione — trasferire in sicurezza la responsabilità NIS 2
Quando il CEO o il Geschäftsführer se ne va, il dovere di formazione del §38 BSIG non se ne va con lui. Al passaggio di consegne devono avvenire tre cose, altrimenti la responsabilità personale si trasferisce nel modo peggiore.
Perché il passaggio di consegne è il momento NIS 2 più trascurato
La maggior parte dei soggetti si prepara al giorno in cui NIS 2 si applica loro per la prima volta. Pochi si preparano al giorno in cui la persona titolare dell'attuazione la trasmette ad altri. Quel momento è quando la responsabilità personale del §38 BSIG si trasferisce silenziosamente, quando i dati di registrazione presso il BSI diventano obsoleti, e quando le accettazioni del rischio firmate restano orfane.
Ai sensi dell'Art. 20 NIS 2 l'organo di amministrazione 'può essere ritenuto responsabile' delle violazioni. La responsabilità si attacca al ruolo, non alla persona. Il Geschäftsführer entrante eredita tutto ciò che quello uscente ha approvato, inclusi rischi su cui non è mai stato informato. Il protocollo di passaggio di consegne esiste per fare in modo che quel briefing avvenga agli atti.
Non esiste un regolamento separato sul passaggio di consegne NIS 2. I doveri provengono da tre fonti: la regola di aggiornamento entro 2 settimane del §33(5) BSIG per i dati di registrazione, il dovere di formazione del §38 BSIG per il nuovo membro dell'organo di amministrazione, e il generale dovere di approvazione e supervisione dell'Art. 20 NIS 2 che si trasferisce nel momento in cui la nuova persona firma la nomina.
Art. 20(1) NIS 2 + §38 BSIG (formazione)
Member States shall ensure that the management bodies of essential and important entities can be held liable for infringements by the entities of Article 21. The members of the management bodies shall be required to follow training in order to gain sufficient knowledge.
La responsabilità e il dovere di formazione si attaccano il giorno in cui il nuovo membro dell'organo di amministrazione viene registrato, non in una data successiva di comodo. Non c'è alcun periodo di tolleranza nella direttiva.
§33(5) BSIG + Art. 27(2) NIS 2 (aggiornamento del registro)
Wesentliche und wichtige Einrichtungen teilen dem Bundesamt Änderungen der für die Registrierung erforderlichen Angaben innerhalb von zwei Wochen mit.
Termine di due settimane. La persona di contatto registrata presso il BSI è il canale attraverso cui arrivano le richieste sugli incidenti, gli avvisi e le comunicazioni di vigilanza. Una persona di contatto obsoleta significa che le richieste del BSI falliscono silenziosamente.
Art. 20(1) NIS 2 (continuità dell'approvazione)
The management bodies of essential and important entities shall approve the cybersecurity risk-management measures taken by those entities and shall oversee its implementation.
'Approvare' è un dovere continuativo. Le approvazioni firmate dal CEO uscente vincolano il soggetto, ma il CEO entrante diventa accountable della loro supervisione dal primo giorno. Non può disconoscere ciò di cui non è stato informato, quindi il briefing deve avvenire al passaggio di consegne.
Registri di formazione del §38 BSIG (uscente)
Prova di completamento per il membro uscente dell'organo di amministrazione. La formazione propria del §38 del nuovo membro deve essere organizzata separatamente e prontamente.
Accettazioni del rischio firmate
Ogni voce del registro dei rischi che il CEO uscente ha accettato (anziché mitigato) è ora un obbligo che il CEO entrante eredita. Esaminale al passaggio di consegne, non scoprirle in sede di audit.
Mappa delle dipendenze dai fornitori
Quali fornitori comportano rischio NIS 2 ai sensi dell'Art. 21(2)(d). Il CEO entrante deve sapere chi non può risolvere rapidamente, chi detiene la responsabilità contrattuale, chi è in ritardo per la revisione.
Titolarità della risposta agli incidenti
Chi ha accesso al portale, chi approva le notifiche, chi è il responsabile designato della segnalazione. Nomi, recapiti, catena di escalation. Questo è il documento che viene tirato fuori alle 03:00 durante un incidente.
Passo 1 — Aggiorna la registrazione presso il BSI
Tramite il portale del BSI ai sensi del §33(5) BSIG: nuova persona di contatto, ruolo, recapiti. Due settimane dalla data di nomina. Usa il certificato di organizzazione ELSTER esistente, che non cambia quando cambia l'organo di amministrazione.
Passo 2 — Programma la formazione del §38 BSIG
Il nuovo membro è tenuto a seguire la formazione in materia di gestione del rischio di cybersicurezza. Nessun termine fisso nel BSIG ma 'unverzüglich' (senza indebito ritardo) ai sensi del §38(2). Programmala entro il primo trimestre del nuovo ruolo.
Passo 3 — Riconferma o sostituisci le approvazioni uscenti
Accompagna il nuovo membro attraverso il registro dei rischi e la mappa dei fornitori. La sua firma su tutto ciò che vuole mantenere, una decisione separata su tutto ciò che vuole riesaminare. Documenta la data del briefing.
Contatto presso il BSI mai aggiornato
L'orologio di due settimane del §33(5) corre sullo sfondo di una transizione frenetica. Un aggiornamento mancato significa che il contatto per gli incidenti del BSI è una persona che non lavora più presso il soggetto. Esposizione a sanzione ai sensi del §65 BSIG più, nel caso peggiore, un fallimento nella notifica degli incidenti.
Accettazioni del rischio ereditate alla cieca
Il CEO entrante firma la nomina, per effetto di legge diventa accountable dei rischi accettati dal predecessore. Senza un briefing non può difendere la posizione in sede di audit. Il briefing di passaggio di consegne è il ponte.
Formazione del §38 programmata 'più tardi'
Non c'è un termine specifico, quindi slitta. Passano gli anni. Alla successiva vigilanza il BSI chiede la prova e non ce n'è. Programmala entro il primo trimestre, non 'quando c'è tempo'.
Tre modalità di fallimento si sommano. Primo, la registrazione presso il BSI è obsoleta, quindi la notifica degli incidenti non raggiunge nessuno. Secondo, il CEO entrante non ha alcun briefing sui rischi che ha ereditato, quindi la difesa in sede di audit crolla. Terzo, manca la formazione del §38, che è una violazione distinta ai sensi del §38(3) BSIG.
Ciascuno dei tre innesca lo stesso percorso di applicazione: comunicazione di vigilanza ai sensi dell'Art. 32 NIS 2, possibile sanzione ai sensi del §65 BSIG, esposizione personale del membro dell'organo di amministrazione che ha firmato senza verificare. Nulla di tutto ciò è reversibile con un briefing retroattivo.
- Direttiva (UE) 2022/2555 (NIS 2), Art. 20, Art. 27, Art. 32, www.eur-lex.europa.eu
- Legge sull'Ufficio federale per la sicurezza nella tecnologia dell'informazione (BSIG), §33(5), §38, §65, www.gesetze-im-internet.de
- BSI Handreichung zu §38 BSIG (aprile 2026, versione 1.0), www.bsi.bund.de
- Legge di attuazione di NIS-2 e di rafforzamento della cybersicurezza (NIS2UmsuCG)
Questa pagina fornisce orientamento strutturato basato su fonti pubblicamente disponibili (Direttiva NIS 2, BSIG, BSI Handreichung §38). Non costituisce consulenza legale ai sensi del §2 RDG. L'esposizione alla responsabilità personale dei membri dell'organo di amministrazione è una questione giuridica per un avvocato abilitato. Aggiornato al 2026-06-04.