Sono un fabbricante di macchinari ai sensi della NIS 2?
Il settore 5 dell'Allegato II della Direttiva NIS 2 fa rientrare la fabbricazione nell'ambito. I costruttori di macchine si collocano nella sotto-categoria (d), divisione NACE C28. Se hai 50 dipendenti o 10 milioni di euro di fatturato, sei un soggetto importante con gli stessi dieci obblighi dell'Articolo 21(2) dei grandi.
La versione breve
La NIS 2 copre la fabbricazione come settore importante. Il settore 5 dell'Allegato II indica sei sotto-categorie della fabbricazione. La fabbricazione di macchinari e apparecchiature, divisione NACE C28, è una di esse. Se è ciò che fai e sei al di sopra della soglia dimensionale, la NIS 2 si applica a te.
La verifica dimensionale risiede nell'Articolo 2(1) della Direttiva. 50 dipendenti o più, oppure 10 milioni di euro di fatturato e di totale di bilancio. Raggiungi una di queste e rientri. Al di sotto di entrambe, sei fuori dall'ambito predefinito. La Germania ricopia la stessa soglia nel §28 BSIG.
Ciò che rende speciali i macchinari è l'impronta OT. La tua cella produttiva ha PLC, SCADA, HMI, controllori di robot e, al di sopra, un ERP e un MES. L'Articolo 21(2) tratta l'intero stack come un unico sistema da difendere. La via di attuazione pratica in Germania è BSI IT-Grundschutz, in particolare i building block IND per i sistemi di controllo industriale, e ISO/IEC 62443 per il livello OT.
Allegato II punto 5 Direttiva NIS 2 (2022/2555) — Fabbricazione
(a) Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro (NACE C32.5 in parte, C26.60 in parte); (b) Fabbricazione di computer e prodotti di elettronica e ottica (NACE C26); (c) Fabbricazione di apparecchiature elettriche (NACE C27); (d) Fabbricazione di macchinari ed apparecchiature n.c.a. (NACE C28); (e) Fabbricazione di autoveicoli, rimorchi e semirimorchi (NACE C29); (f) Fabbricazione di altri mezzi di trasporto (NACE C30).
I costruttori di macchine rientrano nella (d). Il riferimento NACE è Rev. 2. Se la tua attività è rettifica, fresatura, saldatura, assemblaggio o integrazione di macchine, impianti o moduli industriali, C28 è la tua divisione. L'Allegato II è l'elenco dei "soggetti importanti". Stessi dieci obblighi dell'Articolo 21(2) dell'Allegato I, massimale sanzionatorio inferiore, vigilanza reattiva anziché proattiva.
Articolo 2(1) Direttiva NIS 2 — verifica dimensionale
La presente direttiva si applica ai soggetti pubblici o privati di un tipo di cui all'Allegato I o II che si qualificano come medie imprese ai sensi dell'Articolo 2 dell'Allegato della Raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese previsti al paragrafo 1 di tale Articolo.
Il limite dimensionale utilizza la definizione UE di PMI. 50 dipendenti o più, oppure fatturato annuo superiore a 10 milioni di euro e totale di bilancio superiore a 10 milioni di euro. Raggiungi una di queste e rientri. La Direttiva elenca alcuni casi in cui le dimensioni non rilevano, ma la mera fabbricazione di macchinari non figura in tale elenco di deroghe.
§28 BSIG (Germania) — wichtige Einrichtung, settore 'Verarbeitendes Gewerbe / Herstellung'
Wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 2 genannten Einrichtungsart angehören und mindestens als mittleres Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten.
La Germania elenca la fabbricazione nell'Anlage 2 del BSIG, con le stesse sei sotto-categorie del punto 5 dell'Allegato II della Direttiva. Il massimale sanzionatorio per i soggetti importanti è stabilito dal §65 BSIG: fino a 7 milioni di euro o l'1,4 percento del fatturato mondiale, a seconda di quale sia maggiore.
NACE C28 o uno dei cinque vicini
Estrai il tuo codice NACE Rev. 2 dalla tua iscrizione al registro delle imprese o dall'ultima dichiarazione statistica. Se inizia con C28, sei un fabbricante di macchinari. C26, C27, C29, C30 e la parte C32.5 per i dispositivi medici sono le sotto-categorie limitrofe dell'Allegato II. Le officine miste (costruzione di macchine più assemblaggio elettrico) sono di norma classificate in base all'attività principale. Se la tua attività principale rientra in una di queste, sei nel settore.
50 dipendenti o 10 milioni di euro
L'Articolo 2(1) recita "si qualifica come media impresa". La definizione di PMI ha due soglie: organico di 50 o più, oppure fatturato annuo superiore a 10 milioni di euro e totale di bilancio superiore a 10 milioni di euro. Le imprese collegate e associate concorrono al computo. Una UG di 35 persone all'interno di un gruppo di 400 persone viene normalmente computata con il gruppo.
La tua impronta OT
Mappa la tua cella produttiva una volta. PLC, SCADA, HMI, robot, CNC, MES, ERP, postazioni di progettazione, box di accesso remoto dei fornitori. Quell'elenco è il tuo inventario degli asset ai sensi dell'Articolo 21(2)(a). È anche l'ambito della tua analisi del rischio. Grundschutz consente di raggruppare asset identici (dodici CNC identiche come una voce con la quantità). IT e OT rientrano entrambi nell'ambito. La classica risposta "l'OT è isolato, quindi è fuori" non sopravvive a un audit.
L'Allegato II è comunque NIS 2
I soggetti dell'Allegato II sono "importanti", non "essenziali". Le dieci misure dell'Articolo 21(2) sono le stesse dell'Allegato I. Ciò che differisce è il massimale sanzionatorio e lo stile di vigilanza. Il §65 BSIG fissa le sanzioni fino a 7 milioni di euro o l'1,4 percento del fatturato mondiale per i soggetti importanti (contro 10 milioni o il 2 percento per gli essenziali). La vigilanza è reattiva: il BSI interviene se c'è un innesco concreto, non su base di routine. Stessi obblighi, diversa intensità di applicazione.
L'OT rientra nell'ambito, punto e basta
L'Articolo 21 copre i "sistemi informatici e di rete". Il CIR e la TIG dell'ENISA trattano entrambi OT, SCADA e PLC come rientranti nell'ambito. Il catalogo IT-Grundschutz del BSI ha building block IND dedicati ai sistemi di controllo industriale. ISO/IEC 62443 è lo standard internazionale che la comunità ingegneristica utilizza, e l'ENISA vi mappa le misure dell'Articolo 21. Un audit che esclude l'OT non è un audit dell'Articolo 21.
BSI / IT-Grundschutz IND
Il BSI è l'autorità competente per la NIS 2 in Germania. Per i costruttori di macchine la via pratica è IT-Grundschutz con i building block IND: IND.1 (controllo di processo e automazione in generale), IND.2 (sistema di controllo industriale), IND.3 (sensori e attuatori). Implementali insieme ai building block IT standard (SYS, NET, OPS, APP) e disponi di una base di partenza difendibile per l'Articolo 21.
VDMA
Il Verband Deutscher Maschinen- und Anlagenbau pubblica orientamenti settoriali specifici su NIS 2, sul Cyber Resilience Act e su ISO/IEC 62443 per i propri membri. Gestisce gruppi di lavoro sulla sicurezza OT e traduce il testo regolatorio in linguaggio attuativo pratico per il settore tedesco dei macchinari. L'adesione è volontaria, ma la maggior parte dei costruttori di macchine di media dimensione ne è membro.
ENISA Technical Implementation Guidance
L'ENISA pubblica una Technical Implementation Guidance per il CIR (UE) 2024/2690 che mappa le misure dell'Articolo 21 su ISO/IEC 27001:2022, NIST CSF 2.0 e altri standard. La tabella di mappatura è alla v1.2 ad agosto 2025, sotto licenza CC BY 4.0. Per i macchinari, la sovrapposizione rilevante è con la serie ISO/IEC 62443, cui l'ENISA rinvia per il livello OT.
La NIS 2 è per i grandi gruppi industriali, non per la nostra officina di 80 persone.
La verifica dimensionale è 50 dipendenti o 10 milioni di euro di fatturato. Un'officina di 80 persone con NACE C28 rientra in pieno. La categoria "soggetto importante" dell'Allegato II esiste esattamente per il livello del Mittelstand. Il massimale sanzionatorio è inferiore a quello dei soggetti essenziali, ma i dieci obblighi dell'Articolo 21(2) sono gli stessi.
Facciamo solo l'assemblaggio finale, la vera fabbricazione è presso i nostri fornitori.
Il NACE classifica in base all'attività principale, non in base a dove si crea il valore aggiunto. Se la tua impresa vende macchine o moduli finiti con il proprio marchio, la tua attività principale è la fabbricazione, anche se buona parte della costruzione avviene a monte. La classificazione segue l'iscrizione al registro delle imprese e la dichiarazione statistica, non la narrazione della catena del valore.
Esportiamo per lo più, quindi le norme UE non si applicano.
La Direttiva utilizza lo stabilimento, non la clientela. Se la tua persona giuridica è stabilita in uno Stato membro dell'UE e soddisfi le verifiche di settore e di dimensione, rientri nell'ambito a prescindere da dove vendi. Gli esportatori sono soggetti NIS 2 come qualsiasi altro fabbricante. Il fatto che gli acquirenti siano fuori dall'UE non modifica i tuoi obblighi sul versante della produzione.
Ciò che vediamo sul campo nel settore tedesco dei macchinari del Mittelstand: prima un promemoria di applicabilità di una pagina (codice NACE, organico, fatturato, il ragionamento giuridico), poi una valutazione delle lacune che percorre le dieci misure dell'Articolo 21(2) rispetto all'assetto IT e OT esistente. La maggior parte delle officine ha già qualcosa per l'IT. Il versante OT è di solito più scarno.
Dopo la valutazione delle lacune, le dodici-quindici misure più urgenti vengono completate nel primo anno. Inventario degli asset, analisi del rischio, revisione dei fornitori, gestione degli incidenti, segmentazione OT di base, autenticazione a più fattori sulle postazioni di progettazione e sui box di accesso remoto. Il resto si distribuisce sull'anno o sui due anni successivi. Ciò regge ai sensi della clausola di proporzionalità dell'Articolo 21(1) purché la scansione temporale sia messa per iscritto e approvata dall'organo di direzione.
Supportiamo la verifica di applicabilità del settore 5 dell'Allegato II come ingresso in un solo passaggio: scegli il tuo codice NACE, conferma organico e fatturato, e approdi a un workspace pre-popolato con le dieci misure dell'Articolo 21(2) e i building block IND del BSI per il livello OT. Inventario degli asset, registro dei rischi, elenco dei fornitori e flusso di lavoro degli incidenti risiedono sullo stesso modello di dati.
Le prove specifiche dell'OT (diagrammi di segmentazione di rete, esportazioni dell'inventario PLC, revisioni dell'accesso remoto dei fornitori) si collegano alla stessa libreria di prove dei controlli IT. Non gestisci un ISMS separato per la cella produttiva. Il requisito di formazione della direzione di cui al §38 BSIG è integrato come modulo del corso per la Geschäftsführung.
- Direttiva (UE) 2022/2555 (NIS 2), Allegato II punto 5 (Fabbricazione) e Articolo 2(1) (ambito e verifica dimensionale) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Raccomandazione 2003/361/CE della Commissione, Allegato Articolo 2 (definizione di PMI)
- Classificazione Eurostat NACE Rev. 2, Sezione C divisioni 26, 27, 28, 29, 30 e gruppo 32.5
- Legge sul BSI (BSIG), §28 (Anwendungsbereich, wichtige Einrichtungen) e §65 (sanzioni)
- BSI IT-Grundschutz Kompendium, building block IND.1, IND.2, IND.3 — bsi.bund.de/grundschutz
- VDMA, orientamenti settoriali su NIS 2 e sicurezza OT — vdma.org
- ENISA Technical Implementation Guidance per il CIR (UE) 2024/2690, tabella di mappatura v1.2 (agosto 2025)