Siamo un soggetto della pubblica amministrazione ai sensi di NIS 2?
La pubblica amministrazione si colloca nell'Allegato I settore 10 di NIS 2 e nell'articolo 2(2)(f). Il governo centrale è incluso indipendentemente dalla dimensione. Il governo regionale è incluso se il vostro Stato membro ha effettuato la valutazione basata sul rischio. Le esclusioni dell'articolo 2(5) a (7) sono ristrette e funzionali, non istituzionali.
La versione breve
La pubblica amministrazione è nell'Allegato I settore 10 di NIS 2. Il test dimensionale che esclude le piccole imprese private non si applica qui. L'articolo 2(2)(f) afferma che i soggetti della pubblica amministrazione del governo centrale sono inclusi indipendentemente dalla dimensione, e i soggetti della pubblica amministrazione a livello regionale sono inclusi se lo Stato membro li ha identificati a seguito di una valutazione basata sul rischio.
La direttiva esclude poi attività specifiche, non istituzioni specifiche. L'articolo 2(5) tiene fuori la sicurezza nazionale, la difesa, la sicurezza pubblica, l'attività di contrasto e le attività giudiziarie. L'articolo 2(7) tiene fuori i parlamenti e le banche centrali. Un'autorità di polizia che gestisce l'IT interno di risorse umane e finanza è inclusa per quell'IT. La stessa autorità è esclusa per i suoi sistemi operativi di contrasto. Decide la funzione, non l'etichetta sulla porta.
In Germania, il §28 BSIG rende operativa la regola per la Bundesverwaltung. Il §29 BSIG fornisce ai Länder la base giuridica per includere nell'ambito la propria Landes- e Kommunalverwaltung. Finché un Land non utilizza il §29 BSIG, i Comuni di quel Land sono formalmente esclusi, anche se ogni agenda di conferenza NIS 2 li tratta come inclusi. Leggete il vostro Landes-Cybersicherheitsgesetz prima di scopervi da soli.
Articolo 2(2)(f) Direttiva NIS 2 (2022/2555)
La presente direttiva si applica a soggetti di un tipo indicato nell'allegato I o II, indipendentemente dalle loro dimensioni, qualora il soggetto sia un soggetto della pubblica amministrazione (i) del governo centrale quale definito da uno Stato membro conformemente al diritto nazionale; o (ii) a livello regionale quale definito da uno Stato membro conformemente al diritto nazionale che, a seguito di una valutazione basata sul rischio, presta servizi la cui interruzione potrebbe avere un impatto significativo su attività sociali o economiche critiche.
Letterale da GU L 333/110. Due metà. Il governo centrale è incluso automaticamente. Il governo regionale è incluso solo dopo che lo Stato membro ha effettuato la valutazione basata sul rischio e ha identificato i soggetti. Il test dimensionale dell'articolo 2(1) non si applica a nessuno dei due.
Articolo 2(5) Direttiva NIS 2 (esclusioni)
La presente direttiva non si applica ai soggetti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della sicurezza pubblica, della difesa o dell'attività di contrasto, compresi la prevenzione, l'indagine, l'accertamento e il perseguimento di reati.
L'esclusione è funzionale. L'esclusione segue l'attività, non l'istituzione. Un'autorità di polizia federale è esclusa per i suoi sistemi di contrasto e inclusa per il suo IT aziendale. L'articolo 2(7) aggiunge i parlamenti e le banche centrali. L'articolo 2(6) consente agli Stati membri di esentare i soggetti che svolgono attività ai sensi dell'articolo 2(5) solo in tali settori.
§28 e §29 BSIG (Germania)
Il §28 BSIG recepisce la regola del governo centrale e vincola le Einrichtungen der Bundesverwaltung. Il §29 BSIG abilita i Länder a includere nell'ambito le Einrichtungen der Landes- und Kommunalverwaltung tramite i propri Landes-Cybersicherheitsgesetze, a seguito della valutazione basata sul rischio richiesta dall'articolo 2(2)(f)(ii) NIS 2.
Due ancore tedesche, non una. La Bundesverwaltung è inclusa per legge federale. La Landesverwaltung e la Kommunalverwaltung attendono la legislazione dei Länder. Alcuni Länder hanno già pubblicato bozze di Landes-Cybersicherheitsgesetze; altri no. Lo status giuridico di un Kommune dipende dal Land in cui si trova.
Governo centrale
I soggetti della pubblica amministrazione del governo centrale, quali definiti dal diritto nazionale, sono inclusi indipendentemente dalla dimensione. Ministeri federali, agenzie federali, autorità federali. Nessuna soglia dimensionale. In Germania questa è la Bundesverwaltung ai sensi del §28 BSIG. L'etichetta 'centrale' è fissata dal diritto nazionale, quindi l'elenco differisce tra Stati membri, ma la regola strutturale è la stessa.
Governo regionale
I soggetti della pubblica amministrazione a livello regionale sono inclusi solo se lo Stato membro li ha identificati a seguito di una valutazione basata sul rischio. La direttiva non li designa automaticamente. In Germania i Länder usano il §29 BSIG e i propri Landes-Cybersicherheitsgesetze per effettuare tale identificazione e vincolare la Landesverwaltung e la Kommunalverwaltung. Finché il Land competente non ha agito, i soggetti regionali sono formalmente al di fuori della direttiva.
Esclusioni funzionali
L'articolo 2(5) esclude le attività di sicurezza nazionale, sicurezza pubblica, difesa e attività di contrasto. L'articolo 2(7) esclude i parlamenti e le banche centrali. L'esclusione si lega all'attività, non all'istituzione. L'IT amministrativo generale di un ministero resta incluso. Il sistema di gestione dei casi di una forza di polizia è escluso. Documentate quali sistemi si trovano su ciascun lato della linea.
La dimensione non si applica
Il test dimensionale dell'articolo 2(1) (50 dipendenti, 10 milioni di euro) non si applica alla pubblica amministrazione. L'articolo 2(2)(f) è una deroga indipendente dalla dimensione. Un'autorità federale di 12 persone è inclusa. Una Bundesoberbehörde di 4 persone è inclusa. Gli unici filtri sono 'è governo centrale', 'è governo regionale che lo Stato membro ha identificato' e 'questa attività è esclusa dall'articolo 2(5) o (7)'.
Le esclusioni seguono la funzione, non l'istituzione
Il considerando 8 lo rende esplicito. Le esclusioni dell'articolo 2(5) non sono un lasciapassare generalizzato per polizia, difesa e servizi di intelligence. Coprono le attività in quei settori. La stessa autorità può essere esclusa per i suoi sistemi operativi e inclusa per il suo IT aziendale, i sistemi di risorse umane, i sistemi finanziari e i sistemi rivolti ai fornitori. Mappate le vostre attività, poi mappate i vostri sistemi rispetto ad esse.
BSI / §28 BSIG
Il BSI è l'autorità competente per la Bundesverwaltung ai sensi del §28 BSIG. I ministeri e le agenzie federali sono inclusi per legge federale, senza test dimensionale, senza opt-in. Il BSI pubblica specifiche Verwaltungsvorschriften e profili IT-Grundschutz per le autorità federali (Mindeststandards nach §8 BSIG).
Landes-Cybersicherheitsgesetze
Il §29 BSIG abilita ciascun Land a legiferare su quali soggetti della Landes- e Kommunalverwaltung rientrano nell'ambito. Il Land effettua la valutazione basata sul rischio richiesta dall'articolo 2(2)(f)(ii). Finché tale legislazione non esiste, il BSIG federale non vincola i soggetti regionali. Verificate se il vostro Land ha pubblicato una bozza di Cybersicherheitsgesetz prima di inquadrare un Kommune.
Tracker di recepimento NIS 2 di ENISA
ENISA pubblica una pagina di recepimento NIS 2 che elenca le leggi nazionali, le autorità competenti per ciascuno Stato membro e le decisioni nazionali di scoping per la pubblica amministrazione. È la fonte unica più pulita per le autorità transfrontaliere o le organizzazioni di servizi condivisi che devono capire con quale regolatore presentano i documenti in ciascun Paese.
Leggi nazionali di recepimento
L'articolo 2(2)(f) vincola la pubblica amministrazione in tutta l'UE. I Paesi Bassi la coprono tramite la Cyberbeveiligingswet, la Francia tramite l'Ordonnance n° 2024-1093, l'Austria tramite il NISG. La regola della direttiva indipendente dalla dimensione è la stessa ovunque. Ogni Stato membro decide cosa conta come centrale e quali soggetti regionali superano la valutazione basata sul rischio.
Siamo un Kommune, quindi rientriamo automaticamente in NIS 2.
Non per la sola legge federale. Il §28 BSIG vincola la Bundesverwaltung. La Landes- e la Kommunalverwaltung entrano nell'ambito tramite il §29 BSIG e il relativo Landes-Cybersicherheitsgesetz, dopo che il Land ha effettuato la valutazione basata sul rischio richiesta dall'articolo 2(2)(f)(ii). Verificate lo status del vostro Land prima di dare per scontato.
Svolgiamo attività di contrasto, quindi siamo fuori da NIS 2.
L'esclusione dell'articolo 2(5) è funzionale. Copre le attività di contrasto, non l'intera istituzione. Un'autorità di polizia è esclusa per i suoi sistemi di gestione dei casi e di sorveglianza, e inclusa per il suo IT di risorse umane, finanza, appalti e amministrazione generale. Stessa autorità, due ambiti. Documentate la linea per sistema.
La nostra Stadtwerk è di proprietà municipale, quindi rientra nella pubblica amministrazione nel settore 10.
La proprietà non sposta una Stadtwerk nel settore 10. Una utility di proprietà municipale rientra in NIS 2 attraverso i settori 1 (energia), 6 (acqua potabile), 7 (acque reflue) o 8 (infrastrutture digitali) dell'Allegato I, con l'ordinario test dimensionale dell'articolo 2(1). Il settore 10 è per i soggetti della pubblica amministrazione quali definiti dallo Stato membro, non per gli operatori commerciali a partecipazione statale.
Caso tipico: un'agenzia federale con 90 dipendenti. Si applica l'articolo 2(2)(f)(i) (Bundesverwaltung), quindi il test dimensionale non viene mai eseguito. L'agenzia gestisce l'IT amministrativo generale e una piattaforma specializzata che supporta il coordinamento federale delle attività di contrasto. L'articolo 2(5) esclude la piattaforma di contrasto. L'IT amministrativo resta incluso. Risultato: una singola Anwendbarkeitsprüfung che elenca quali sistemi ricadono sotto il §30 BSIG e quali si trovano dietro l'esclusione, con la firma dell'organo di gestione.
Caso tipico a livello regionale: un Kommune di 220 dipendenti in un Land che non ha ancora adottato il proprio Landes-Cybersicherheitsgesetz. Formalmente fuori da NIS 2 oggi. Gli operatori costruiscono comunque la base (registro dei rischi, elenco dei fornitori, processo di gestione degli incidenti) perché la bozza di legge è in consultazione e gli obblighi arriveranno nel 2026 o 2027. Trattate l'anno di lacuna come preparazione, non come una vacanza.
Il controllo di applicabilità percorre i tre elementi in ordine: siete governo centrale, siete un soggetto regionale che il vostro Stato membro ha identificato, e quali delle vostre attività si trovano dietro un'esclusione dell'articolo 2(5) o (7). Rispondete alle domande una volta e ottenete una Anwendbarkeitsprüfung scritta che nomina l'aggancio giuridico (§28 BSIG, §29 BSIG più il vostro Landesgesetz, o fuori ambito) e i sistemi esclusi.
L'output non è un sì/no. È una giustificazione: quale disposizione si applica, cosa ha deciso lo Stato membro sui soggetti regionali e quali sistemi si trovano su ciascun lato dell'esclusione funzionale. Firmato dall'organo di gestione, conservato con tracciabilità, ancorato per versione al testo dell'UE e del BSIG che citiamo.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 2(2)(f), Articolo 2(5) a (7), considerando 7 e 8, Allegato I settore 10 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSI Act (BSIG), §28 (Bundesverwaltung) e §29 (Länder) come modificato dal NIS2-Umsetzungsgesetz
- Tracker di recepimento NIS 2 di ENISA — enisa.europa.eu/topics/nis-directive
- Landes-Cybersicherheitsgesetze (per Land, bozze e leggi adottate)