Importante vs Essenziale vs KRITIS: lo stesso lavoro, conseguenze diverse
NIS2 definisce tre livelli di soggetti regolati. Le misure di sicurezza sono identiche in tutti e tre. Ciò che cambia è quanto da vicino il BSI vi sorveglia e quanto duramente colpisce se fallite.
Tre livelli, un solo insieme di regole
La trasposizione tedesca della NIS2 (BSIG) classifica i soggetti regolati in tre categorie: wichtige Einrichtungen (soggetti importanti), soggetti essenziali (essential entities) e Betreiber kritischer Anlagen (operatori KRITIS). Molte aziende passano settimane a cercare di capire in quale categoria rientrano prima di iniziare il lavoro di conformità.
Ecco l'intuizione chiave: non ha importanza per il lavoro in sé. Tutte e tre le categorie devono attuare le stesse 10 categorie di misure di sicurezza definite all'§30(2) BSIG. La stessa gestione del rischio. La stessa segnalazione degli incidenti. La stessa sicurezza della catena di approvvigionamento. Gli stessi controlli degli accessi. Le stesse politiche di cifratura. La stessa pianificazione della continuità operativa.
Le differenze sono nella vigilanza (come il BSI vi monitora), nelle sanzioni (quanto pagate se vi colgono in difetto di conformità) e in tre obblighi aggiuntivi che si applicano solo agli operatori KRITIS. Il processo di conformità che seguite su NISD2 copre tutte e tre le categorie in modo identico.
| Criterio | Importante (Wichtig) | Essenziale (Besonders Wichtig) | KRITIS |
|---|---|---|---|
| Dimensione dell'azienda | 50+ dipendenti OPPURE >10 mln EUR di fatturato e >10 mln EUR di totale di bilancio | 250+ dipendenti OPPURE >50 mln EUR di fatturato e >43 mln EUR di totale di bilancio | Qualsiasi dimensione - determinata da soglie infrastrutturali (ad es. 500.000 persone servite) |
| Settori | Allegato I (energia, trasporti, finanza, sanità, acqua, infrastrutture digitali, spazio) + Allegato II (servizi postali, rifiuti, prodotti chimici, alimentari, fabbricazione, servizi digitali, ricerca) | Solo settori dell'Allegato I (i soggetti di medie dimensioni nell'Allegato I sono classificati come importanti, non essenziali) | Sottoinsieme degli essenziali - solo soggetti che gestiscono infrastrutture il cui guasto comprometterebbe l'approvvigionamento pubblico |
| Inclusioni indipendenti dalla dimensione | Prestatori di servizi fiduciari non qualificati, piccoli fornitori di telecomunicazioni | Servizi fiduciari qualificati, registri TLD, fornitori DNS, grandi fornitori di telecomunicazioni | Operatori di installazioni critiche come definito nella BSI-KritisV (reti elettriche, trattamento delle acque, ospedali, ecc.) |
La soglia UE per le medie imprese è: 50+ dipendenti OPPURE (>10 mln EUR di fatturato E >10 mln EUR di totale di bilancio). Entrambi i criteri finanziari devono essere soddisfatti simultaneamente - un fatturato elevato da solo non basta. Per i soggetti essenziali, la soglia per le grandi imprese è: 250+ dipendenti OPPURE (>50 mln EUR di fatturato E >43 mln EUR di totale di bilancio). Questi esempi mostrano come le regole si applicano nella pratica.
| Scenario | Dipendenti | Fatturato | Totale di bilancio | Settore | Classificazione |
|---|---|---|---|---|---|
| Società di trading ad alto fatturato, piccolo team | 12 | 25 mln EUR | 18 mln EUR | Allegato I - Settore bancario | Importante - entrambe le soglie finanziarie superate (>10 mln EUR), il numero di dipendenti è irrilevante |
| Grande produttore, basso margine | 200 | 5 mln EUR | 3 mln EUR | Allegato II - Fabbricazione | Importante - un numero di dipendenti ≥50 è sufficiente, il fatturato non conta |
| Startup SaaS, fatturato elevato, team minuscolo | 8 | 15 mln EUR | 4 mln EUR | Allegato I - Infrastrutture digitali | Fuori ambito - il fatturato supera i 10 mln EUR ma il totale di bilancio è inferiore a 10 mln EUR. Servono ENTRAMBI |
| Ospedale regionale | 400 | 60 mln EUR | 45 mln EUR | Allegato I - Sanità | Essenziale - 250+ dipendenti in un settore dell'Allegato I. Se >30.000 casi di ricovero/anno: KRITIS |
| Trader di energia, asset-light | 15 | 120 mln EUR | 55 mln EUR | Allegato I - Energia | Essenziale - entrambe le grandi soglie finanziarie superate (>50 mln EUR di fatturato E >43 mln EUR di totale di bilancio) |
| Azienda di gestione dei rifiuti | 80 | 8 mln EUR | 6 mln EUR | Allegato II - Rifiuti | Importante - 80 dipendenti ≥ soglia di 50, nonostante il basso fatturato. Solo NACE E.38 (non bonifica E.39) |
| Fornitore di servizi gestiti (MSP) | 45 | 12 mln EUR | 11 mln EUR | Allegato I - Gestione dei servizi ICT | Importante - meno di 50 dipendenti ma entrambe le soglie finanziarie superate. Soggetto anche al CIR 2024/2690 |
| Trasformatore alimentare, forza lavoro stagionale | 55 (media annua) | 9 mln EUR | 7 mln EUR | Allegato II - Alimentari | Importante - il conteggio del personale usa le unità di lavoro annue (Racc. 2003/361/CE Art. 5). I picchi stagionali contano proporzionalmente |
| Prestatore di servizi fiduciari qualificati (qTSP) | 3 | 500 mila EUR | 200 mila EUR | Allegato I - Infrastrutture digitali | Essenziale - indipendente dalla dimensione ai sensi dell'§28(1) BSIG. I qTSP sono sempre essenziali indipendentemente dalla dimensione |
| Distributore di prodotti chimici, grande filiale | 180 | 70 mln EUR | 50 mln EUR | Allegato II - Prodotti chimici | Importante - nonostante i grandi dati finanziari, i settori dell'Allegato II raggiungono al massimo il livello importante. Solo Allegato I + grande = essenziale |
Soglie dimensionali secondo la Raccomandazione UE 2003/361/CE Art. 2, richiamata dall'Art. 2(1) della Direttiva NIS2. Il conteggio dei dipendenti usa le unità di lavoro annue (Art. 5). Le regole sulle imprese associate/collegate (Allegato Art. 3) possono aggregare il personale e i dati finanziari della società madre. La classificazione settoriale segue gli Allegati I/II della Direttiva NIS2, trasposti nel BSIG §28 Anlage 1/2. I casi indipendenti dalla dimensione secondo l'§28(1) BSIG.
Cosa è identico tra tutte e tre le categorie
Gli obblighi di conformità definiti all'§30(2) BSIG sono gli stessi per importanti, essenziali e KRITIS. Non esiste una versione più leggera per i soggetti importanti né una versione più pesante per i soggetti essenziali. Le 10 categorie di misure di sicurezza si applicano in egual misura:
- Politiche e procedure di gestione del rischio (§30(2) Nr. 1)
- Gestione e segnalazione degli incidenti - 24h iniziale, 72h dettagliata, 1 mese rapporto finale (§32)
- Continuità operativa e ripristino in caso di disastro (§30(2) Nr. 3)
- Sicurezza della catena di approvvigionamento (§30(2) Nr. 4)
- Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione (§30(2) Nr. 5)
- Politiche per valutare l'efficacia delle misure di sicurezza (§30(2) Nr. 6)
- Igiene di cibersicurezza e formazione (§30(2) Nr. 7)
- Politiche di crittografia e cifratura (§30(2) Nr. 8)
- Sicurezza delle risorse umane e controllo degli accessi (§30(2) Nr. 9)
- Autenticazione a più fattori e comunicazioni sicure (§30(2) Nr. 10)
- Registrazione presso il BSI entro 3 mesi (§33)
- Responsabilità degli organi di gestione - responsabilità personale per l'approvazione e il monitoraggio delle misure di sicurezza (§38)
Ciò significa che la piattaforma NISD2 copre tutti i tipi di soggetti con lo stesso insieme di requisiti. Che siate un'azienda alimentare importante o un fornitore di energia essenziale, il processo di conformità è identico. Completate gli stessi requisiti, producete le stesse evidenze e soddisfate gli stessi standard.
| Obbligo | Importante | Essenziale | KRITIS |
|---|---|---|---|
| 10 misure di sicurezza (§30) | Richiesto | Richiesto | Richiesto |
| Segnalazione degli incidenti (§32) | 24h / 72h / 1 mese | 24h / 72h / 1 mese | 24h / 72h / 1 mese |
| Registrazione presso il BSI (§33) | Base | Base | Estesa - servizio critico, metriche di approvvigionamento, ubicazione dell'impianto, contatto 24/7 |
| Responsabilità degli organi di gestione (§38) | Responsabilità personale | Responsabilità personale | Responsabilità personale |
| Vigilanza del BSI | Solo reattiva (§62) - il BSI agisce solo quando esistono prove di non conformità | Proattiva (§61) - il BSI può effettuare audit in qualsiasi momento senza motivo | Proattiva + ciclo di verifica obbligatorio triennale (§39) |
| Sanzione massima (base) | 7.000.000 EUR | 10.000.000 EUR | 10.000.000 EUR |
| Sanzione massima (fatturato) | 1,4% del fatturato mondiale | 2% del fatturato mondiale | 2% del fatturato mondiale |
| Sistemi di rilevamento degli attacchi (§31) | Non richiesto | Non richiesto | Richiesto - capacità SIEM/SOC continua |
| Prova di conformità obbligatoria (§39) | Non richiesta | Non richiesta | Richiesta - ogni 3 anni, presentata al BSI |
KRITIS: tre obblighi aggiuntivi
Gli operatori KRITIS - soggetti che gestiscono infrastrutture il cui guasto comprometterebbe l'approvvigionamento pubblico (reti elettriche, trattamento delle acque, ospedali) - devono soddisfare tre requisiti aggiuntivi oltre a quanto devono fare i soggetti importanti ed essenziali.
§31 - Sistemi di rilevamento degli attacchi (Angriffserkennungssysteme)
Vi serve un sistema che sorvegli la vostra rete 24 ore su 24 e che sappia individuare attacchi in corso o rilevare che qualcuno è già entrato. In pratica ciò significa implementare un SIEM (Security Information and Event Management) - un software che raccoglie i log da ogni server, firewall ed endpoint, li correla e segnala le anomalie. Deve usare la corrispondenza di pattern E il rilevamento delle anomalie, non solo le firme. La maggior parte delle aziende esternalizza questo a un fornitore di SOC gestito (Security Operations Center), il che costa tipicamente 5.000-15.000 EUR al mese. I normali soggetti NIS2 possono cavarsela con un monitoraggio di base - gli operatori KRITIS esplicitamente no.
§33(2) - Registrazione estesa presso il BSI
Oltre alla registrazione standard (nome, settore, contatto), gli operatori KRITIS devono comunicare al BSI esattamente quale servizio critico forniscono (ad es. 'approvvigionamento di acqua potabile per 200.000 persone'), quali componenti critici utilizzano, l'ubicazione fisica dell'impianto e una persona di contatto raggiungibile 24/7 a qualsiasi ora. Le metriche di approvvigionamento devono essere comunicate annualmente - il BSI le usa per verificare che superiate ancora la soglia KRITIS (definita nella BSI-KritisV, ad es. 500.000 persone servite per l'acqua, 104 MW per l'energia elettrica).
§39 - Prova di conformità obbligatoria ogni 3 anni (Nachweispflicht)
Ogni 3 anni dovete presentare proattivamente al BSI risultati di audit, rapporti di sicurezza o certificazioni che dimostrino la conformità a tutte le misure dell'§30 e al rilevamento degli attacchi dell'§31. Il BSI non deve venire a cercarvi - siete voi ad andare da lui. Se il BSI riscontra carenze, emette ordini vincolanti di rimedio con scadenze e pretende la prova che abbiate corretto i problemi. Pensatelo come un ciclo di certificazione ISO obbligatorio, tranne che l'auditor è lo Stato. Prima scadenza: dicembre 2028 (5 anni per gli ospedali: dicembre 2030).
Cosa significa questo per la vostra azienda
Se siete un'azienda da 50-250 dipendenti in Germania - l'utente tipico di NISD2 - siete quasi certamente classificati come wichtige Einrichtung (soggetto importante). La vostra azienda manifatturiera, di trasformazione alimentare o fornitore di servizi IT rientra in questa categoria. Il lavoro di conformità che dovete svolgere è esattamente lo stesso di quello che svolge un grande soggetto essenziale o persino un operatore KRITIS. L'unica differenza pratica: il BSI non vi sottoporrà ad audit in modo proattivo a meno che non abbia un motivo (un incidente, un reclamo o una segnalazione).
Questo non è un motivo per fare di meno. Se il BSI vi sottopone ad audit - in modo reattivo, dopo un incidente - e vi trova non conformi, si applicano sanzioni fino a 7 milioni di EUR o all'1,4% del fatturato mondiale. E i vostri organi di gestione sono personalmente responsabili ai sensi dell'§38. La posizione più sicura è la piena conformità indipendentemente dalla categoria. NISD2 vi fornisce lo stesso processo di conformità usato dai soggetti essenziali e KRITIS, perché i requisiti sono identici.
Domande frequenti
La mia azienda può essere sia importante che essenziale?
No. Le categorie si escludono a vicenda ai sensi dell'§28 BSIG. Se soddisfate la soglia essenziale (250+ dipendenti o >50 mln di fatturato in un settore dell'Allegato I), siete essenziali. Se soddisfate la soglia importante ma non quella essenziale, siete importanti. KRITIS è un sottoinsieme degli essenziali - gli operatori KRITIS sono automaticamente classificati come essenziali con obblighi aggiuntivi in più.
Sono un soggetto importante. Devo fare meno lavoro di conformità?
No. Le 10 categorie di misure di sicurezza dell'§30(2) BSIG si applicano in modo identico sia ai soggetti importanti che a quelli essenziali. L'unica differenza è l'applicazione: il BSI vigila sui soggetti essenziali in modo proattivo (audit casuali) e sui soggetti importanti in modo reattivo (solo dopo prove di non conformità). Ma le misure in sé, le tempistiche di segnalazione degli incidenti e la responsabilità degli organi di gestione sono tutte uguali.
Come faccio a sapere se sono KRITIS?
La classificazione KRITIS è definita nel regolamento BSI-KritisV, sulla base di soglie di approvvigionamento specifiche: 500.000 persone servite per l'acqua, 104 MW di capacità installata per l'energia elettrica, 30.000 casi di ricovero all'anno per gli ospedali, ecc. Se il guasto della vostra infrastruttura non comprometterebbe direttamente l'approvvigionamento pubblico a queste scale, non siete KRITIS. La maggior parte delle aziende del mid-market non è KRITIS - sono soggetti importanti o essenziali.
Cosa succede se sbaglio la classificazione del mio soggetto?
La classificazione determina l'intensità della vigilanza e i massimali sanzionatori, non ciò che dovete attuare. Se attuate tutte e 10 le categorie di misure (cosa in cui NISD2 vi guida), siete conformi indipendentemente dalla classificazione. Il rischio di una classificazione errata è sottovalutare la vostra esposizione alla vigilanza - pensare che il BSI non vi sottoporrà ad audit quando in realtà può farlo.
Il CIR 2024/2690 distingue tra soggetti importanti ed essenziali?
No. Il CIR si applica a specifici tipi di soggetti (fornitori di servizi cloud, fornitori DNS, fornitori di servizi gestiti, ecc.) indipendentemente dal fatto che siano classificati come importanti o essenziali. I requisiti tecnici del CIR sono identici per entrambe le categorie.
- §28 BSIG - Classificazione dei soggetti (soggetti essenziali e importanti)
- §30 BSIG - Misure di gestione del rischio (10 categorie, identiche per tutti i tipi di soggetto)
- §31 BSIG - Sistemi di rilevamento degli attacchi (solo KRITIS)
- §32 BSIG - Obblighi di segnalazione degli incidenti (tempistiche identiche per tutti i tipi di soggetto)
- §33 BSIG - Obblighi di registrazione (estesi per KRITIS)
- §38 BSIG - Responsabilità degli organi di gestione (identica per tutti i tipi di soggetto)
- §39 BSIG - Prova di conformità (solo KRITIS, ogni 3 anni)
- §61 BSIG - Vigilanza sui soggetti essenziali (proattiva)
- §62 BSIG - Vigilanza sui soggetti importanti (reattiva)
- §65 BSIG - Sanzioni e ammende
- CIR 2024/2690 - Regolamento di esecuzione UE (nessuna distinzione per tipo di soggetto)
- BSI-KritisV - Regolamento sulle soglie KRITIS