Analisi delle lacune di registrazione NIS2
Il BSI ha stimato ~30.000 soggetti rientranti in NIS2 in Germania. Il termine di registrazione è scaduto il 6 marzo 2026. Una quota significativa delle aziende rientranti nell'ambito non si è ancora registrata - lasciandole esposte all'applicazione ai sensi del §65 BSIG.
Il §33 BSIG richiede a ogni soggetto che rientra in NIS2 - sia esso soggetto essenziale o importante - di registrarsi presso il Bundesamt für Sicherheit in der Informationstechnik (BSI). Questo non è facoltativo. L'obbligo di registrazione esiste indipendentemente dal fatto che l'azienda abbia implementato misure di cybersicurezza. Devi prima registrarti, poi conformarti.
Il portale di registrazione del BSI (muk.bsi.bund.de) è entrato in funzione il 6 gennaio 2026 - un mese dopo l'entrata in vigore del BSIG. Il termine di registrazione ai sensi del §33 BSIG era il 6 marzo 2026 (3 mesi dopo l'entrata in vigore). Nonostante un chiaro obbligo di legge e una finestra di due mesi, una quota significativa dei circa 29.000-30.000 soggetti stimati rientranti nell'ambito non si è registrata entro il termine. Un sondaggio di G DATA ha rilevato che il 44% delle aziende interessate ignorava del tutto i propri obblighi NIS2.
La lacuna di registrazione è particolarmente preoccupante perché la registrazione è una precondizione per il regime di vigilanza del BSI. I soggetti non registrati non sono invisibili - sono non conformi per impostazione predefinita. Quando il BSI avvierà un'applicazione sistematica (che ha segnalato per il 2026), le aziende non registrate rischieranno sanzioni non solo per le misure di cybersicurezza mancanti, ma per la stessa violazione di registrazione - un illecito distinto ai sensi del §65 BSIG.
~29.000-30.000
Soggetti stimati rientranti nell'ambito
Stima dello stesso BSI dei soggetti sottoposti agli obblighi NIS2 ai sensi del NIS2UmsuCG, che copre sia i soggetti essenziali sia quelli importanti.
44%
Ignari degli obblighi NIS2
Sondaggio G DATA (2024): il 44% delle aziende mid-market tedesche non sapeva che NIS2 si applicasse loro - prima ancora che la legge entrasse in vigore.
2 mesi
Finestra di registrazione
Il portale del BSI è entrato in funzione il 6 gennaio 2026. Il termine di registrazione era il 6 marzo 2026 - una finestra di due mesi per ~30.000 soggetti per registrarsi.
§33 BSIG
Base giuridica della registrazione
La registrazione è richiesta senza indebito ritardo (unverzüglich) dopo aver determinato che il soggetto rientra nell'ambito. Non esiste alcun periodo di tolleranza - l'obbligo è immediato all'entrata in vigore della legge.
Perché esiste la lacuna
Quattro fattori strutturali spiegano perché la maggioranza dei soggetti NIS2 tedeschi non si è registrata.
Mancanza di consapevolezza
Un sondaggio di G DATA condotto nel 2024 ha rilevato che il 44% delle aziende mid-market tedesche ignorava che NIS2 si applicasse loro. I criteri di ambito - 50+ dipendenti o 10 milioni di euro di fatturato in 18 settori coperti - non sono evidenti per le aziende che non si sono mai confrontate con la regolamentazione della sicurezza IT. Molte aziende in settori come la gestione dei rifiuti, la produzione alimentare e la produzione chimica non si considerano 'infrastruttura critica'.
Complessità della delimitazione dell'ambito
Determinare se un'azienda rientra in NIS2 richiede di mappare l'attività rispetto agli Allegati I e II della Direttiva NIS2 (trasposti nel §28 BSIG). Le definizioni di settore fanno riferimento a codici NACE, soglie di fatturato e numeri di dipendenti - ma i casi limite abbondano. Le aziende con linee di business miste, copertura settoriale parziale o strutture di gruppo affrontano una genuina incertezza sul fatto che rientrino o meno nell'ambito.
Vincoli di risorse
Le aziende del Mittelstand tedesco nella fascia 50-250 dipendenti tipicamente non dispongono di personale dedicato alla conformità o alla sicurezza delle informazioni. La persona responsabile dell''IT' è spesso responsabile anche di immobili, approvvigionamento e tutto ciò che coinvolge un computer. La registrazione NIS2 richiede di comprendere il testo regolatorio, classificare il settore dell'azienda e navigare un portale governativo - compiti che esulano dalle normali operazioni.
Incertezza legislativa
Il NIS2UmsuCG è passato attraverso più bozze ed è stato rinviato diverse volte prima dell'approvazione finale. Molte aziende hanno adottato un approccio 'aspetta e vedi', aspettandosi ulteriori modifiche o proroghe dei termini. È stata una scommessa razionale ma sbagliata - la legge è stata approvata, l'obbligo di registrazione è in vigore, e il BSI non concede proroghe.
Sanzioni amministrative
Il §65 BSIG prevede sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo mondiale per i soggetti essenziali, e fino a 7 milioni di euro o l'1,4% per le wichtige Einrichtungen. La mancata registrazione è una violazione distinta dalla non conformità con le misure di sicurezza sostanziali - il che significa che le aziende possono incorrere in sanzioni per entrambe.
Responsabilità personale della direzione
Ai sensi del §38 BSIG, la Geschäftsleitung è personalmente responsabile di garantire la conformità agli obblighi NIS2 - inclusa la registrazione. Un amministratore delegato che non registra l'azienda è in violazione personale dei suoi doveri di legge, creando un'esposizione a pretese di responsabilità personale da parte dell'azienda o dei suoi soci.
Priorità di applicazione
Il BSI ha indicato che darà priorità all'applicazione contro i soggetti che non si sono registrati, perché la mancata registrazione segnala una non conformità completa. Un'azienda che si è registrata ma sta lavorando sulle misure dimostra buona fede. Un'azienda che non si è nemmeno registrata non ha alcuna difesa basata su sforzi di attuazione in corso.
Impatto reputazionale e commerciale
I requisiti NIS2 sulla catena di approvvigionamento (§30(2)(4) BSIG) implicano che le aziende rientranti nell'ambito devono valutare la postura di cybersicurezza dei propri fornitori. Un'azienda non registrata non può dimostrare la conformità NIS2 ai propri clienti - rischiando di perdere contratti o di essere segnalata negli audit della catena di approvvigionamento. Questa pressione commerciale accelererà man mano che più aziende implementeranno la due diligence sulla catena di approvvigionamento.
- BSI - Statistiche di registrazione NIS2, dichiarazioni pubbliche (2025)
- G DATA CyberDefense - Sondaggio sulla consapevolezza NIS2: il 44% delle aziende mid-market ignaro degli obblighi (2024)
- G DATA CyberDefense - Sondaggio sulla consapevolezza NIS2 tra le aziende mid-market tedesche (2024)
- BSIG - §33 (Obbligo di registrazione), §65 (Sanzioni amministrative), §38 (Responsabilità della direzione)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie (Legge di attuazione di NIS2)
- BMI - Referentenentwürfe e documentazione parlamentare per il NIS2UmsuCG