Autoclassificazione ai sensi di NIS 2: il silenzio del BSI non è una difesa
La maggior parte dei team Mittelstand aspetta una lettera che non arriverà mai. NIS 2 pone su di te l'obbligo di capire se rientri nell'ambito, e l'orologio corre sia che tu verifichi sia che non lo faccia.
L'equivoco più costoso
Molti soggetti del Mittelstand interpretano l'assenza di una lettera del BSI come prova di non rientrare nell'ambito di NIS 2. Si sbagliano. La direttiva e il §33 BSIG pongono il dovere di registrazione sul soggetto, non sull'autorità.
Il meccanismo è semplice. L'Art. 27(1) NIS 2 obbliga gli Stati membri a istituire un registro dei soggetti essenziali e importanti. Il §33(1) BSIG lo traspone: i soggetti si registrano entro tre mesi dal soddisfacimento delle condizioni. Il termine parte da quando soddisfi i criteri, non da quando qualcuno te lo dice.
Nella pratica ciò significa che un'azienda di gestione dei rifiuti di 70 persone nell'Allegato II può silenziosamente rientrare nell'ambito per oltre un anno, accumulando sanzioni ai sensi del §65 BSIG e responsabilità personale ai sensi del §38 BSIG, finché qualcuno finalmente non controlla l'Allegato.
Art. 27(1) NIS 2 (dovere di registro)
Member States shall require essential and important entities to submit at least the following information to the competent authorities: name; address; up-to-date contact details; sector and subsector; list of Member States where they provide services.
Il dovere corre dal soggetto all'autorità, non viceversa. Non c'è alcuna disposizione in NIS 2 che richieda all'autorità di identificare per prima i soggetti rientranti nell'ambito.
§33(1) BSIG (termine di 3 mesi)
Wesentliche und wichtige Einrichtungen registrieren sich innerhalb von drei Monaten nach erstmaligem Eintritt der Voraussetzungen beim Bundesamt.
Tre mesi dal momento in cui il soggetto soddisfa per la prima volta le condizioni. Non c'è alcun periodo di attesa per una lettera del BSI. L'orologio corre sul calendario del soggetto stesso.
Art. 2 + Allegato I/II NIS 2 (settore + dimensione)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or which exceed the ceilings for medium-sized enterprises.
Due domande decidono se rientri nell'ambito: sei un tipo dell'Allegato I o II, e sei almeno di medie dimensioni (50+ dipendenti e fatturato >10 mln € o totale di bilancio >10 mln €). Più le deroghe 'indipendentemente dalle dimensioni' per i servizi fiduciari, DNS, registri di TLD, pubblica amministrazione, fornitori unici in uno Stato membro.
Confronta l'Allegato I e II con la tua attività
L'Allegato I riguarda i soggetti essenziali (energia, trasporti, banche, mercato finanziario, sanità, acqua potabile, acque reflue, infrastruttura digitale, gestione dei servizi ICT, pubblica amministrazione, spazio). L'Allegato II riguarda i soggetti importanti (servizi postali, rifiuti, prodotti chimici, alimentare, manifatturiero, fornitori digitali, ricerca). Abbina in base all'attività effettiva, non alla forma giuridica.
Confronta la dimensione con la definizione UE di PMI
Medie dimensioni: da 50 a 249 dipendenti E (fatturato o totale di bilancio superiore a 10 mln €). Grandi: 250+ dipendenti OPPURE fatturato superiore a 50 mln € OPPURE totale di bilancio superiore a 43 mln €. Usa la Raccomandazione 2003/361/CE alla lettera, conta le imprese collegate e associate secondo le regole della raccomandazione.
Verifica le deroghe indipendenti dalle dimensioni
Fornitore unico di un servizio in uno Stato membro, pubbliche amministrazioni dell'amministrazione centrale, fornitori di servizi DNS, registri dei nomi di TLD, prestatori di servizi fiduciari qualificati rientrano nell'ambito indipendentemente dalle dimensioni. Da ricordare: se rientri in una di queste, la soglia dimensionale non si applica.
Sanzione amministrativa ai sensi del §65 BSIG
Fino a 10 milioni di euro o il 2 percento del fatturato annuo mondiale, a seconda di quale sia maggiore, per i soggetti essenziali. Fino a 7 milioni di euro o l'1,4 percento per i soggetti importanti. La sanzione si applica al soggetto. La violazione non è la sola tardività della registrazione; è la sottostante non conformità con gli obblighi degli Art. 21 e Art. 23 accumulata durante il periodo di silenzio.
Responsabilità personale dell'organo di amministrazione ai sensi del §38 BSIG
L'Art. 20(1) NIS 2 trasposto nel §38 BSIG rende l'organo di amministrazione responsabile dell'approvazione e della supervisione delle misure di gestione del rischio. La scoperta tardiva non è una difesa; l'organo avrebbe dovuto assicurarsi che la classificazione fosse stata effettuata.
Escalation del potere di vigilanza
L'Art. 32 NIS 2 consente all'autorità competente di imporre obblighi, esigere audit e, nel caso peggiore, sospendere le operazioni. Chi entra in ritardo tende ad attirare maggiore vigilanza perché l'autorità deve verificare il recupero.
Esegui oggi la verifica di applicabilità
Mappa la tua attività sull'Allegato I o II, conta dipendenti e fatturato, percorri le deroghe indipendenti dalle dimensioni. Documenta il risultato anche se è negativo. Un'analisi scritta di 'non rientrante nell'ambito' è l'unica difesa in una controversia successiva.
Se rientri nell'ambito, registrati entro tre mesi
Tramite il portale del BSI ai sensi del §33 BSIG. Richiede un certificato di organizzazione ELSTER che a sua volta richiede da due a tre settimane. Avvia prima la richiesta ELSTER se il termine di registrazione è stretto.
Ripeti la verifica annualmente
Gli Allegati possono essere modificati (revisione Art. 6 NIS 2). Il tuo numero di dipendenti e il fatturato cambiano. Una posizione di 'non rientrante nell'ambito' diventa obsoleta. Programma una riverifica annuale.
- Direttiva (UE) 2022/2555 (NIS 2), Art. 2, Art. 3, Allegato I, Allegato II, Art. 27, www.eur-lex.europa.eu
- Legge sull'Ufficio federale per la sicurezza nella tecnologia dell'informazione (BSIG), §33, §38, §65, www.gesetze-im-internet.de
- Raccomandazione 2003/361/CE della Commissione relativa alla definizione delle microimprese, piccole e medie imprese, www.eur-lex.europa.eu
- Legge di attuazione di NIS-2 e di rafforzamento della cybersicurezza (NIS2UmsuCG)
Questa pagina fornisce orientamento strutturato basato su fonti pubblicamente disponibili (Direttiva NIS 2, BSIG, Raccomandazione UE sulle PMI). Non costituisce consulenza legale ai sensi del §2 RDG. Per casi specifici consulta un avvocato abilitato. Aggiornato al 2026-06-04.