NIS2 per le aziende di gestione dei rifiuti
Il tuo settore rientra di recente nell'ambito ai sensi dell'allegato II di NIS2. Se la tua azienda di gestione dei rifiuti ha 50+ dipendenti o oltre 10 milioni di euro di fatturato, questa è la tua guida pratica a cosa richiede la legge e da dove iniziare.
Perché NIS2 si applica alle aziende di gestione dei rifiuti?
La gestione dei rifiuti è stata aggiunta a NIS2 perché le operazioni moderne nel settore dipendono fortemente dai sistemi IT. Gestione delle flotte, ottimizzazione dei percorsi, sistemi di pesatura, controlli degli impianti di selezione, fatturazione e rendicontazione regolamentare funzionano tutti su software in rete. Un attacco ransomware che mette fuori uso il sistema di gestione della flotta di un'azienda di rifiuti non si limita a fermare i camion: crea un rischio per la salute pubblica. I rifiuti non raccolti in una città di 200.000 abitanti diventano una crisi nel giro di giorni.
L'UE ha classificato la gestione dei rifiuti nell'allegato II della direttiva NIS2, il che significa che le aziende del settore rifiuti che raggiungono la soglia dimensionale (50+ dipendenti o oltre 10 milioni di euro di fatturato annuo) sono classificate come 'soggetti importanti' (wichtige Einrichtungen) ai sensi del §28(2) BSIG. Questo comporta l'applicazione dell'intera gamma di obblighi NIS2: registrazione presso il BSI, misure di gestione dei rischi di cybersicurezza, notifica degli incidenti, sicurezza della catena di fornitura e responsabilità della dirigenza.
La maggior parte delle aziende di rifiuti non ha mai avuto a che fare con una regolamentazione sulla cybersicurezza. Non è una critica: fino a NIS2 non c'era alcun motivo giuridico per farlo. Ma significa che c'è una curva di apprendimento più ripida rispetto ai settori già soggetti a KRITIS. La buona notizia: gli ambienti IT delle aziende di rifiuti sono di norma meno complessi di quelli bancari o energetici, il che significa che l'impegno di conformità è proporzionalmente minore.
Gestione della flotta e GPS
Il software e i sistemi che gestiscono i percorsi dei veicoli, il tracciamento GPS, la pianificazione dei turni dei conducenti e l'ottimizzazione dei percorsi in tempo reale. Di solito è una piattaforma SaaS in cloud o un server on-premise. Se va fuori uso, i camion non possono essere smistati in modo efficiente. Raggruppa tutti i componenti di gestione della flotta in un'unica voce asset.
Sistemi di pesatura a ponte
Sistemi di pesatura elettronici nei siti che registrano i pesi del materiale in entrata e in uscita ai fini della fatturazione e della conformità regolamentare. Spesso collegati ai sistemi ERP. Possono includere controllori industriali più datati. Raggruppa il sistema di pesatura a ponte (hardware + software) in un unico asset.
Sistema ERP e di fatturazione
Il sistema aziendale centrale che gestisce la clientela, i contratti, la fatturazione, il tracciamento dei materiali e la rendicontazione regolamentare. Comunemente SAP Business One, DATEV o soluzioni di settore come RECY o Wastebox. La compromissione di questo sistema incide su ricavi, dati dei clienti e rendicontazione regolamentare. Una voce asset.
Controlli degli impianti di selezione e trattamento
Se la tua azienda gestisce impianti di selezione, impianti di compostaggio o impianti di termovalorizzazione, probabilmente disponi di sistemi SCADA o di controllo industriale che gestiscono i processi fisici. Sono spesso sistemi più datati con funzionalità di sicurezza limitate. Rappresentano una categoria di rischio distinta perché controllano apparecchiature fisiche. Raggruppa per impianto.
Endpoint e IT d'ufficio
Laptop, desktop e dispositivi mobili usati dal personale d'ufficio, dagli addetti allo smistamento e dalla dirigenza. Applicazioni d'ufficio standard (Microsoft 365, email, gestione documentale). Grundschutz consente di raggruppare dispositivi identici: '45 laptop Windows standard' è una voce asset, non 45.
Infrastruttura di rete
Router, switch, firewall e connessioni VPN che collegano uffici, depositi e siti di impianto. Includi le connessioni internet e qualsiasi collegamento site-to-site. Se la tua azienda ha più sedi, la rete di ciascun sito può essere una voce raggruppata. La rete è ciò che collega tutto il resto: la sua compromissione incide su tutti gli altri asset.
1. Registrati presso il BSI
Completa la tua registrazione ai sensi del §33 BSIG tramite il portale del BSI. È l'obbligo più visibile e ha una propria disposizione sanzionatoria (fino a 500.000 euro). Richiede circa 30 minuti e ti mette subito agli atti come soggetto che si sta occupando dei propri obblighi. Fallo prima di ogni altra cosa.
2. Costruisci il tuo inventario degli asset
Elenca i sistemi che supportano i tuoi servizi di raccolta, trattamento e smaltimento dei rifiuti. Usa le sei categorie sopra come punto di partenza. Per ogni asset, annota cosa fa, chi lo gestisce (internamente o un fornitore) e cosa succede se è indisponibile per 24 ore. Questo inventario diventa la base di tutto ciò che segue.
3. Imposta la notifica degli incidenti
Definisci cosa conta come incidente significativo per la tua azienda e stabilisci il processo di notifica al BSI entro le tempistiche richieste (24h/72h/1 mese). Designa chi prende la decisione di notifica, chi presenta la notifica e come raggiungerli fuori dall'orario di lavoro. Non serve un security operations center: serve un albero di chiamate chiaro e un processo documentato.
4. Rivedi i controlli di accesso
Verifica chi ha accesso ai tuoi sistemi critici, in particolare la gestione della flotta, l'ERP e qualsiasi sistema di controllo di impianto. Attua l'autenticazione a più fattori sull'accesso remoto e sugli account amministrativi. Revoca l'accesso agli ex dipendenti. È spesso l'area con i frutti più a portata di mano: molte aziende di rifiuti hanno password condivise, nessuna MFA e account di ex dipendenti ancora attivi.
5. Documenta i rapporti con i fornitori
La maggior parte delle aziende di rifiuti esternalizza funzioni IT significative: hosting in cloud, manutenzione ERP, software di gestione della flotta. Documenta chi sono questi fornitori, quale accesso hanno ai tuoi sistemi e quali impegni di sicurezza assumono. È l'inizio del tuo processo di sicurezza della catena di fornitura ai sensi del §30(2)(4) BSIG. Se il tuo fornitore IT subisce una violazione, i tuoi dati e i tuoi servizi sono a rischio.
Le aziende di rifiuti hanno un profilo di rischio peculiare. A differenza di una società di software dove quasi tutto è digitale, le operazioni nel settore rifiuti comportano processi fisici: camion sulle strade, materiali in movimento, attrezzature nei siti. Un attacco informatico alla gestione della flotta ha conseguenze immediate nel mondo fisico. Questa dimensione di operational technology fa sì che la tua valutazione dei rischi debba considerare sia i sistemi IT sia gli eventuali controlli industriali.
La maggior parte delle aziende di rifiuti esternalizza pesantemente. Molte operano con un piccolo team IT interno (o senza alcun personale IT dedicato) e si affidano a fornitori esterni per tutto, dalla email all'ERP alla gestione della flotta. Ai sensi di NIS2 puoi esternalizzare le operazioni ma non la responsabilità: il §30 BSIG ritiene la tua azienda responsabile delle misure di sicurezza anche quando le eroga un fornitore. Questo rende la gestione dei fornitori la tua leva di conformità più importante.
Il lato positivo: gli ambienti IT delle aziende di rifiuti sono di norma lineari. Un'azienda di rifiuti di 100 persone ha forse da 6 a 10 gruppi di sistemi distinti, contro i 30 o più di una banca o di un ospedale di dimensioni simili. Questo significa che l'impegno di conformità è proporzionato: si parla di settimane di lavoro mirato, non di un programma pluriennale. Lo standard 'adeguato e proporzionato' del BSI gioca qui a tuo favore.
Domande frequenti
La nostra azienda di rifiuti rientra davvero nell'ambito di NIS2?
Se la tua azienda opera nella raccolta, nel trattamento o nello smaltimento dei rifiuti e ha 50 o più dipendenti oppure oltre 10 milioni di euro di fatturato annuo, quasi certamente rientri nell'ambito come soggetto importante ai sensi dell'allegato II di NIS2. La definizione di settore copre l'intera catena della gestione dei rifiuti. Se sei vicino alla soglia, verifica se le società di gruppo collegate ti portano oltre il limite: NIS2 usa la definizione di PMI dell'UE, che considera le imprese collegate.
Esternalizziamo tutta l'IT: NIS2 si applica comunque a noi?
Sì, pienamente. NIS2 si applica al soggetto che eroga il servizio di gestione dei rifiuti, indipendentemente da chi gestisce l'IT. Puoi esternalizzare il lavoro ma non la responsabilità giuridica (§30 BSIG). In pratica, questo rende il tuo fornitore IT il fornitore più critico: documenta il rapporto, includi requisiti di cybersicurezza nel contratto e verifica che disponga di misure di sicurezza adeguate. Se subisce una violazione, scatta il tuo obbligo di notifica, non il suo.
Come si presenta un inventario degli asset per un'azienda di rifiuti?
Più semplice di quanto pensi. Una tipica azienda di rifiuti di 100 persone ha circa 10-15 voci asset raggruppate: sistema di gestione della flotta, sistema di pesatura a ponte, ERP/fatturazione, infrastruttura di rete per sito, endpoint standard (raggruppati, ad es. '45 laptop Windows'), email/collaborazione (Microsoft 365) ed eventualmente SCADA o controlli di impianto di selezione. Grundschutz consente esplicitamente di raggruppare asset identici, quindi non serve una voce per ogni laptop.
Quanto tempo richiede la conformità NIS2 per un'azienda delle nostre dimensioni?
Per un'azienda di rifiuti di 100 persone che parte da zero, aspettati da 3 a 6 mesi per raggiungere una base solida: registrazione presso il BSI (settimana 1), inventario degli asset e valutazione dei rischi (settimane da 2 a 6), processo di notifica degli incidenti (settimane da 4 a 8), miglioramenti del controllo degli accessi (settimane da 6 a 12), documentazione delle politiche (continuativa). Non devi essere perfetto dal primo giorno: il BSI valuta la traiettoria e la buona fede. Dopo l'impostazione iniziale, l'impegno continuativo è principalmente fatto di revisioni annuali e risposta agli incidenti.
- Direttiva NIS2 (UE) 2022/2555 - Allegato II, settore 4: Acque reflue e gestione dei rifiuti
- BSIG - §28 (ambito), §30 (misure di cybersicurezza), §33 (registrazione), §38 (responsabilità della dirigenza)
- BSI - Orientamenti NIS2 specifici per settore e documentazione del portale di registrazione (2025)
- IT-Grundschutz Kompendium - OPS.1.2.5 (Fernwartung), IND.1 (Prozessleit- und Automatisierungstechnik)
- BDE Bundesverband der Deutschen Entsorgungs-, Wasser- und Kreislaufwirtschaft - documenti di posizione su NIS2