BSIG / NIS2UmsuCG

NIS2 in Germania

La Germania ha recepito la Direttiva NIS2 nel diritto nazionale attraverso il NIS2UmsuCG, rielaborando la legge federale sulla sicurezza informatica (BSIG). Tutti gli obblighi si applicano dal 6 dicembre 2025.

Simon Orzel·Laufend geprüft

Cronologia tedesca

Data	Evento
27 dic 2022	Direttiva NIS2 pubblicata nella Gazzetta ufficiale dell'UE L 333 (adottata il 14 dic 2022)
16 gen 2023	La NIS2 entra in vigore a livello UE
17 ott 2024	Termine UE per il recepimento (la Germania lo ha mancato)
13 nov 2025	Il Bundestag approva il NIS2UmsuCG
21 nov 2025	Il Bundesrat dà il via libera
5 dic 2025	Pubblicata nel Bundesgesetzblatt
6 dic 2025	Il nuovo BSIG entra in vigore, tutti gli obblighi si applicano immediatamente
6 gen 2026	Il portale di registrazione del BSI entra in funzione
6 mar 2026	Termine per la registrazione presso il BSI
~2028	Operatori KRITIS: prima prova di conformità dovuta

Non vi è alcun periodo transitorio. Le misure di gestione del rischio, la segnalazione degli incidenti e la responsabilità della direzione si applicano dal giorno in cui la legge è entrata in vigore.

Vedi la cronologia NIS2 completa→

Categorie di soggetti

La Germania utilizza una terminologia diversa da quella della direttiva UE. Circa 29.500 imprese in Germania sono interessate.

Termine UE	Termine tedesco	Abbreviazione
Soggetto essenziale	Besonders wichtige Einrichtung	bwE
Soggetto importante	Wichtige Einrichtung	wE
Operatore di infrastrutture critiche	Betreiber kritischer Anlagen	KRITIS

La gerarchia: KRITIS ⊂ soggetti essenziali ⊂ tutti i soggetti NIS2. Gli operatori KRITIS sono automaticamente classificati come soggetti essenziali.

Sanzioni

Per categoria di soggetto

Categoria	Sanzione massima	Alternativa basata sul fatturato
Soggetti essenziali	EUR 10.000.000	2% del fatturato annuo mondiale del gruppo
Soggetti importanti	EUR 7.000.000	1,4% del fatturato annuo mondiale del gruppo

Per tipo di violazione

Violazione	Sanzione massima
Mancata attuazione delle misure di cibersicurezza (§30)	EUR 10M / EUR 7M
Mancata segnalazione degli incidenti (§32)	EUR 10M / EUR 7M
Inosservanza delle disposizioni del BSI	EUR 10M / EUR 7M
KRITIS: mancata segnalazione di componenti critici	EUR 5.000.000
KRITIS: carenza nelle procedure di prova in sede di audit	EUR 2.000.000
Violazioni in materia di registrazione, mancata notifica al BSI	EUR 500.000
Ostacolo alle ispezioni del BSI	EUR 500.000
Carenze nella reperibilità del punto di contatto	EUR 100.000

Responsabilità della direzione (§38 BSIG)

Una delle disposizioni di maggiore impatto del recepimento tedesco. Gli organi di direzione sono personalmente responsabili della conformità in materia di cibersicurezza.

Tre obblighi fondamentali

Approvazione (Billigung)

La direzione deve approvare formalmente le misure di gestione del rischio di cibersicurezza ai sensi del §30 BSIG.

Vigilanza (Überwachung)

Monitoraggio attivo dell'attuazione, non semplice consapevolezza passiva. La direzione deve verificare che le misure siano effettivamente attuate.

Formazione (Schulung)

Partecipazione personale obbligatoria alla formazione in materia di cibersicurezza almeno ogni 3 anni. Questo obbligo non può essere delegato.

I dirigenti sono personalmente responsabili nei confronti della propria società quando violano colpevolmente tali obblighi. La delega dei compiti operativi è consentita, ma la responsabilità strategica e la vigilanza restano in capo alla direzione. La direzione non può invocare a propria difesa la mancanza di competenze tecniche.

Il §38 BSIG vieta espressamente le rinunce contrattuali alla responsabilità da parte dei soci che siano sproporzionate rispetto all'incertezza esistente in merito ai diritti.

Registrazione presso il BSI

Tutti i soggetti classificati come soggetti essenziali o importanti devono registrarsi presso il BSI.

Termine: 6 marzo 2026 (3 mesi dopo l'entrata in vigore del BSIG).

La registrazione avviene mediante una procedura in due fasi: prima si crea un account tramite Mein Unternehmenskonto (MUK/ELSTER), poi ci si registra tramite il portale del BSI (attivo dal 6 gennaio 2026).

La registrazione è un obbligo di autoidentificazione, senza notifica da parte del BSI. Le imprese devono determinare da sé se rientrano nell'ambito di applicazione. Il BSI può anche ordinare a un'impresa di registrarsi se accerta che essa rientra nell'ambito di applicazione.

Modello di vigilanza

Aspetto	Essenziale	Importante
Vigilanza	Proattiva (ex ante), il BSI può effettuare audit in qualsiasi momento	Reattiva (ex post), solo in presenza di indizi di non conformità
Sanzione massima	EUR 10M o 2% del fatturato mondiale	EUR 7M o 1,4% del fatturato mondiale
Requisiti di audit	Controlli a campione basati sul rischio da parte del BSI	Solo in presenza di sospetto giustificato
Ciclo di audit KRITIS	Ogni 3 anni (se operatore KRITIS)	N/A