Art. 41 NIS 2 + NIS2UmsuCG

NIS2UmsuCG: la legge di recepimento NIS 2 della Germania

NIS 2 è una direttiva dell'UE. L'articolo 41 ha imposto a ogni Stato membro di trasporla nel diritto nazionale entro il 17 ottobre 2024. La Germania ha mancato quella scadenza. Il NIS2UmsuCG è stato infine approvato e ha inserito i doveri in un BSIG modificato. La direttiva resta la fonte.

Simon OrzelSimon Orzel·

La versione breve

NIS 2 è una direttiva, non un regolamento. Le direttive vincolano gli Stati membri a un risultato. Ogni Paese deve scrivere la propria legge nazionale che raggiunga quel risultato. NIS 2 fissa un unico standard a livello UE per i doveri di cybersicurezza attraverso 27 leggi di recepimento.

La legge di recepimento della Germania si chiama NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Non esiste come testo a sé stante. È una legge di modifica che riscrive la legge sul BSI (BSIG). Quando oggi i professionisti tedeschi dicono 'BSIG', intendono il BSIG come modificato dal NIS2UmsuCG.

La Germania ha mancato la scadenza del 17 ottobre 2024 fissata dall'articolo 41 NIS 2. Il NIS2UmsuCG è stato approvato successivamente. A metà 2026, la legge è in vigore. I doveri sui soggetti essenziali e importanti si collocano all'interno del BSIG modificato.

La fonte giuridica
Tre livelli. La direttiva (diritto dell'UE, fissa lo standard). L'obbligo di recepimento (articolo 41 NIS 2, impone agli Stati membri di agire). Il recepimento stesso (NIS2UmsuCG → BSIG modificato).

Direttiva NIS 2 (UE) 2022/2555

La presente direttiva stabilisce misure volte a conseguire un livello comune elevato di cybersicurezza nell'Unione.

NIS 2 è una direttiva. È stata adottata il 14 dicembre 2022 ed è entrata in vigore il 16 gennaio 2023. Vincola ogni Stato membro allo stesso standard. La sostanza di ogni legge nazionale NIS 2 nell'UE deriva da questo testo.

Articolo 41(1) NIS 2

Entro il 17 ottobre 2024 gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla presente direttiva. Essi ne informano immediatamente la Commissione. Essi applicano tali misure a decorrere dal 18 ottobre 2024.

L'articolo 41 è la clausola di recepimento. Fissa due date. Le leggi nazionali dovevano essere in vigore entro il 17 ottobre 2024. I doveri dovevano applicarsi a decorrere dal 18 ottobre 2024. La Germania ha mancato entrambe. La Commissione ha avviato procedure di infrazione contro gli Stati membri in ritardo nel recepimento nel novembre 2024.

NIS2UmsuCG → BSIG modificato (Germania)

Il NIS2UmsuCG modifica la legge sul BSI per attuare la direttiva (UE) 2022/2555.

Il NIS2UmsuCG è la legge di modifica tedesca. Riscrive il BSIG. Il BSIG modificato è ciò a cui un auditor o il BSI ti riterranno tenuto in Germania. Il testo segue da vicino la direttiva, talvolta parola per parola.

Le sei sezioni del BSIG che contano davvero
Il BSIG modificato ha molte sezioni. Sei di esse contengono i doveri che ogni soggetto essenziale o importante deve conoscere. Ciascuna traspone uno specifico articolo NIS 2.
§28 + §30 BSIG

Ambito di applicazione e le dieci misure

Il §28 BSIG stabilisce chi rientra nell'ambito di applicazione: soggetti 'particolarmente importanti' e 'importanti', valutati per settore (Allegato I e II di NIS 2) e dimensione (50+ dipendenti o 10 mln EUR+ di fatturato, con deroghe). Il §30 BSIG elenca le dieci misure di cybersicurezza che ogni soggetto rientrante nell'ambito deve attuare. Il §30 traspone l'articolo 21(2) della direttiva.

§32 + §33 BSIG

Notifica degli incidenti e registrazione

Il §32 BSIG fissa la cascata di notifica degli incidenti: 24 ore per un preallarme, 72 ore per una notifica dell'incidente, un mese per una relazione finale. Traspone l'articolo 23. Il §33 BSIG impone la registrazione presso il BSI. La scadenza per la registrazione era il 6 marzo 2026. Il §33 traspone l'articolo 27.

§38 + §65 BSIG

Organo di gestione e sanzioni

Il §38 BSIG rende l'organo di gestione personalmente responsabile della conformità e impone una formazione periodica. Traspone l'articolo 20. Il §65 BSIG fissa i livelli sanzionatori: fino a 10 mln EUR o al 2% del fatturato globale per i soggetti particolarmente importanti, fino a 7 mln EUR o all'1,4% per i soggetti importanti. Il §65 traspone l'articolo 34.

Due regole per leggere i due testi insieme
Quando la direttiva e il BSIG stanno l'uno accanto all'altro, due principi ti dicono quale prevale e come leggerli.

NIS 2 è la fonte; il BSIG la copia

La sostanza di ogni dovere deriva dalla direttiva. Il NIS2UmsuCG copia l'articolo 21 nel §30 BSIG quasi parola per parola. Lo stesso vale per gli articoli 20, 23, 27 e 34. Se vuoi sapere cosa significa un dovere, leggi prima la direttiva. Leggi la sezione del BSIG per i meccanismi specifici tedeschi (quale autorità, quale portale, quale livello sanzionatorio).

Dove differiscono, prevale la direttiva

Se il testo del BSIG diverge dalla direttiva e la differenza conta, prevale la direttiva. È un principio generale del diritto dell'UE: uno Stato membro non può sotto-attuare una direttiva scrivendo un testo nazionale più debole. I giudici nazionali leggono il diritto nazionale alla luce della direttiva. Le autorità nazionali non possono far valere obblighi contro la direttiva.

La Germania accanto agli altri 26 recepimenti
Ogni Stato membro ha la propria legge di recepimento NIS 2. Quella della Germania è il NIS2UmsuCG. I doveri sono gli stessi perché la direttiva fissa lo standard. Il testo, le scadenze e l'agenzia con cui ti rapporti differiscono.
Germania

NIS2UmsuCG → BSIG, vigilato dal BSI

Il NIS2UmsuCG modifica il BSIG. Il Bundesamt für Sicherheit in der Informationstechnik (BSI) è l'autorità nazionale competente. La registrazione avviene tramite il portale del BSI. Il BSI pubblica inoltre Infopakete e indica IT-Grundschutz come via pratica all'attuazione.

A livello UE

Tracker di recepimento ENISA

L'ENISA, l'agenzia dell'UE per la cybersicurezza, pubblica una panoramica dello stato di recepimento. Mostra quali Stati membri hanno recepito, quali sono in ritardo e quali sono ancora in fase legislativa. Usalo per verificare lo stato di qualsiasi legge nazionale NIS 2, non solo quella tedesca.

Altri Stati membri

Leggi di recepimento equivalenti

Paesi Bassi: Cyberbeveiligingswet. Austria: NISG. Francia: ordonnance n° 2024-1184. Belgio: NIS2-Wet. Ciascuna traspone la stessa direttiva nella propria lingua e nel proprio stile giuridico nazionale. Un dovere nel §30 BSIG ha un esatto corrispondente in ciascuna di queste leggi. Il testo differisce; l'obbligo è lo stesso.

Tre trappole che vediamo di continuo
Tre letture errate del rapporto tra direttiva e recepimento che emergono nelle telefonate di preparazione all'audit. Tutte e tre portano a lacune.

  • La direttiva non mi vincola, solo il BSIG lo fa.

    I doveri operano attraverso il BSIG, sì. Ma il BSIG si legge alla luce della direttiva. Se un'autorità nazionale o un giudice interpreta una clausola ambigua del BSIG, guardano alla direttiva. Per le questioni a livello UE (contratti transfrontalieri con i fornitori, politica del rischio multigiurisdizionale) la direttiva è il riferimento corretto. Il BSIG è l'attuazione tedesca, non un codice chiuso e autosufficiente.

  • Aspettiamo che la legge sia in vigore prima di conformarci.

    La direttiva si applica a decorrere dal 18 ottobre 2024. Il recepimento tardivo della Germania non ha ritardato il tuo dovere sostanziale. Gli assicuratori cyber, i grandi clienti e gli organismi di audit hanno iniziato a chiedere prove di conformità a NIS 2 nel 2025, prima dell'approvazione del NIS2UmsuCG. Una volta modificato il BSIG, i doveri sono diventati direttamente azionabili. Il recepimento tardivo ha accorciato il margine di tempo, non lo ha esteso.

  • Il NIS2UmsuCG è una legge tedesca unica nel suo genere.

    Ogni Stato membro ha un recepimento equivalente. I doveri sono gli stessi. Differiscono solo il testo, l'agenzia di vigilanza e il livello sanzionatorio. Se operi in tre Paesi dell'UE, non ti servono tre quadri di rischio. Ti serve un unico quadro che soddisfi la direttiva e tre brevi appendici nazionali per i meccanismi locali (quale portale, quale formato di scadenza, quale autorità).

Come leggere davvero i due testi

La maggior parte degli operatori del Mittelstand dovrebbe leggerli entrambi. La direttiva per la sostanza. Il BSIG per le specifiche procedurali. Leggi l'articolo 21 di NIS 2 per capire cosa significa gestione del rischio. Leggi il §30 BSIG per come la Germania lo formula e quali orientamenti del BSI si applicano. I due insieme ti dicono cosa devi.

Per le operazioni multinazionali, la direttiva è il testo di lavoro. Costruisci il tuo registro dei rischi, il tuo playbook degli incidenti e i tuoi contratti con i fornitori sulla base della direttiva. Poi tieni una breve appendice nazionale per ogni Paese: presso quale autorità ti registri, attraverso quale portale notifichi, quale livello sanzionatorio si applica. Così mantieni un unico quadro sostanziale con sottili involucri nazionali, anziché 27 quadri paralleli.

Come gestiamo tutto questo sulla piattaforma

Mappiamo la direttiva e il BSIG fianco a fianco. Ogni requisito sulla piattaforma mostra l'articolo NIS 2 che traspone accanto alla sezione §30 / §32 / §33 / §38 BSIG che lo rende operativo in Germania. Stesso obbligo, due letture. Leggi il livello che corrisponde a ciò che stai facendo in questo momento.

Se operi in più di un Paese dell'UE, la vista della direttiva resta costante. L'involucro nazionale (quale autorità, quale portale, quale livello sanzionatorio) cambia per Paese. Estendiamo lo stesso modello ad altri Stati membri (NL, AT, FR) man mano che aggiungiamo contenuti nazionali.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), articolo 41 (recepimento) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Bundestag-Drucksache e Bundesgesetzblatt
  • Legge sul BSI (BSIG), §§28, 30, 32, 33, 38, 65 come modificata dal NIS2UmsuCG
  • Pacchetto di infrazione della Commissione europea del novembre 2024, lettere di costituzione in mora per il recepimento tardivo di NIS 2
  • Panoramica ENISA dello stato di recepimento di NIS 2
Affianca NIS 2 e BSIG
Ogni requisito sulla piattaforma mostra l'articolo della direttiva e la sezione del BSIG. Gratuito, open source, senza lock-in.
Apri la piattaforma gratuita