Avete mancato la scadenza di registrazione presso il BSI. E adesso?
Circa 18.000 aziende tedesche hanno mancato la scadenza di registrazione prevista dal §33 BSIG. Il portale del BSI è ancora aperto. Ecco ciò che conta ora, e ciò che accade davvero se agite rapidamente.
La risposta breve
Niente panico. Non siete soli, e non è troppo tardi per rimediare. Il BSI ha stimato che circa 30.000 soggetti rientrano nell'ambito della NIS2 in Germania. La scadenza di registrazione è scaduta il 6 marzo 2026, ma un numero significativo di aziende non si è ancora registrato. Siete ben lungi dall'essere gli unici in questa situazione.
Il portale di registrazione previsto dal §33 BSIG è ancora aperto. Potete registrarvi oggi. Il BSI ha segnalato che darà priorità all'applicazione delle sanzioni nei confronti delle aziende che ignorano del tutto i propri obblighi, non di quelle che si sono registrate in ritardo ma agiscono in buona fede. Tardi è meglio che mai, e 'mai' è l'unica opzione davvero pericolosa.
La cosa fondamentale è agire ora, documentare di aver iniziato e avviare il lavoro effettivo di conformità. Una registrazione tardiva con progressi visibili appare fondamentalmente diversa, agli occhi di un'autorità, dall'assenza totale di registrazione.
1. Confermate di rientrare effettivamente nell'ambito di applicazione
Prima di registrarvi, verificate che la NIS2 si applichi alla vostra azienda. I criteri sono contenuti nel §28 BSIG: dovete operare in uno dei 18 settori elencati E soddisfare la soglia dimensionale (50 o più dipendenti oppure oltre 10 milioni di EUR di fatturato annuo). In caso di dubbio, consultate gli elenchi settoriali del BSI nell'Allegato I e nell'Allegato II della direttiva NIS2. Molte aziende presumono di essere fuori ambito quando non lo sono, e viceversa. Se siete realmente incerti, acquisite un parere legale prima di registrarvi, ma non usate l'incertezza come pretesto per rinviare.
2. Registratevi immediatamente tramite il portale del BSI
Andate sul portale di registrazione NIS2 del BSI e completate la vostra registrazione ai sensi del §33 BSIG. Vi serviranno: i dati della vostra azienda, la classificazione settoriale, un referente per le questioni di cybersicurezza e gli intervalli di indirizzi IP dei vostri sistemi critici. La registrazione in sé richiede circa 30 minuti se avete le informazioni pronte. Fatelo oggi: ogni giorno di attesa aumenta il divario tra la scadenza e la data della vostra registrazione.
3. Documentate di aver iniziato
Create una registrazione scritta, anche un semplice memo interno, che documenti quando siete venuti a conoscenza dei vostri obblighi NIS2, quando vi siete registrati e quali passi state compiendo. Questo crea una traccia documentale che dimostra la buona fede. Se il BSI dovesse mai chiedere perché siete stati in ritardo, 'abbiamo individuato l'obbligo, ci siamo registrati immediatamente e abbiamo avviato il lavoro di conformità in data [data]' è una risposta solida.
4. Avviate il lavoro effettivo di conformità
La registrazione è soltanto il primo passo: il §30 BSIG vi impone di attuare misure di gestione del rischio per la cybersicurezza. Iniziate dalle fondamenta: inventario degli asset, metodologia di valutazione del rischio e procedure di segnalazione degli incidenti. Non dovete essere pienamente conformi dall'oggi al domani, ma dovete lavorarci in modo visibile. Il BSI guarderà alla traiettoria, non solo allo stato attuale.
5. Valutate una consulenza legale se l'ambito è poco chiaro
Se la vostra azienda si colloca vicino alla soglia (prossima a 50 dipendenti o a 10 milioni di EUR di fatturato), opera in un settore interpretabile in più modi o ha una struttura societaria complessa, consultate un avvocato specializzato in regolamentazione IT. Il costo di un parere legale (2.000-5.000 EUR) è trascurabile rispetto al costo della non conformità o di una conformità superflua. Alcune associazioni di categoria (come Bitkom o BDI) offrono inoltre orientamenti sull'ambito NIS2 ai propri membri.
Quali sono i rischi reali di una registrazione tardiva?
Essere onesti sui rischi vi aiuta a prendere decisioni proporzionate. Le conseguenze sono reali ma non catastrofiche, se agite ora.
Sanzioni amministrative
Il §65 BSIG prevede sanzioni fino a 500.000 EUR specificamente per le violazioni in materia di registrazione. In pratica, il BSI ha una capacità di applicazione limitata ed è concentrato sul portare le aziende dentro il sistema, non sul punire i ritardatari. Un'azienda che si registra in ritardo e dimostra sforzi attivi di conformità difficilmente subirà la sanzione massima. Un'azienda che non si registra affatto è un'altra storia.
Ordini di conformità
Il BSI può emanare ordini di conformità vincolanti che vi impongono di registrarvi e di attuare misure specifiche entro un termine stabilito. L'inosservanza di un tale ordine aggrava la situazione giuridica in modo significativo. Registrarsi in modo proattivo, anche se in ritardo, evita del tutto questo percorso di aggravamento.
Responsabilità personale della direzione
Il §38 BSIG rende la Geschäftsführung personalmente responsabile di garantire la conformità alla NIS2. Se la vostra azienda rientra nell'ambito di applicazione e voi, in quanto direzione, avete consapevolmente ritardato la registrazione, ciò crea un'esposizione personale. Tale responsabilità non può essere esclusa con delibera dei soci. Documentare di aver agito non appena ne siete venuti a conoscenza è una protezione importante.
Maggiore scrutinio negli audit futuri
Per i soggetti essenziali, il BSI svolge audit periodici. Una registrazione tardiva sarà visibile nella vostra cronologia di conformità. Tuttavia, un processo di recupero ben documentato che mostri un miglioramento sistematico viene valutato in modo molto diverso da un quadro di negligenza. Gli auditor valutano la traiettoria, non solo il punto di partenza.
Il divario di registrazione NIS2 non è dovuto principalmente alla negligenza. Il processo legislativo tedesco è stato ripetutamente ritardato: il NIS2UmsuCG è stato approvato mesi dopo il termine di recepimento originario dell'UE. Molte aziende hanno ragionevolmente atteso che la legge tedesca fosse definitiva prima di agire. Altre non sapevano di rientrare nell'ambito di applicazione perché le definizioni settoriali si sono ampliate enormemente rispetto al vecchio regime KRITIS.
Lo stesso BSI ha riconosciuto pubblicamente l'entità del divario di registrazione. L'autorità ha adottato un atteggiamento pragmatico: la priorità è far registrare tutti i 30.000 soggetti e portarli nel sistema di conformità, non punire la prima ondata di ritardatari. Questo pragmatismo ha dei limiti: si applica alle aziende che lavorano attivamente verso la conformità, non a quelle che usano la pazienza del BSI come pretesto per non fare nulla.
Domande frequenti
Il portale di registrazione del BSI è ancora aperto?
Sì. Il portale di registrazione previsto dal §33 BSIG resta aperto. Non esiste una scadenza dopo la quale non è più possibile registrarsi: l'obbligo è continuativo. La scadenza indicava quando avreste dovuto registrarvi, non quando potevate farlo. Registratevi ora.
Qual è la sanzione per la registrazione tardiva?
Il §65 BSIG prevede sanzioni fino a 500.000 EUR per le violazioni in materia di registrazione. Tuttavia, le sanzioni sono valutate caso per caso, considerando la gravità, la durata e se l'azienda ha agito in buona fede. Un'azienda che si registra con qualche mese di ritardo e dimostra sforzi attivi di conformità presenta un profilo di rischio molto diverso da quella che ignora del tutto l'obbligo.
La registrazione tardiva incide sui miei altri obblighi NIS2?
No. I vostri obblighi previsti dal §30 BSIG (misure di cybersicurezza), dal §32 (segnalazione degli incidenti) e dal §38 (responsabilità della direzione) esistono indipendentemente dal fatto che vi siate registrati. La registrazione non crea gli obblighi: ne adempie uno. Gli altri obblighi si applicano dal momento in cui soddisfate i criteri di ambito, indipendentemente dallo stato di registrazione.
Posso registrarmi se non sono sicuro di rientrare nell'ambito di applicazione?
Sì, e il BSI raccomanda di propendere per la registrazione in caso di incertezza. Registrarsi quando si risulta fuori ambito non comporta conseguenze negative: la registrazione può essere corretta. Non registrarsi quando si è nell'ambito comporta un rischio giuridico reale. Nel dubbio, registratevi.
E se ci siamo registrati ma non abbiamo avviato il lavoro di conformità?
La registrazione senza il lavoro di conformità è come presentare una dichiarazione dei redditi senza pagare le imposte: avete adempiuto a un obbligo ma non a quelli sostanziali. Iniziate ora con le misure del §30 BSIG: inventario degli asset, valutazione del rischio, procedure di segnalazione degli incidenti. Il BSI si aspetta che i soggetti registrati lavorino attivamente verso la conformità, non che restino seduti su un numero di registrazione.
- BSI - statistiche di registrazione NIS2 e dichiarazioni pubbliche sull'approccio applicativo (2025)
- G DATA CyberDefense - sondaggio sulla consapevolezza NIS2: il 44% delle aziende di fascia media non è a conoscenza degli obblighi (2024)
- BSIG - §33 (obbligo di registrazione), §65 (sanzioni amministrative), §38 (responsabilità della direzione)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI - documentazione parlamentare e orientamenti sull'attuazione del NIS2UmsuCG