NIS2 in Germania

1. Panoramica rapida dell'applicabilità per le PMI in Germania

NIS2 si applica alle PMI in Germania?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Germania e, in determinate circostanze, ai fornitori digitali stranieri che servono il mercato tedesco.

Le PMI dovrebbero valutare l'ambito di applicazione nell'ambito del regime nazionale di cybersicurezza della Germania in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell'attuazione della NIS2 in Germania

La Germania ha completato il recepimento con la NIS2UmsuCG, entrata in vigore il 6 dicembre 2025 senza periodo transitorio. La legge rivede sostanzialmente la Legge BSI (BSIG), ampliando l'ambito da circa 4.500 a 29.000–30.000 entità.

La Germania presenta tre deviazioni nazionali rilevanti: un'esenzione per "attività trascurabili" ai sensi del § 28(3) BSIG e una sottocategoria più rigorosa di "operatori di impianti critici" con sistemi di rilevamento degli attacchi obbligatori e prove di conformità triennali.

Gli organi di direzione devono completare una formazione obbligatoria in cybersicurezza almeno ogni tre anni (linee guida BSI: circa quattro ore per sessione).

3. Ambito di applicazione in Germania

L'ambito settoriale della Germania riflette le categorie minime della Direttiva, integrate nel suo regime consolidato di infrastrutture critiche.

4. Soglie dimensionali e applicabilità alle PMI in Germania

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione. La Germania introduce un'esenzione per "attività trascurabili" (§ 28(3) BSIG) — le attività rilevanti per NIS2 che sono trascurabili rispetto all'attività complessiva possono non essere considerate; "trascurabile" non è definito normativamente e richiede un'autovalutazione accuratamente documentata.

Le piccole e micro imprese possono essere designate se ritenute critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi pubblici.

Le autorità tedesche mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.

5. Quadro di classificazione delle entità in Germania

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, inclusi audit e monitoraggio strutturato della conformità.
• Entità importanti — Soggette principalmente a vigilanza reattiva attivata da incidenti significativi o da preoccupazioni in materia di conformità.

La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

La Germania mantiene un modello di vigilanza strutturato, allineato al quadro a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cybersecurity in Germania

Il regime nazionale della Germania è allineato ai requisiti di base della Direttiva per la gestione del rischio di cybersecurity. Le entità nel campo di applicazione devono attuare misure tecniche e organizzative proporzionate che riguardino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Germania
• Acquisizione e sviluppo sicuri dei sistemi ICT
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di salvaguardia crittografiche
• Procedure di gestione delle vulnerabilità
• Sensibilizzazione e formazione del personale in materia di cybersecurity

Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida tedesche in materia di cybersecurity.

La supervisione della catena di fornitura include la due diligence sui fornitori e garanzie contrattuali in materia di cybersicurezza.

7. Responsabilità degli organi di gestione e governance in Germania

Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cybersicurezza e supervisionarne l'attuazione.

Nel quadro normativo tedesco:

• I consigli sono responsabili della supervisione della conformità.
• L'alta dirigenza deve garantire competenze sufficienti in cybersicurezza e completare una formazione obbligatoria in cybersicurezza almeno ogni tre anni (linee guida BSI ~4 h per sessione).
• Le sanzioni amministrative possono colpire le carenze di governance.
• La responsabilità personale diretta degli organi di direzione è ancorata al § 38 BSIG — secondo il diritto societario applicabile o direttamente in base alla Legge BSI.

Le aspettative della NIS2 sulla responsabilità del management in Germania elevano la governance della cybersicurezza a responsabilità di livello esecutivo.

8. Obblighi di notifica degli incidenti in Germania

9. Autorità di vigilanza e modello di applicazione in Germania

Autorità principale: Ufficio federale per la sicurezza informatica (BSI).

La Germania adotta un modello di vigilanza centralizzato sotto il BSI, con il supporto delle autorità di settore ove applicabile.

I poteri di vigilanza includono:

• Richieste di informazioni e documentazione
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cybersicurezza

La struttura di applicazione è allineata ai requisiti di cooperazione a livello di Direttiva.

10. Sanzioni e ammende NIS2 in Germania

La Germania applica sanzioni amministrative conformi alla Direttiva.

L'applicazione delle sanzioni NIS2 in Germania può inoltre comprendere:

• Ordini vincolanti di adeguamento
• Identificazione pubblica delle entità non conformi
• Sospensione di certificazioni o autorizzazioni
• Responsabilità personale diretta dei membri dell'organo di direzione ai sensi del § 38 BSIG

11. Sicurezza della catena di fornitura e dei fornitori secondo NIS2 in Germania

Le entità devono gestire l'esposizione alla sicurezza informatica dei terzi tramite:

• Valutazioni del rischio dei fornitori
• Requisiti contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio della Germania è allineato alle aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e autoidentificazione in Germania

Le entità rientranti nell'ambito di applicazione devono:

• Autovalutare l'ambito e registrarsi presso il BSI tramite un processo in due fasi: creare un account Mein Unternehmenskonto (MUK) con certificato ELSTER e registrarsi tramite il portale BSI. Il termine era il 6 marzo 2026 — ora scaduto; le entità non registrate dovrebbero agire immediatamente.
• Fornire i dati di identificazione aziendale
• Comunicare la classificazione settoriale
• Mantenere aggiornati i contatti di notifica; segnalare modifiche entro 14 giorni

Il portale BSI funge sia da piattaforma di registrazione sia da hub di notifica degli incidenti. Fino al completamento della registrazione, va utilizzato il modulo online di notifica degli incidenti del BSI.

L'autoidentificazione è obbligatoria — nessuna notifica individuale da parte delle autorità; le entità devono determinare e documentare autonomamente il proprio stato.

13. Interazione con il GDPR e altre leggi in Germania

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le aree di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo
• Indagini parallele in materia di cybersicurezza e protezione dei dati
• Legislazione tedesca sulla cybersicurezza specifica per settore

Un incidente informatico può far scattare obblighi di notifica ai sensi di entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Germania sono soggette alla vigilanza delle autorità tedesche per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Germania possono essere soggetti a obblighi nazionali a seconda della struttura dello stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato tedesco.

15. Tempistica di attuazione in Germania

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: NIS2UmsuCG adottata dal Bundestag il 13 novembre 2025; approvata dal Bundesrat; pubblicata il 5 dicembre 2025
• Entrata in vigore: 6 dicembre 2025 (senza periodo transitorio)
• Notifica alla Commissione: parere motivato della CE del maggio 2025 (precedente alla promulgazione); completezza in fase di valutazione dopo il 6 dicembre 2025
• Tappa di conformità: termine di registrazione BSI 6 marzo 2026 (scaduto); portale BSI aperto dal 6 gennaio 2026; formazione della direzione ogni 3 anni

La Germania ha completato il recepimento il 6 dicembre 2025 senza periodo transitorio. Il termine di registrazione BSI del 6 marzo 2026 è scaduto — le entità non registrate dovrebbero agire immediatamente.

16. Punti chiave per le PMI in Germania

• Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
• Le piccole entità possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione di governance a livello di consiglio è obbligatoria, con responsabilità personale diretta ai sensi del § 38 BSIG e formazione obbligatoria in cybersicurezza ogni tre anni.
• La notifica degli incidenti segue le scadenze 24h / 72h / 1 mese, presentata tramite il portale BSI (aperto il 6 gennaio 2026).
• Le sanzioni finanziarie possono raggiungere 10 milioni di € o il 2% del fatturato globale.
• La gestione del rischio dei fornitori è obbligatoria.
• Il termine di registrazione BSI del 6 marzo 2026 è scaduto — le entità non registrate dovrebbero agire immediatamente; l'esenzione per "attività trascurabili" (§ 28(3) BSIG) richiede un'autovalutazione accuratamente documentata.

FAQ: Guida NIS2 per le PMI in Germania