NIS2 in Germania

1. Panoramica rapida dell'applicabilità per le PMI in Germania

NIS2 si applica alle PMI in Germania?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Germania e, in determinate circostanze, ai fornitori digitali stranieri che servono il mercato tedesco.

Le PMI dovrebbero valutare l'ambito di applicazione nell'ambito del regime nazionale di cybersicurezza della Germania in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell'attuazione della NIS2 in Germania

La Germania sta attuando la Direttiva tramite modifiche alla Legge sulla sicurezza informatica e alla Legge sull'Ufficio federale per la sicurezza informatica, che costituiscono l'ossatura del quadro nazionale di cybersicurezza.

La normativa riformata allinea il regime tedesco alla Directive (EU) 2022/2555 ed amplia gli obblighi relativi a governance, segnalazione, vigilanza e sanzioni.

La Germania fa leva sul proprio collaudato quadro per le infrastrutture critiche, integrando gli standard NIS2 nelle strutture di vigilanza esistenti.

3. Ambito di applicazione in Germania

L'ambito settoriale della Germania riflette le categorie minime della Direttiva, integrate nel suo regime consolidato di infrastrutture critiche.

4. Soglie dimensionali e applicabilità alle PMI in Germania

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se ritenute critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi pubblici.

Le autorità tedesche mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.

5. Quadro di classificazione delle entità in Germania

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, inclusi audit e monitoraggio strutturato della conformità.
• Entità importanti — Soggette principalmente a vigilanza reattiva attivata da incidenti significativi o da preoccupazioni in materia di conformità.

La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

La Germania mantiene un modello di vigilanza strutturato, allineato al quadro a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cybersecurity in Germania

Il regime nazionale della Germania è allineato ai requisiti di base della Direttiva per la gestione del rischio di cybersecurity. Le entità nel campo di applicazione devono attuare misure tecniche e organizzative proporzionate che riguardino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Germania
• Acquisizione e sviluppo sicuri dei sistemi ICT
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di salvaguardia crittografiche
• Procedure di gestione delle vulnerabilità
• Sensibilizzazione e formazione del personale in materia di cybersecurity

Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida tedesche in materia di cybersecurity.

La supervisione della catena di fornitura include la due diligence sui fornitori e garanzie contrattuali in materia di cybersicurezza.

7. Responsabilità degli organi di gestione e governance in Germania

Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cybersicurezza e supervisionarne l'attuazione.

Nel quadro normativo tedesco:

• I consigli di amministrazione sono responsabili della supervisione della conformità.
• L'alta direzione deve garantire un'adeguata competenza in materia di cybersicurezza.
• Possono essere applicate sanzioni amministrative in caso di carenze di governance.
• La sospensione temporanea delle funzioni gestionali può essere prevista nell'ambito di meccanismi di applicazione allineati alla Direttiva.

Le aspettative della NIS2 sulla responsabilità del management in Germania elevano la governance della cybersicurezza a responsabilità di livello esecutivo.

8. Obblighi di notifica degli incidenti in Germania

9. Autorità di vigilanza e modello di applicazione in Germania

Autorità principale: Ufficio federale per la sicurezza informatica (BSI).

La Germania adotta un modello di vigilanza centralizzato sotto il BSI, con il supporto delle autorità di settore ove applicabile.

I poteri di vigilanza includono:

• Richieste di informazioni e documentazione
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cybersicurezza

La struttura di applicazione è allineata ai requisiti di cooperazione a livello di Direttiva.

10. Sanzioni e ammende NIS2 in Germania

La Germania applica sanzioni amministrative conformi alla Direttiva.

L'applicazione delle sanzioni NIS2 in Germania può inoltre comprendere:

• Ordini vincolanti di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione della certificazione o dell'autorizzazione
• Poteri di sospensione dei dirigenti

Fino a €7 milioni o 1,4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

11. Sicurezza della catena di fornitura e dei fornitori secondo NIS2 in Germania

Le entità devono gestire l'esposizione alla sicurezza informatica dei terzi tramite:

• Valutazioni del rischio dei fornitori
• Requisiti contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio della Germania è allineato alle aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e autoidentificazione in Germania

Le entità rientranti nell'ambito di applicazione devono:

• Registrarsi presso le autorità competenti
• Fornire i dati identificativi societari
• Indicare la classificazione settoriale
• Mantenere aggiornati i contatti per le segnalazioni

Le scadenze procedurali seguono il quadro di attuazione della Germania. Allo stato attuale della trasposizione, la Germania segue il quadro di base della direttiva NIS2. I dettagli di attuazione nazionali possono precisare obblighi specifici.

L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie di legge.

13. Interazione con il GDPR e altre leggi in Germania

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le aree di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo
• Indagini parallele in materia di cybersicurezza e protezione dei dati
• Legislazione tedesca sulla cybersicurezza specifica per settore

Un incidente informatico può far scattare obblighi di notifica ai sensi di entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Germania sono soggette alla vigilanza delle autorità tedesche per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Germania possono essere soggetti a obblighi nazionali a seconda della struttura dello stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato tedesco.

15. Tempistica di attuazione in Germania

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: 2024–2025
• Entrata in vigore: Alla pubblicazione a livello nazionale
• Notifica alla Commissione: In conformità alle procedure UE
• Traguardo di conformità: Scadenze allineate alla Direttiva

Il cronoprogramma di recepimento della Germania è in linea con i requisiti di attuazione dell'UE.

16. Punti chiave per le PMI in Germania

• Le imprese di medie dimensioni nei settori coperti rientrano automaticamente nel campo di applicazione.
• Le piccole imprese possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione della governance a livello di organo di gestione è obbligatoria.
• La segnalazione degli incidenti segue scadenze di 24h / 72h / 1 mese.
• Le sanzioni pecuniarie possono arrivare fino a €10 milioni o al 2% del fatturato globale.
• È richiesta la gestione del rischio dei fornitori.
• Una pianificazione anticipata della conformità riduce il rischio di interventi sanzionatori.

FAQ: Guida NIS2 per le PMI in Germania