La legge di recepimento NIS2 della Germania è entrata in vigore il 5 dicembre 2025. Le scadenze di registrazione BSI arrivano a marzo 2026. Questa guida copre tutto ciò che CISO, Direttori IT e responsabili della conformità devono sapere: chi deve conformarsi, quali sono gli obblighi, come appaiono le sanzioni e come costruire una roadmap pratica di conformità.
La Direttiva NIS2 (Direttiva (UE) 2022/2555) sostituisce la Direttiva NIS originale del 2016, che era ampiamente considerata insufficiente in portata ed applicazione. Espande drasticamente la copertura da ~10.000 entità sotto NIS1 a circa 160.000+ entità in tutta l'UE.
NIS2 è stata progettata per affrontare tre debolezze fondamentali: recepimento incoerente tra Stati membri, portata limitata che copriva solo settori ristretti, e applicazione debole con sanzioni troppo basse per guidare il cambiamento.
In Germania, il NIS2UmsuCG (Legge di Attuazione NIS2 e Rafforzamento della Cybersicurezza) è entrato in vigore il 5 dicembre 2025. Il BSI è l'autorità di vigilanza designata e le scadenze di registrazione iniziano il 6 marzo 2026.
NIS2 è passata da un approccio basato sulla designazione a un meccanismo di soglia dimensionale. Le organizzazioni sono automaticamente incluse se soddisfano i criteri di settore e dimensione.
| Settore | Esempi |
|---|---|
| Energia | Elettricità, petrolio, gas, idrogeno, teleriscaldamento |
| Trasporti | Trasporto aereo, ferroviario, marittimo, stradale |
| Settore bancario | Istituti di credito |
| Infrastrutture del mercato finanziario | Sedi di negoziazione, controparti centrali |
| Sanità | Ospedali, laboratori, farmaceutico, dispositivi medici |
| Acqua potabile | Fornitura e distribuzione |
| Acque reflue | Raccolta, smaltimento, trattamento |
| Infrastrutture digitali | IXP, DNS, registri TLD, cloud, data center, CDN |
| Gestione servizi ICT (B2B) | MSP, MSSP |
| Pubblica amministrazione | Entità di governo centrale |
| Spazio | Operatori di infrastrutture terrestri |
| Settore | Esempi |
|---|---|
| Servizi postali e di corriere | Fornitori di servizi postali |
| Gestione rifiuti | Raccolta, trasporto, trattamento |
| Produzione chimica | Produzione, distribuzione |
| Produzione alimentare | Lavorazione, distribuzione (su larga scala) |
| Manifatturiero | Dispositivi medici, elettronica, macchinari, veicoli |
| Fornitori digitali | Marketplace, motori di ricerca, social network |
| Ricerca | Organizzazioni di ricerca con impatto significativo |
Alcune entità sono incluse indipendentemente dalla dimensione: fornitori qualificati di servizi fiduciari, registri TLD, fornitori DNS, fornitori di telecomunicazioni, pubblica amministrazione e unici fornitori di servizi essenziali.
| Aspetto | Entità Essenziali | Entità Importanti |
|---|---|---|
| Supervisione | Proattiva (ex-ante) | Reattiva (ex-post) |
| Multa massima | €10M o 2% del fatturato globale | €7M o 1,4% del fatturato globale |
| Audit | Regolari, obbligatori | Su evidenza di non conformità |
| Requisiti di sicurezza | Identici | Identici |
Gli obblighi di sicurezza sono gli stessi per entrambi i livelli. La differenza risiede solo nell'intensità della supervisione e nei limiti delle sanzioni.
| Scadenza | Requisito | Scopo |
|---|---|---|
| 24 ore | Allerta precoce al CSIRT | Segnalare che si è verificato un incidente significativo |
| 72 ore | Notifica incidente con valutazione | Gravità, impatto, indicatori di compromissione |
| 1 mese | Rapporto finale | Analisi della causa principale, impatto, misure di mitigazione |
L'Articolo 20 richiede che gli organi di gestione approvino le misure di cybersicurezza, seguano formazione e abbiano responsabilità personale. Secondo il NIS2UmsuCG tedesco, i dirigenti affrontano multe personali e potenziale sospensione temporanea dai ruoli di gestione. Questa responsabilità non può essere completamente delegata.
Oltre alle multe, le autorità possono emettere istruzioni vincolanti, ordinare la cessazione delle attività, richiedere la divulgazione pubblica della non conformità, sospendere certificazioni e — per le entità essenziali — vietare temporaneamente funzioni di gestione per i responsabili.
Per un'azienda con €1 miliardo di ricavi, la multa massima per entità essenziale è €20 milioni. Le polizze assicurative D&O dovrebbero essere riviste per lacune nella copertura — la responsabilità personale non può essere completamente assicurata.
| Data | Milestone |
|---|---|
| 27 dic 2022 | NIS2 pubblicata sulla Gazzetta Ufficiale dell'UE |
| 16 gen 2023 | NIS2 entra in vigore |
| 17 ott 2024 | Scadenza recepimento per tutti gli Stati membri |
| 5 dic 2025 | Germania: NIS2UmsuCG entra in vigore |
| 6 mar 2026 | Germania: Scadenza registrazione BSI |
| 17 ott 2027 | Commissione Europea rivede il funzionamento NIS2 |
La registrazione di marzo 2026 è a poche settimane di distanza. Identifichi le lacune di conformità prima di registrarsi.
Inizi la Scansione NIS2 Gratuita →ISO 27001 fornisce una solida base ma NIS2 aggiunge requisiti specifici: tempistiche obbligatorie di segnalazione incidenti (24h/72h/1 mese), responsabilità personale per la direzione e obblighi dettagliati di sicurezza della catena di approvvigionamento. La sola certificazione non garantisce la conformità.
KENSAI scansiona continuamente la sua superficie d'attacco esterna — domini, sottodomini, IP, servizi cloud, API esposte — e mappa gli asset rispetto al suo ambito NIS2. Inventario in tempo reale di ciò che deve proteggere.
Con 332.000+ CVE, KENSAI identifica vulnerabilità note e le correla con i requisiti NIS2. Ogni risultato è prioritizzato per punteggio CVSS, rilevanza NIS2 e urgenza di risoluzione basata sulla threat intelligence.
L'IA mappa la sua postura di sicurezza rispetto a tutti i requisiti dell'Articolo 21: punteggio di conformità, rapporto sui gap, risoluzione prioritizzata e documentazione delle evidenze adatta a regolatori e auditor.
Scansioni l'infrastruttura esterna dei fornitori per identificare servizi esposti, vulnerabilità, problemi di certificati, configurazioni DNS errate e cronologia di violazioni dati — la visibilità della catena di approvvigionamento che NIS2 richiede.
Starter: €990/mese — Medie imprese che entrano nell'ambito NIS2. Professional: €1.490/mese — Infrastrutture e catene di approvvigionamento complesse. Enterprise: €2.490/mese — Automazione della conformità a pieno ambito con supporto dedicato.
La regolamentazione aggiornata dell'UE sulla cybersicurezza (Direttiva (UE) 2022/2555) che sostituisce la Direttiva NIS originale. Stabilisce misure obbligatorie di gestione del rischio, segnalazione degli incidenti e requisiti di sicurezza della catena di approvvigionamento in 18 settori critici.
Organizzazioni in 18 settori designati che soddisfano le soglie di media impresa (50+ dipendenti o €10M+ fatturato) o grande impresa (250+ dipendenti o €50M+ fatturato). Alcune entità come fornitori DNS e telecomunicazioni sono coperte indipendentemente dalla dimensione.
Entità essenziali: fino a €10M o 2% del fatturato globale. Entità importanti: fino a €7M o 1,4% del fatturato globale. Più istruzioni vincolanti, divulgazione pubblica, sospensione di certificazioni e responsabilità personale della direzione.
Tre fasi: allerta precoce entro 24 ore, notifica incidente entro 72 ore, rapporto finale entro 1 mese.
L'Articolo 20 richiede che i consigli approvino le misure di cybersicurezza, seguano formazione e abbiano responsabilità personale. Secondo la legge tedesca, i dirigenti affrontano multe personali e potenziale sospensione temporanea.
Generalmente no (sotto 50 dipendenti / €10M fatturato sono escluse). Esistono eccezioni per fornitori di servizi fiduciari, registri TLD, fornitori DNS e telecomunicazioni.
Sovrapposizione significativa, ma NIS2 aggiunge tempistiche obbligatorie di segnalazione incidenti, responsabilità personale della direzione e requisiti dettagliati della catena di approvvigionamento. La sola certificazione ISO 27001 non garantisce la conformità NIS2.
NIS2 si concentra sulla sicurezza di rete/sistemi; GDPR sulla protezione dei dati personali — entrambi possono applicarsi a un incidente cyber. DORA ha precedenza per entità finanziarie secondo il principio lex specialis.
Questa guida è a scopo informativo e non costituisce consulenza legale. Consulti professionisti legali e di cybersicurezza qualificati per i suoi obblighi NIS2 specifici.
Veda i suoi gap di conformità in pochi minuti. Scansione basata su IA con mappatura NIS2, GDPR e DORA integrata.
Inizi la Scansione Gratuita →La sicurezza non è opzionale.
🗡️ Il Team KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →