La NIS2 entra in vigore anche in Germania

La Germania Adotta la Legge NIS2: Cosa Significa per la Tua Azienda

La Direttiva NIS2 ha avuto un percorso accidentato verso l'adozione, con molti Paesi che devono ancora recepirla nelle loro leggi nazionali. Tuttavia, la Germania ha finalmente approvato la sua legge NIS2, a lungo ritardata, il 13 novembre. Si prevede che entrerà in vigore nei prossimi due mesi.

Le aziende interessate devono essere preparate perché la legislazione tedesca non prevede alcun periodo di transizione. Le aziende devono essere conformi dal giorno 1. Quindi, cosa significa questo per voi?

Settori Coperti dalla Nuova Legislazione

NIS2 segna un'espansione significativa rispetto alla precedente Direttiva NIS. Ora si applica a un'ampia gamma di settori in tutta l'economia, interessando più di 30.000 aziende tedesche. I settori chiave includono:

• Sanità (Healthcare)
• Servizi di pubblica utilità (Utilities)
• Trasporti
• Pubblica amministrazione
• Infrastruttura digitale
• Manifattura

Inoltre, NIS2 si applica automaticamente a tutti gli operatori di infrastrutture critiche (KRITIS).

Requisiti NIS2

La versione tedesca di NIS2 prevede aggiornamenti a diverse leggi esistenti e rispecchia in gran parte la Direttiva. Ecco alcuni aspetti chiave da considerare:

Un Focus sulla Gestione del Rischio

NIS2 adotta un approccio basato sulla gestione del rischio per la protezione delle infrastrutture critiche. La legge richiede alle istituzioni Critiche, Particolarmente Importanti e Importanti di adottare misure "appropriate, proporzionate ed efficaci" per proteggere la loro infrastruttura.

Queste misure devono tenere conto del probabile rischio, delle dimensioni della struttura e della probabilità di qualsiasi incidente di sicurezza. Ciò è poi bilanciato rispetto ai costi e al probabile impatto di qualsiasi incidente. L'obiettivo generale è evitare interruzioni della disponibilità e dell'integrità della struttura/servizio e prevenire qualsiasi perdita di riservatezza dei dati.

Misure Tecniche e Organizzative

Tutte le misure di sicurezza devono essere "all'avanguardia" (state of the art) e dovrebbero coprire, come minimo, queste aree:

Misure Tecniche

• Manutenzione e ripristino, gestione dei backup, gestione delle crisi
• Crittografia
• Controllo degli accessi e gestione delle ICT (Tecnologie dell'Informazione e della Comunicazione)
• Autenticazione multi-fattore e autenticazione continua
• Comunicazione sicura (voce, video e testo)
• Comunicazione di emergenza sicura
• Sviluppo sicuro
• Gestione delle vulnerabilità

Misure Organizzative

• Analisi del rischio e sicurezza per i sistemi informativi
• Gestione degli incidenti di sicurezza
• Sicurezza della catena di fornitura, sicurezza dei fornitori e dei prestatori di servizi
• Sicurezza del personale
• Approvvigionamento sicuro
• Manutenzione
• Valutazione dell'efficacia della cybersicurezza e della gestione del rischio
• Formazione sulla cybersicurezza e sulla consapevolezza
• Documentazione

Le aziende interessate devono documentare i propri processi, le misure tecniche e organizzative e le valutazioni dei rischi. Quando richiesto, devono fornire al BSI (Ufficio Federale per la Sicurezza delle Informazioni) o a qualsiasi revisore l'accesso a tutta la documentazione.

Scadenze Rigide per la Segnalazione degli Incidenti

Qualsiasi presunto incidente di sicurezza deve essere segnalato ufficialmente al BSI entro 24 ore. L'azienda ha poi fino a un mese per fornire un rapporto finale completo sull'incidente. Tuttavia, il BSI è anche autorizzato a richiedere un rapporto intermedio sull'incidente, che deve essere fornito prontamente. Questo requisito di segnalazione sarà particolarmente difficile per le aziende più piccole che ora rientrano nell'ambito di applicazione della legge.

Notifica agli Utenti

Le aziende coperte in alcuni settori devono sempre notificare ai propri utenti qualsiasi incidente di sicurezza significativo e fornire consigli su come rispondere. Questi settori sono:

• Finanziario e assicurativo
• Tecnologia dell'informazione e delle telecomunicazioni
• Servizi ICT
• Servizi digitali (marketplace, motori di ricerca e social network)

Questa notifica deve essere inviata immediatamente.

Inoltre, il BSI può istruire le aziende classificate come Particolarmente Importanti o Critiche a informare i propri utenti su qualsiasi incidente di sicurezza grave.

Applicazione di NIS2

NIS2 introduce rigorose misure di applicazione, incluse multe e potenziali ramificazioni legali per i dirigenti aziendali.

Un Ruolo Potenziato per il BSI

L'Ufficio Federale tedesco per la Sicurezza delle Informazioni (BSI) ha un ruolo potenziato nel monitoraggio e nell'applicazione della nuova legge. Ciò estende significativamente i suoi poteri e gli consente di sottoporre a audit le aziende per verificarne la conformità. In caso di qualsiasi presunto incidente di sicurezza, il BSI deve essere notificato (vedi sopra) e sarà responsabile della valutazione se sia necessaria un'azione di applicazione.

Multe Significative e Responsabilità Aziendale

La nuova legge consente alle aziende nella categoria più alta di infrastrutture critiche di essere multate fino a 10 milioni di euro o il 2% del loro fatturato annuo (a seconda di quale sia l'importo maggiore). Vi è poi una serie progressiva di limiti di multa inferiori per le aziende nelle categorie inferiori.

Ai sensi del §61 di NIS2, le aziende classificate come Particolarmente Importanti devono essere sottoposte a ispezioni e audit, e il BSI può emanare linee guida da implementare. Devono inoltre fornire prove di conformità a tutti i requisiti e dimostrare di aver preso decisioni basate sul rischio. Il BSI può anche:

• Verificare la conformità ai requisiti nelle singole istituzioni
• Dare istruzioni alle istituzioni sulla prevenzione o rettifica degli incidenti
• Fornire istruzioni vincolanti alle istituzioni sull'attuazione degli obblighi
• Richiedere alle istituzioni di informare i clienti sulle misure contro le minacce informatiche
• Informare le autorità di vigilanza, sospendere le licenze e vietare ai dirigenti di condurre affari
• Revocare la licenza delle istituzioni che non rispettano i requisiti e proibire ai dirigenti di svolgere compiti di gestione

Per le istituzioni Importanti, il BSI può, in casi giustificati, verificare la conformità con le sezioni appropriate di NIS2 e adottare misure in conformità con il §61.

Consulta il nostro blog post completo su NIS2.

Hai bisogno di aiuto per capirci qualcosa? Siamo qui per aiutarti!Chino.io è lo sportello unico per risolvere tutti gli aspetti di conformità relativi a privacy e sicurezza.Come partner dei nostri clienti, combiniamo l'esperienza normativa e tecnica con una piattaforma IT modulare che consente alle applicazioni digitali di eliminare i rischi di compliance e risparmiare costi e tempo.Chino.io velocizza l'innovazione compliant-by-design, unendo il know-how legale e la tecnologia di sicurezza dei dati per gli innovatori.Per saperne di più, prenota una chiamata con i nostri esperti.

‍