L'imminente NIS2UmsuCG della Germania (Legge sull'attuazione della Direttiva NIS-2 e sulla regolazione dei Principi Essenziali della Gestione della Sicurezza Informatica nella Pubblica Amministrazione) rappresenta un importante inasprimento delle regole sulla cybersicurezza per le imprese e le istituzioni pubbliche. Basata sulla Direttiva NIS-2 dell'UE, la legge sostituirà l'attuale BSI Act ed estenderà gli obblighi ben oltre il precedente regime KRITIS. Invece di riguardare poco più di 800 operatori di infrastrutture critiche, si prevede che si applichi a fino a 30.000 organizzazioni in 18 settori, tra cui energia, trasporti, sanità, infrastrutture digitali, telecomunicazioni, banche, pubblica amministrazione, alimentazione, chimica, gestione dei rifiuti, manifatturiero e servizi digitali chiave.

Nell'ambito del nuovo quadro normativo, le entità sono classificate come "particolarmente importanti" o "importanti" in base al settore e alla dimensione. Le grandi aziende nei settori dell'Allegato 1 e gli operatori di strutture critiche sono generalmente considerati particolarmente importanti, mentre le aziende di medie dimensioni e le imprese nei settori dell'Allegato 2 possono essere classificate come importanti. Alcuni fornitori di servizi digitali e operatori di infrastrutture sono inclusi indipendentemente dalla dimensione, laddove i loro servizi siano critici per il sistema. Anche i fornitori più piccoli, in particolare le aziende IT e i fornitori di servizi gestiti nella catena di approvvigionamento, possono essere interessati quando accedono a sistemi critici o aree sensibili. Tutte le organizzazioni coinvolte saranno tenute a registrarsi presso l'Ufficio Federale per la Sicurezza dell'Informazione (BSI) e dimostrare la conformità su richiesta.

La legge introduce ampi doveri: le aziende devono stabilire e mantenere un sistema di gestione della sicurezza delle informazioni basato sul rischio; condurre valutazioni del rischio regolari; implementare misure tecniche e organizzative come gestione delle vulnerabilità e delle patch, backup e ripristino, controllo degli accessi, autenticazione multi-fattore, comunicazioni sicure e sicurezza della catena di approvvigionamento; e garantire il rilevamento, la segnalazione e la risposta agli incidenti. Si applicano obblighi di segnalazione con tempistiche critiche, inclusa una notifica iniziale degli incidenti gravi entro 24 ore, un rapporto di follow-up entro 72 ore, e un rapporto finale dopo un mese. Saranno obbligatorie revisioni regolari dell'efficacia della gestione del rischio, e gli operatori di strutture critiche affronteranno audit guidati dal BSI ogni tre anni.

Fondamentalmente, NIS2UmsuCG non è una linea guida "soft". Prevede un'applicazione e sanzioni significativamente più severe, comprese multe fino a 10 milioni di euro o il 2 percento del fatturato annuo globale. I consigli di amministrazione e i direttori sono personalmente responsabili del rispetto delle norme e possono affrontare conseguenze individuali, inclusi divieti dalle posizioni dirigenziali, in caso di violazioni gravi. Con la legge che dovrebbe entrare in vigore intorno alla fine del 2025 o all'inizio del 2026 e senza periodi di transizione lunghi previsti, si consiglia alle aziende di agire ora: valutare se rientrano nelle categorie critiche, iniziare a costruire o aggiornare un ISMS orientato a ISO 27001, coinvolgere il personale a tutti i livelli e coinvolgere i fornitori già in fase iniziale.

Per molte organizzazioni, specialmente quelle recentemente incluse nell'ambito, aspettare fino all'approvazione della legge sarà troppo tardi. Il messaggio degli esperti è chiaro: NIS-2 non è solo un altro esercizio di conformità, ma un cambiamento strutturale verso una sicurezza informatica più robusta in tutta l'economia europea. Le aziende che si muovono in anticipo possono non solo evitare sanzioni, ma anche rafforzare la resilienza, proteggere le loro operazioni e costruire fiducia con clienti e partner in un ambiente informatico sempre più ostile.