Il dovere di sicurezza ora è personale

Perché questa legge va più lontano di quanto pensiate

La legge di attuazione della NIS2 si applica in Germania da dicembre 2025 e non riguarda soltanto centrali elettriche e banche. Coinvolge circa 29.500 imprese in 18 settori, dalla logistica alla produzione alimentare fino alla costruzione di macchine, alla gestione dei rifiuti e ai servizi digitali. La soglia è bassa. Un'azienda con 50 o più dipendenti, oppure con 10 milioni di euro di fatturato, in uno di questi settori rientra automaticamente nel campo di applicazione.

La maggior parte dei titolari del Mittelstand non ha mai pensato alla propria impresa come a un'infrastruttura critica. La legge non chiede questa autopercezione. Guarda al settore e alla dimensione, vi classifica come soggetto importante o particolarmente importante e impone obblighi di sicurezza vincolanti che un anno fa non esistevano.

Il dovere che ricade personalmente sul titolare

Il cambiamento più netto riguarda chi porta il dovere. Secondo la nuova legge tedesca l'organo di gestione deve approvare le misure relative al rischio di sicurezza informatica e verificare che siano effettivamente in atto. Non è un compito che potete affidare a un fornitore IT e dimenticare. Quando la direzione agisce con colpa grave o dolo, la legge consente sanzioni a carico delle persone fisiche e, nei casi gravi, un divieto temporaneo di ricoprire un ruolo dirigenziale.

Per un'impresa guidata dal titolare questa è la parte che conta. Chi firma per l'azienda ora firma anche per la sua postura informatica. Un contratto di esternalizzazione ben fatto non sposta la responsabilità lontano dal vertice. Cambia soltanto chi chiamate quando qualcosa va storto, e a quel punto il dovere è già stato messo alla prova.

L'elenco di registrazione di cui nessuno vi ha parlato

Essere ben difesi non basta da solo. Le imprese interessate devono registrarsi presso l'Ufficio federale per la sicurezza informatica, il BSI, e identificarsi. La scadenza di legge era marzo 2026 e a quella data solo circa 11.500 delle quasi 29.500 imprese lo avevano fatto. Più della metà mancava dall'elenco.

Il BSI ha fissato una proroga finale al 31 luglio 2026 e ha segnalato che esaminerà le prime sanzioni dopo questa estate. La mancata registrazione è di per sé un illecito sanzionabile, fino a 500.000 euro, distinto da qualsiasi violazione. Il rischio silenzioso non è un attacco informatico. È essere un'impresa che il regolatore non riesce a trovare su un elenco che ora controlla attivamente.

Cosa avviare in questo trimestre

Tre passi reggono gran parte del peso. Verificate se la vostra azienda rientra nel campo di applicazione, perché il test su settore e dimensione è meccanico e facile da interpretare male. Registratevi presso il BSI prima della scadenza di luglio, se rientrate. Poi portate un processo documentato di gestione del rischio davanti al vostro organo di gestione, così che il dovere di approvazione e supervisione sia soddisfatto e messo a verbale, non dato per scontato.

Nulla di tutto questo richiede un grande reparto di sicurezza. Richiede una lettura chiara di dove vi trovate, la prova che la direzione ha esaminato il rischio e una documentazione da mostrare se il regolatore lo chiede. Le imprese che faticheranno saranno quelle che hanno trattato una legge nazionale sulla sicurezza informatica come una nota a piè di pagina dell'IT.

Da leggere ora: Il tuo hardware ora è software regolamentato  ·  La tua difesa informatica è pronta per attacchi alla velocità della macchina?