Vai al contenuto principale
NIS2Certify
Torna alla panoramica

Germania: la scadenza NIS2 è passata — e 18.000 aziende non si sono registrate

Di NIS2Certify
NIS2GermaniaBSIenforcementconformitàscadenzasicurezza informatica

Una lettera arriva dal BSI — l'autorità federale tedesca per la sicurezza informatica. La Sua azienda era tenuta a registrarsi entro il 6 marzo 2026. Non l'ha fatto. Il BSI ha ora l'autorità legale per sottoporre la Sua organizzazione a un audit, emettere ordini vincolanti e imporre sanzioni fino a €10 milioni o il 2% del fatturato annuo globale. E in base al §38 del nuovo BSIG, gli amministratori delegati possono essere ritenuti personalmente responsabili per tale inadempienza.

Questo non è uno scenario ipotetico. Sta accadendo in questo momento in Germania, ed è un'anteprima di ciò che si prepara nel resto dell'Unione Europea.

Cosa è successo il 6 marzo 2026

La legge tedesca di attuazione della NIS2 — il NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) — è entrata in vigore il 6 dicembre 2025. Ha concesso alle organizzazioni in scope esattamente tre mesi per registrarsi presso il BSI tramite il suo portale dedicato.

La scadenza era il 6 marzo 2026.

Delle circa 29.500 aziende che il BSI stima rientrino nella legge, solo circa 11.500 hanno completato la registrazione in tempo. Ciò lascia circa 18.000 organizzazioni in violazione di un obbligo legale prima ancora di aver iniziato a lavorare sulle proprie misure di sicurezza informatica.

Stato di Attuazione NIS2 per Paese (2025–2026)
Pienamente in vigore
Belgio
Croazia
Ungheria
Lituania
Lettonia
Italia
6 paesi
Adottata — fine 2025
Germania
Repubblica Ceca
Finlandia
3 paesi
In corso — previsto 2026
Paesi Bassi
Francia
Spagna
Polonia
Austria
Svezia
Irlanda
7 paesi

Il BSI ha dichiarato pubblicamente che provvederà ora a identificare sistematicamente i soggetti non registrati. La Germania è il primo grande Stato membro dell'UE a raggiungere questa tappa nell'applicazione della normativa — e i numeri sono significativi.

Perché così tante aziende hanno mancato la scadenza

Tre fattori spiegano il divario.

Molte organizzazioni non sanno ancora di rientrare nel campo di applicazione. La Direttiva NIS2 si applica alle aziende con più di 50 dipendenti o più di €10 milioni di fatturato annuo che operano in 18 settori designati. Il Mittelstand tedesco — la spina dorsale dell'economia industriale del Paese — comprende migliaia di produttori di medie dimensioni, operatori logistici e aziende di servizi IT che non avevano mai avuto a che fare con la regolamentazione della sicurezza informatica.

Le tempistiche erano compresse. Tre mesi dalla legge alla scadenza di registrazione hanno lasciato poco margine alle aziende che stavano ancora valutando se la NIS2 si applicasse a loro. Molte attendevano chiarimenti definitivi sulle classificazioni settoriali e sulle soglie.

Le aziende nella catena di fornitura sono state colte di sorpresa. In base all'Articolo 21(2)(d), i soggetti NIS2 devono gestire i rischi di sicurezza informatica nelle proprie catene di fornitura. Ciò significa che i fornitori non direttamente in scope ricevono richieste di conformità dai propri clienti — ma l'obbligo di registrazione riguarda il soggetto NIS2, non il fornitore. La confusione tra obblighi diretti e pressioni indirette lungo la supply chain ha rallentato il processo decisionale.

Cosa può fare ora il BSI

I poteri di enforcement del BSI ai sensi del nuovo BSIG sono sostanziali:

Audit proattivi. Per i soggetti essenziali — energia, trasporti, sanità, infrastrutture digitali, settore bancario — il BSI può condurre audit senza attendere un incidente. Può richiedere documentazione, ispezionare le misure di sicurezza e richiedere prove di conformità all'Articolo 21.

Ordini vincolanti. Se il BSI individua carenze, può emettere istruzioni legalmente vincolanti per porvi rimedio entro un termine specificato. La mancata conformità a un ordine vincolante aggrava la severità dell'enforcement.

Sanzioni. I soggetti essenziali rischiano sanzioni fino a €10 milioni o il 2% del fatturato annuo globale, a seconda di quale importo sia più elevato. I soggetti importanti rischiano fino a €7 milioni o l'1,4%. Non si tratta di massimali teorici — sono il quadro che le autorità nazionali di tutta l'UE sono ora autorizzate ad applicare.

Responsabilità personale degli amministratori. Il §38 del BSIG rende gli amministratori delegati personalmente responsabili dell'approvazione e della supervisione delle misure di gestione del rischio di sicurezza informatica. Questo rispecchia l'Articolo 20 della Direttiva NIS2, che stabilisce la responsabilità degli organi di gestione in tutti gli Stati membri.

Escalation delle sanzioni NIS2 — Oltre la multa
!
Evento scatenante
Non conformità rilevata o incidente verificatosi
Un'autorità di vigilanza identifica una lacuna di conformità o un'organizzazione non soddisfa i requisiti NIS2
Le autorità possono imporre
Sanzioni non finanziarie
1
Ordini di conformità con scadenze vincolanti
2
Audit di sicurezza obbligatori a vostre spese
3
Divulgazione pubblica delle violazioni
4
Istruzioni vincolanti su misure di sicurezza specifiche
Scala verso
Conseguenze operative e personali
1
Sospensione di certificazioni o licenze operative
2
Divieto temporaneo di funzioni dirigenziali per individui
3
Denominazione pubblica delle persone fisiche responsabili
Evento scatenante
Non finanziario
Operativo / personale

Divieti temporanei di esercizio per i dirigenti. Nei casi gravi di inadempienza prolungata, il BSI può richiedere la sospensione temporanea degli amministratori delegati dalle loro funzioni. Questo è lo strumento di enforcement più incisivo nel quadro NIS2, e la Germania lo ha esplicitamente implementato.

Cosa significa per il resto d'Europa

La Germania non è un caso isolato. È l'indicatore principale.

Il Belgio applica la propria trasposizione NIS2 dalla fine del 2024 — primo Paese dell'UE a farlo. L'Italia (ACN) e la Croazia hanno i propri quadri normativi in vigore. La Francia (ANSSI) ha lanciato il suo framework di riferimento ReCyF a marzo 2026 e sta costruendo la propria infrastruttura di enforcement. I Paesi Bassi prevedono la loro Cyberbeveiligingswet (Cbw) nel secondo trimestre del 2026, con il RDI come supervisore.

Lo schema è chiaro: ogni Stato membro dell'UE si sta spostando dalla legislazione all'enforcement. La tempistica di attuazione varia da Paese a Paese, ma la direzione è uniforme.

In Italia, l'ACN ha già avviato le procedure di registrazione per i soggetti essenziali e importanti. Le organizzazioni italiane in scope che non hanno ancora completato la registrazione non devono aspettare che arrivi una lettera dall'autorità competente per capire la gravità della situazione.

Se l'esperienza tedesca insegna qualcosa, è questo: il divario tra "la legge esiste" e "le aziende sono pronte" è enorme. E i regolatori non aspettano che il divario si colmi prima di iniziare a far valere le norme.

La NIS2 si Applica alla Tua Organizzazione?
1
La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
No
2
La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
No
3
La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
No
La NIS2 non si applica direttamente alla tua organizzazione.
La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
!
La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
Si applica
Possibile applicazione
Non si applica

Cosa fare questa settimana

Che la Sua organizzazione si trovi in Germania o in un altro Stato membro dell'UE, la scadenza del BSI è un segnale per agire.

1. Verificare se NIS2 si applica alla Sua organizzazione. Controllare il numero di dipendenti, il fatturato e la classificazione settoriale. I criteri sono coerenti in tutta l'UE — se ha più di 50 dipendenti o €10 milioni di fatturato e opera in un settore coperto, è quasi certamente in scope.

2. Registrarsi presso la propria autorità nazionale. La scadenza tedesca è passata, ma altri Paesi stanno ancora aprendo i propri portali di registrazione. L'Italia dispone del portale ACN per la registrazione; si assicuri che la Sua organizzazione sia censita.

3. Avviare i lavori sull'Articolo 21. La registrazione è solo il punto di ingresso. L'obbligo reale consiste nell'implementare le dieci misure di sicurezza informatica prescritte dall'Articolo 21: analisi del rischio, gestione degli incidenti, continuità operativa, sicurezza della supply chain, sicurezza delle reti, gestione delle vulnerabilità e altro ancora.

4. Informare il consiglio di amministrazione. NIS2 è un obbligo di governance, non un progetto IT. L'Articolo 20 impone agli organi di gestione di approvare le misure di sicurezza informatica e di seguire una formazione specifica. Se il Suo consiglio non ha ancora discusso di NIS2, questa conversazione è urgente.

5. Valutare la propria posizione attuale. Non è necessario un consulente per iniziare. Una scansione strutturata della preparazione può indicarLe in pochi minuti dove si trova rispetto ai requisiti NIS2 — e mostrare esattamente dove si trovano le lacune. Avvii la scansione gratuita di idoneità NIS2 per scoprire dove si trova la Sua organizzazione oggi.

La finestra si sta chiudendo

Le 18.000 aziende tedesche non registrate stanno ora scoprendo concretamente come funziona l'enforcement. Ogni altro Stato membro dell'UE sta percorrendo lo stesso cammino — l'unica variabile è il momento.

Le organizzazioni che agiscono ora, prima che arrivi la scadenza nazionale, avranno il vantaggio della preparazione anziché la pressione dell'enforcement. Quelle che aspettano si troveranno nella stessa situazione in cui si trova oggi il Mittelstand tedesco: un'autorità di regolamentazione con il potere di condurre audit, infliggere sanzioni e ritenere gli amministratori personalmente responsabili — e un programma di conformità che avrebbe dovuto essere avviato mesi fa.