Questa critica non era necessariamente prevedibile: In un rapporto, l'Ufficio federale di controllo ha chiesto di migliorare la legge sull'attuazione della NIS-2. Il governo federale stava mettendo a rischio la sicurezza informatica e delle informazioni in Germania.
"A rischio la sicurezza informatica e delle informazioni di tutte le parti"
Come riporta il Tagesspiegel, il rapporto dell'Ufficio federale di controllo è stato trasmesso alla Commissione per il bilancio e alla Commissione per gli interni del Bundestag. I revisori criticano il fatto che la bozza di legge sull'implementazione della Direttiva sulla sicurezza delle reti e delle informazioni (NIS-2), elaborata dal Ministero federale degli Interni e approvata dal Gabinetto federale alla fine di luglio, non raggiunge gli obiettivi prefissati in punti chiave, anche dopo molteplici consultazioni dipartimentali.
"Le norme importanti non dovrebbero essere vincolanti per l'intera amministrazione federale in modo standardizzato. Il risultato sarebbe una 'trapunta patchwork' che potrebbe mettere a rischio le informazioni e la sicurezza informatica di tutte le parti coinvolte", scrive il Bundesrechnungshof nella relazione sull'implementazione del NIS 2.
Nel suo rapporto, la massima autorità di controllo tedesca chiede che il progetto di legge venga modificato nel corso dell'iter parlamentare. In particolare
- le eccezioni ai requisiti centrali per la sicurezza informatica e delle informazioni sono limitate, e
- al coordinatore della sicurezza delle informazioni devono essere attribuiti compiti e poteri adeguati.
Anche le esigenze delle autorità federali in termini di fondi di bilancio aggiuntivi dovrebbero essere esaminate criticamente.
Suggerimento di lettura: Direttiva NIS 2 - Queste società sono interessate
La legge di attuazione del NIS-2 arriva in ritardo
La Direttiva NIS 2 dovrebbe essere effettivamente implementata dalle leggi nazionali degli Stati membri entro il 18 ottobre 2024. Gli obblighi di implementare misure di sicurezza informatica e di segnalare gli attacchi informatici saranno quindi estesi a un numero significativamente maggiore di aziende in vari settori. Solo in Germania, il Ministero federale degli Interni, che ne è responsabile, prevede che circa 29.500 aziende saranno ulteriormente obbligate a implementare misure di sicurezza informatica. In precedenza, le misure erano limitate agli operatori di infrastrutture critiche, ai fornitori di servizi digitali e alle aziende di particolare interesse pubblico.
È già chiaro che la legge NIS-2 entrerà in vigore in Germania con un certo ritardo. Il Consiglio federale si occuperà della legge il 27 settembre. Sebbene non debba approvare la legge, secondo il Tagesspiegel, ha già registrato richieste di emendamenti. Il Bundestag potrebbe quindi occuparsi della legge di attuazione del NIS-2 non prima della seconda settimana di ottobre. L'Ufficio federale di controllo ha evidenziato più che chiaramente i punti critici.
Fonte: Bozza della legge sull'attuazione della NIS-2 e sul rafforzamento della sicurezza informatica