Legge quadro KRITIS: Nuovi requisiti per i gestori di sistemi critici

La legge sui tetti Kritis comporta nuovi requisiti.
Categorie:
,
Immagine di Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.

La legge quadro KRITIS (KRITIS-DachG) è stata adottata dal Governo federale nell'autunno del 2025 e approvata dal Bundestag il 29 gennaio 2026. L'obiettivo della legge è quello di stabilire requisiti minimi standardizzati per la protezione fisica dei sistemi critici e di garantirne l'attuazione attraverso misure di supporto e supervisione coordinate. Le norme integrano le disposizioni esistenti in materia di sicurezza informatica, perseguendo un approccio omnicomprensivo. Offrono quindi protezione contro i rischi naturali, i guasti tecnici, il sabotaggio, il terrorismo e altre minacce non legate all'IT. Di seguito troverete una panoramica dei punti più importanti del KRITIS-DachG.

Definizioni dei termini: Servizio critico, asset critici, resilienza, incidente.

Per consentire alle aziende di valutare se sono interessate dal KRITIS-DachG, vale la pena di dare un'occhiata ai punti chiave Definizioni nella legge:

  • Servizio critico: Si tratta di un servizio di fornitura al pubblico in determinati settori. Ad esempio, l'energia, i trasporti e il traffico, la finanza e le assicurazioni, i servizi sociali (assicurazioni sociali e sicurezza di base), la sanità, l'acqua (acqua potabile/acque reflue), l'alimentazione, le tecnologie dell'informazione e le telecomunicazioni, le infrastrutture spaziali o lo smaltimento dei rifiuti. Un guasto o una compromissione significativa di tali servizi porterebbe a strozzature nell'approvvigionamento o metterebbe a rischio la sicurezza pubblica.

  • Sistema critico: Per impianto si intende qualsiasi sito operativo o installazione (fissa o mobile). Un impianto è considerato critico se è essenziale per la fornitura di un servizio critico. In termini concreti, ciò significa Se questo impianto si guasta, il servizio essenziale è messo a rischio. Gli operatori dei sistemi critici possono essere aziende private o enti pubblici che hanno un'influenza decisiva sul sistema.

  • Resilienza: Il KRITIS-DachG definisce la resilienza come la capacità di una struttura critica di prevenire un incidente, di proteggersi da esso, di evitarlo, di rispondervi, di limitarne le conseguenze, di assorbire l'incidente e di riprendersi. Si tratta quindi di un approccio olistico alla resilienza, che va dalle misure preventive e dalle risposte di emergenza al ripristino delle normali operazioni.

  • Incidente: Un incidente ai sensi della KRITIS-DachG è un evento che pregiudica o potrebbe pregiudicare in modo significativo la fornitura di un servizio critico. Importante: gli incidenti informatici puri (incidenti di sicurezza informatica) che rientrano nella legge BSI non sono considerati un incidente ai sensi di questa legge. Il KRITIS-DachG si rivolge principalmente ai pericoli fisici e alle classiche crisi di approvvigionamento. Ne sono un esempio i disastri naturali, le interruzioni di corrente su larga scala, gli atti di sabotaggio o i guasti causati da errori umani, a condizione che questi interrompano in modo significativo la fornitura. I cyberattacchi restano oggetto di segnalazione e trattamento nell'ambito del BSIG, anche se naturalmente possono esserci sovrapposizioni (ad esempio, attacchi combinati).

Obblighi per gli operatori di sistemi critici

La legge ombrello KRITIS impone nuovi e ampi obblighi agli operatori di strutture critiche. Questi hanno lo scopo di garantire che prendano precauzioni per prevenire e gestire le crisi. Questi includono in particolare

  • Registrazione di sistemi e operatori: Tutti gli operatori che rientrano nel KRITIS-DachG devono registrare se stessi e i loro sistemi critici in un registro centrale presso l'Ufficio federale per la protezione civile e l'assistenza alle catastrofi (BBK). Ciò avviene tramite una piattaforma online congiunta del BBK e del BSI, al fine di evitare sovrapposizioni con la registrazione esistente del BSIG. La registrazione comprende informazioni sull'operatore (nome, forma giuridica, contatto), sulla struttura (ubicazione, settore, area di servizio) e sul servizio critico fornito. Deve essere indicato anche un punto di contatto 24 ore su 24, 7 giorni su 7. Scadenze: Gli impianti critici esistenti devono essere registrati entro il 17 luglio 2026. I nuovi impianti devono essere registrati entro tre mesi dalla classificazione. In caso di mancata registrazione, il BBK può iscrivere l'operatore nel registro stesso dopo un'audizione.

  • Analisi e valutazione del rischio: Gli operatori hanno l'obbligo di effettuare regolarmente un'analisi sistematica dei rischi di tutti i sistemi critici. Devono essere presi in considerazione tutti i rischi rilevanti: Dai rischi naturali (ad esempio, inondazioni, pandemie) ai guasti tecnici e agli attacchi deliberati. L'analisi deve essere utilizzata per effettuare una valutazione del rischio al fine di stabilire un ordine di priorità dei rischi in base alla probabilità di accadimento e all'entità del danno. La direttiva UE richiede che queste analisi dei rischi per l'operatore vengano effettuate entro 9 mesi dall'identificazione. È importante che le aziende adattino i loro modelli di rischio e BCM esistenti all'approccio all-hazards. Molti settori industriali dispongono già di standard per la gestione delle emergenze e delle crisi. Questi possono essere integrati e ampliati.

Misure di resilienza e piano di resilienza

Sulla base dell'analisi dei rischi, devono essere adottate misure tecniche, organizzative e di personale adeguate e proporzionate per proteggere i sistemi critici. Lo spettro spazia dalle precauzioni di sicurezza strutturali (ad esempio, controlli degli accessi, sistemi ridondanti) alle misure organizzative (piani di emergenza, formazione dei dipendenti, messa in sicurezza delle parti di ricambio e delle scorte di carburante) e alla cooperazione con le autorità e i partner in caso di crisi. Tutte le misure adottate devono essere documentate in un piano di resilienza. Questo piano contiene la strategia dell'azienda per il mantenimento dell'operatività in caso di crisi, le misure di protezione definite e i risultati della precedente analisi dei rischi. Il BBK fornisce esempi e modelli per aiutare le aziende a redigere questo piano.

Il piano di resilienza deve essere applicato e aggiornato. Sono quindi obbligatorie revisioni periodiche e adeguamenti alle nuove situazioni di minaccia.

Sebbene tutte le misure debbano essere pianificate al momento della registrazione, alcune di esse potrebbero essere ancora in fase di attuazione. In ogni caso, le aziende dovrebbero iniziare a pianificare fin da subito, poiché l'implementazione e la definizione di una strategia di resilienza possono richiedere molto tempo.

Punti di contatto e obbligo di segnalazione

  • Designazione dei punti di contatto: Come già detto, la legge richiede la nomina di un punto di contatto permanente per ogni operatore. Questo per garantire che le autorità possano raggiungere rapidamente una persona di riferimento in caso di crisi o di sospetto. In pratica, si tratta di solito di una linea telefonica di emergenza attiva 24 ore su 24 o di un servizio di guardia corrispondente. I dati di contatto devono essere forniti al momento della registrazione e mantenuti sempre aggiornati. Per le aziende che operano a livello internazionale, può essere opportuno istituire internamente un punto di contatto centrale per tutte le questioni CRITIS.

  • Obbligo di segnalare gli incidenti significativi: Se si verifica un incidente nonostante tutte le precauzioni, si applica l'obbligo di segnalazione del KRITIS-DachG. Qualsiasi incidente significativo deve essere segnalato immediatamente all'ente responsabile, al più tardi entro 24 ore da quando se ne viene a conoscenza. A tale scopo verrà istituito un centro di segnalazione congiunto BBK e BSI. Tutti i rapporti sugli incidenti devono essere inviati tramite questo portale online centralizzato. Le doppie segnalazioni (ad esempio, separatamente a BBK e BSI) non devono essere inviate. e BSI) vengono così evitati. Se il rapporto iniziale contiene ancora informazioni incomplete (tipico di una situazione acuta), deve essere aggiornato su base continuativa se i difetti persistono.

    Entro un mese dalla conoscenza dell'incidente, l'operatore deve presentare un rapporto finale dettagliato che analizzi le cause e tutti gli effetti.

    Il contenuto dei rapporti deve comprendere almeno il tipo e la causa dell'incidente, il colpiti La BBK analizza questi rapporti sugli incidenti e, se necessario, informa gli altri Stati membri o la Commissione Europea se l'incidente ha rilevanza transfrontaliera. Il BBK analizza questi rapporti sugli incidenti e, se necessario, informa gli altri Stati membri o la Commissione europea se l'incidente ha rilevanza transfrontaliera. Importante: questo obbligo di segnalazione si applica in aggiunta a qualsiasi normativa specifica del settore. Ad esempio, i fornitori di energia possono essere tenuti a informare contemporaneamente l'Agenzia federale delle reti, i servizi sanitari le loro autorità di vigilanza, ecc. Tuttavia, il KRITIS-DachG non crea alcun „naming and shaming“ pubblico: le segnalazioni sono trattate in modo confidenziale. Solo se è di pubblico interesse, il BBK può informare il pubblico dopo aver ascoltato l'operatore, ad esempio per mettere in guardia la popolazione.

Oltre a questi obblighi fondamentali, la legge prevede ulteriori requisiti, come la partecipazione a programmi governativi di resilienza.

Supervisione KRITIS

Il rispetto di questi obblighi è monitorato da un sistema di supervisione a più livelli. Il punto di contatto centrale è l'Ufficio federale della protezione civile e dell'assistenza in caso di catastrofe (BBK), che funge da punto di contatto centrale. A seconda del settore, vengono designate anche diverse autorità competenti: l'Agenzia federale delle reti per l'elettricità, il gas, l'idrogeno e le telecomunicazioni, l'Autorità federale delle ferrovie per il trasporto ferroviario, la Ufficio federale per la sicurezza delle informazioni (BSI) per i servizi IT/telecomunicazioni, i ministeri della sanità (federali/statali) per le strutture sanitarie, ecc.

Le autorità responsabili lavorano a stretto contatto con il BBK e il BSI per evitare sovrapposizioni. Ad esempio, ci sarà un centro di reporting congiunto e il BBK e il BSI collaboreranno anche per la registrazione e l'audit attraverso una piattaforma online e procedure coordinate.

Le autorità hanno ampi poteri per monitorare l'attuazione delle misure di resilienza. Possono richiedere agli operatori prove e informazioni, come l'accesso al piano di resilienza o alla documentazione interna. Le autorità di vigilanza seguono un approccio basato sul rischio: le ispezioni prioritarie sono rivolte a quelle aziende le cui dimensioni, esposizione al rischio o impatto potenziale sono particolarmente elevati.

Gli operatori devono presentare su richiesta i risultati degli audit se hanno effettuato ispezioni esterne. L'autorità può effettuare direttamente le ispezioni in loco o commissionare ispezioni indipendenti. Terza parte a farlo. Le aziende sono tenute a consentire agli ispettori l'accesso alle sale operatorie, ai sistemi e alle strutture pertinenti e a fornire informazioni. Se vengono identificate delle carenze, l'autorità può obbligare l'operatore a presentare un piano d'azione correttivo entro un certo periodo di tempo e ad attuare le misure corrispondenti.

Suggerimento di lettura: Linee guida DORA sulla supervisione dei fornitori terzi critici

Responsabilità e sanzioni per le violazioni KRITIS

Responsabilità civile della direzione: Degna di nota è la sezione 20 della KRITIS-DachG, che sottolinea la responsabilità della direzione aziendale. La direzione di un operatore (vale a dire il consiglio di amministrazione, la direzione o organi simili) è tenuta a implementare misure di resilienza e a integrarle nell'organizzazione. Se la direzione trascura colpevolmente questo dovere, è responsabile nei confronti dell'azienda per qualsiasi danno subito. Questo diritto civile Responsabilità civile si applica in via sussidiaria, a meno che in questi casi non si applichino già le disposizioni del diritto societario (ad esempio i doveri di diligenza del diritto societario). Per i responsabili delle decisioni, ciò significa che la resilienza è una questione che riguarda il capo. Chiunque ignori deliberatamente i requisiti rischia di incorrere in azioni di responsabilità personale. Questo è simile a ciò che si sa dalla protezione dei dati o dal diritto del lavoro, dove le violazioni della conformità possono anche risultare in Responsabilità civile della direzione.

Infrazioni amministrative e multe: La legge prevede un catalogo di ammende per garantire l'applicazione della legge. Le violazioni, come la mancata registrazione, la mancata analisi dei rischi, l'assenza di un piano di resilienza o la mancata segnalazione di un incidente, possono comportare multe salate. A seconda della gravità dell'infrazione, le ammende massime sono scaglionate a 50.000, 100.000, 200.000 e 500.000 euro. L'ammenda massima di 500.000 euro sarà probabilmente applicata in caso di gravi o ripetute violazioni dei doveri (ad esempio, la totale inosservanza dei requisiti di resilienza). Inoltre, qualsiasi violazione intenzionale di ordini ufficiali può essere riconosciuta come reato. Reato normativo essere penalizzati. Questo aumenta la pressione.

Conseguenze specifiche del settore: Indipendentemente dal KRITIS-DachG, restano valide le leggi di vigilanza specifiche del settore. Nei settori altamente regolamentati (energia, telecomunicazioni, trasporti, ecc.), in caso di palese inosservanza degli obblighi di protezione potrebbero essere adottate misure di regolamentazione, tra cui il ritiro delle licenze. Questa sarebbe la misura estrema e non è esplicitamente normata nel KRITIS-DachG. Tuttavia, un fornitore di energia che continui a violare i requisiti di sicurezza potrebbe rischiare di perdere la licenza operativa.

Nel complesso, tuttavia, il legislatore sta segnalando che i nuovi obblighi devono essere presi sul serio, sia attraverso le ammende che sottolineando la responsabilità dei dirigenti.

Fonte: Legge sull'attuazione della direttiva (UE) 2022/2557 e sul rafforzamento della resilienza delle installazioni critiche (legge ombrello KRITIS)

Kritis fa della resilienza una priorità assoluta

La legge quadro KRITIS comporta nuovi obblighi piuttosto impegnativi per le aziende critiche: dalla registrazione, all'analisi dei rischi, ai processi di reporting. Allo stesso tempo, offre l'opportunità di aggiornare la propria gestione delle crisi e di armarla contro un'ampia gamma di minacce.

I responsabili delle decisioni dovrebbero agire in modo proattivo, utilizzare le linee guida ufficiali e adottare un approccio graduale all'implementazione. Con una buona pianificazione e un buon supporto, i requisiti possono essere soddisfatti, aumentando la sicurezza dell'approvvigionamento e garantendo la conformità legale. Il motto è: „La resilienza è fattibile se la si considera una priorità assoluta e se si coinvolgono tutti i soggetti interessati”.”

Siete gestori di sistemi critici o sospettate che la vostra azienda rientri nel campo di applicazione della legge quadro KRITIS? Se è così, vale la pena di fare chiarezza fin da subito e di iniziare l'implementazione in modo strutturato. 2B Consigli vi fornisce un supporto pratico: dalla valutazione d'impatto alla struttura organizzativa, fino alla capacità di revisione. Documentazione.

Vi aiutiamo in particolare con

  • Analisi dell'ambito e dell'impatto (servizi critici, sistemi critici, dipendenze, interfacce con BSIG/NIS-2)
  • Analisi e valutazione del rischio secondo l'approccio all-hazards (metodicamente resiliente, capace di prendere decisioni di gestione)
  • Piano di resilienza e programma di misure (definizione delle priorità, percorso di attuazione, governance, prove)
  • Processi di reporting e organizzazione delle crisi (logica di reporting 24 ore su 24, modelli, esercizi, concetto di comunicazione)
  • Preparazione all'audit (tenuta dei registri, controlli interni, preparazione alle ispezioni da parte delle autorità/controlli in loco)


Se lo desiderate, possiamo organizzare un breve incontro iniziale per classificare il vostro status quo e sviluppare una tabella di marcia concreta. Basta scriverci e riceverete rapidamente una valutazione dei prossimi passi che avranno il massimo impatto sulla vostra azienda.

Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.

Contattateci
Tag:
, , , ,
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi