La Germania ha affrontato da poco le elezioni politiche. Nel quadro di questi avvenimenti, l’implementazione del NIS2 nella Repubblica federale tedesca sembra essersi temporaneamente arenata. Mentre altri paesi europei sono già pronti, le aziende tedesche dovranno attendere ancora diversi mesi prima di poter contare su una certezza giuridica. E anche se il tema è già stato ampiamente discusso e preparato, il nuovo governo riparte da zero.
Abbiamo avuto il piacere di confrontarci con uno dei massimi esperti di NIS2: Dennis-Kenji Kipker, Scientific Director del cyberintelligence.institute di Francoforte sul Meno, professore presso la Riga Graduate School of Law e consulente abituale dell’Ufficio federale per la sicurezza nelle tecnologie dell’informazione (BSI), oltre che di numerose altre istituzioni pubbliche e scientifiche.
Perché il governo federale ha scartato la bozza del NIS2?
Prof. Dr. Dennis-Kenji Kipker
Kipker: Quanto accaduto si deve al principio di discontinuità. Questo impone che, come avveniva con il precedente governo, tutti i progetti in sospeso debbano essere archiviati. “A causa delle elezioni anticipate, non è stato possibile completare la procedura parlamentare relativa al NIS2UmsuCG”. In conformità con tale principio, tutti i progetti di legge non approvati dal vecchio Bundestag devono essere ripresentati e negoziati una volta costituito il nuovo Parlamento. Di conseguenza, anche il lavoro già svolto sul NIS2 viene accantonato. Tuttavia, è possibile riprendere quanto già elaborato e proporre quasi lo stesso testo.
È probabile che accada?
Kipker: Il Ministero federale degli Interni ha elaborato un piano interno di 100 giorni per il periodo post-elettorale. Secondo fonti riservate, al suo interno la sicurezza informatica dovrebbe occupare una posizione di rilievo, con particolare enfasi sull’implementazione rapida della direttiva NIS2. Qualora si riuscisse ad attuarla prima dell’autunno/inverno 2025, anticipando le attuali previsioni, la Germania eviterebbe di trovarsi nella scomoda posizione di fanalino di coda europeo in questo ambito.
Si tratta di un obiettivo realistico?
Kipker: Nonostante il principio di discontinuità, sarebbe opportuno recuperare gran parte del lavoro svolto nella precedente legislatura. Attualmente, sembra che il Ministero dell’Interno ancora in carica miri proprio a questo obiettivo. Tuttavia, solo i politici e i funzionari direttamente coinvolti possono valutare la fattibilità di tale approccio. Considerando la complessità dell’attività politica tedesca, cento giorni appaiono un termine piuttosto ambizioso, anche con il pieno coinvolgimento di tutte le parti interessate. Sarebbe necessario effettuare un bilancio, identificare e affrontare le esigenze di revisione nell’attuale progetto NIS2UmsuCG, nonché definire e chiarire l’ambito di applicazione tedesco della legge, allineandola al diritto dell’Unione Europea. Inoltre, tra la fine del 2024 e l’inizio del 2025, anche in seguito all’audizione di esperti sul NIS2 al Bundestag, si è cercato di far approvare numerose proposte, alcune delle quali piuttosto controverse. In ogni caso, questi aspetti dovrebbero essere oggetto di una nuova negoziazione politica e di un’attenta valutazione tecnica.
Quando crede che accadrà?
Kipker: Difficile dirlo con certezza, ma se viene rispettata la scadenza dei 100 giorni, dovrebbe essere possibile completare l’implementazione nazionale della direttiva NIS2 prima dell’inverno 2025/2026. Tuttavia, si tratta solo di un’ipotesi preliminare che viene ripetutamente ventilata da “ambienti solitamente ben informati”. In ogni caso, indipendentemente dagli sforzi attuali, è probabile che la Germania finisca comunque tra i fanalini di coda nell’attuazione a livello europeo, poiché le ambizioni attuali non sembrano in grado di cambiare questa prospettiva.
E qual è la situazione in altri Paesi europei?
Kipker: Attualmente, ci sono numerosi sviluppi interessanti. È emerso, ad esempio, che le diverse implementazioni nazionali della direttiva NIS2 generano inefficienze e costi aggiuntivi per le aziende coinvolte, un fenomeno non del tutto inaspettato. Recentemente, l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha pubblicato un rapporto informativo che analizza e valuta il livello di maturità e la criticità dei settori rilevanti per la NIS2 nel contesto europeo. L’ENISA afferma che il “NIS360 mira ad assistere gli Stati membri e le autorità nazionali nell’identificazione delle lacune e nella definizione delle priorità per l’allocazione delle risorse”. Parallelamente, il cyberintelligence.institute ha condotto uno studio approfondito per conto dell’azienda svizzera Asea Brown Boveri, che esamina in dettaglio l’implementazione della direttiva NIS2 in tutta l’Unione Europea.
Quali sono i punti salienti di questo studio?
Kipker: Il Comparison Report si rivolge principalmente alle aziende operanti a livello transnazionale che cercano un primo punto di riferimento per la compliance in materia di sicurezza informatica. In particolare, emerge la mancanza di responsabilità amministrative centralizzate, nel senso di uno “sportello unico”, e le divergenti scadenze di attuazione creano difficoltà alle imprese. A fine gennaio, solo nove Stati membri dell’UE avevano recepito la direttiva NIS2 nel diritto nazionale, mentre per altri 18 Stati il processo legislativo era ancora in corso. Un’altra osservazione cruciale: la conformità alla NIS2 in uno Stato membro dell’UE non garantisce necessariamente la conformità in un altro Stato membro.
Insomma, la Germania non può definirsi pioniere, ma nemmeno fanalino di coda?
Kipker: Non siamo di certo in prima linea, ma se riusciremo a completare l’implementazione nazionale entro la fine dell’anno, potremmo evitare l’ultima posizione, pur rimanendo molto indietro. Allo stato attuale, la mia ipotesi è che risultati veramente resilienti si vedranno solo nell’ultimo trimestre del 2025, e allora forse saremo veramente in coda al gruppo. Spetta ai politici valutare se questa situazione possa soddisfare le nostre esigenze di cybersicurezza e resilienza digitale.
Dov’è possibile informarsi sullo stato attuale del progetto?
Kipker: Gli eventi e le opportunità di partecipazione si susseguono con regolarità. Il 18 marzo, ad esempio, è previsto un evento informativo del BSI, dove sarà possibile ottenere chiarimenti sulla pianificazione. Successivamente, nel maggio 2025, si terrà il congresso NIS-2 proprio qui vicino a Francoforte, per il quale è stato recentemente nominato il “Community Leader NIS-2 più autorevole”. Sicuramente l’evento offrirà spunti informativi interessanti. In ogni caso, non esitate a contattarmi per qualsiasi domanda riguardante NIS2!
