KRITIS

KRITIS è l'abbreviazione di Kritische Infrastrukturen e indica in Germania le strutture e gli impianti il cui guasto o compromissione causerebbe gravi carenze di approvvigionamento o minacce alla sicurezza pubblica. Rientrano in questa categoria settori come energia, acqua, alimentazione, sanità, trasporti, finanza e tecnologie dell'informazione e della comunicazione. La base giuridica è costituita dalla legge BSI in combinazione con il regolamento KRITIS, che definisce soglie concrete a partire dalle quali un operatore viene classificato come rilevante ai fini KRITIS. Con l'entrata in vigore della legge di attuazione NIS2 alla fine del 2025 e della legge quadro KRITIS all'inizio del 2026, il quadro normativo in Germania è stato considerevolmente ampliato e inasprito.

Gli operatori KRITIS sono soggetti a obblighi concreti in materia di cybersicurezza che vanno ben oltre le raccomandazioni generali. Devono registrarsi presso il BSI, implementare misure di sicurezza tecniche e organizzative, segnalare gli incidenti di sicurezza e dimostrare regolarmente le proprie misure di protezione. Con la legge quadro KRITIS, dal 2026 si aggiungono obblighi di protezione fisica degli impianti critici, per i quali è necessaria una registrazione separata presso il Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Gli operatori KRITIS si trovano quindi nella pratica a dover adempiere a un doppio obbligo di registrazione e documentazione nei confronti di due autorità.

Nella pratica, il KRITIS non riguarda solo le grandi aziende. Utility municipali, ospedali di proprietà comunale o fornitori d'acqua regionali possono rientrare nelle soglie KRITIS tanto quanto aziende operanti a livello nazionale. Per i responsabili IT di queste organizzazioni ciò significa che i sistemi e i dispositivi finali impiegati devono soddisfare requisiti elevati in termini di sicurezza, documentazione e dimostrabilità, che vanno ben oltre quanto è consueto nelle aziende non regolamentate.

La differenza fondamentale tra KRITIS e NIS2 risiede nell'ambito di applicazione. Mentre NIS2 riguarda un'ampia platea di aziende e istituzioni, KRITIS in senso stretto indica solo i circa 1.800 operatori di impianti critici che superano una soglia di approvvigionamento definita e sono quindi soggetti ai requisiti più stringenti. Nel dibattito pubblico, i due termini vengono spesso usati come sinonimi, il che può portare a valutazioni errate del proprio coinvolgimento normativo.

Per gli operatori KRITIS, la protezione completa e la documentazione di tutti i dispositivi finali impiegati è una componente centrale delle misure di protezione richieste per legge. Come realizzarlo con una gestione dei dispositivi conforme al GDPR e verificabile lo mostra uno sguardo alle relative possibilità.