NIS2 in Lettonia

1. Panoramica rapida di applicabilità per le PMI in Lettonia

NIS2 si applica alle PMI in Lettonia?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Lettonia e, in alcuni casi, ai fornitori digitali stranieri che servono il mercato lettone.

Le PMI dovrebbero valutare se rientrano nel quadro nazionale di cybersicurezza della Lettonia in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell'attuazione della NIS2 in Lettonia

La Lettonia ha recepito la Direttiva mediante la nuova Legge nazionale sulla cybersecurity (Nacionālās kiberdrošības likums), adottata dal Saeima il 20 giugno 2024, firmata il 4 luglio 2024 e in vigore dal 1° settembre 2024 — che abroga e sostituisce integralmente la precedente Legge sulla sicurezza delle tecnologie dell'informazione (è una nuova legge, non una modifica).

La normativa secondaria è stata completata con il Regolamento del Consiglio dei Ministri n. 397 sui requisiti minimi di cybersecurity, in vigore dal 2 luglio 2025.

Le specificità nazionali includono la nomina obbligatoria di un responsabile della cybersecurity, una classificazione dei sistemi su tre livelli (A rafforzato / B basico / C minimo) e l'obbligo di una revisione annuale della sicurezza ICT ai sensi dell'articolo 25. Il parere motivato della Commissione europea del maggio 2025 è stato risolto a seguito dell'adozione del Regolamento n. 397.

3. Ambito di applicazione in Lettonia

L'ambito della Lettonia riflette le categorie minime di settori della Direttiva senza un'espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Lettonia

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se ritenute critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità lettoni mantengono poteri formali di designazione quando il rischio sistemico ne giustifica l'inclusione.

5. Quadro di classificazione delle entità in Lettonia

Le entità sono classificate come:

• Entità Essenziali — Soggette a vigilanza proattiva, con ispezioni e monitoraggio strutturato della conformità.
• Entità Importanti — Principalmente soggette a vigilanza reattiva attivata da incidenti significativi o da problemi di conformità.

La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano un rafforzamento della vigilanza.

La Lettonia segue la struttura di vigilanza a due livelli prevista dalla Direttiva.

6. Requisiti di gestione del rischio di cybersicurezza in Lettonia

Il regime nazionale della Lettonia si allinea ai requisiti di base della Direttiva per la gestione del rischio di cybersicurezza. Le entità rientranti nell'ambito di applicazione devono implementare misure tecniche e organizzative proporzionate che affrontino:

• Analisi del rischio e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Lettonia
• Acquisizione e sviluppo sicuri dei sistemi ICT
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di protezione crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale in materia di cybersicurezza

Le misure devono riflettere lo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento a ISO/IEC 27001 e alle linee guida lettoni sulla cybersicurezza.

7. Responsabilità del management e governance in Lettonia

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio informatico e vigilare sulla loro attuazione.

Nel quadro normativo della Lettonia:

• I consigli di amministrazione sono responsabili della supervisione della conformità.
• L'alta direzione deve assicurare una sufficiente competenza in cybersecurity e nominare formalmente un responsabile della cybersecurity, dandone notifica al NCSC (scadenza 1° ottobre 2025 — scaduta).
• Sanzioni amministrative possono colpire le carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione conformi alla Direttiva.

Le aspettative della NIS2 sulla responsabilità del management in Lettonia elevano la governance della cybersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Lettonia

9. Autorità di vigilanza e modello di applicazione in Lettonia

Autorità principale di supervisione: Centro nazionale di cybersecurity (NCSC), le cui funzioni sono esercitate dal Ministero della Difesa in cooperazione con CERT.LV; il NCSC funge da punto di contatto unico, monitora l'attuazione ed elabora la politica nazionale di cybersecurity. CERT.LV è il CSIRT nazionale per la risposta agli incidenti. L'Ufficio per la protezione della Costituzione supervisiona i proprietari di infrastrutture ICT critiche.

La Lettonia adotta un modello di supervisione coordinato sotto il NCSC; CERT.LV gestisce la risposta agli incidenti; l'Ufficio per la protezione della Costituzione vigila sulle infrastrutture ICT critiche. Il NCSC può effettuare ispezioni, ordinare misure correttive, emettere avvisi, sospendere servizi e irrogare sanzioni.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

La struttura di applicazione è allineata ai requisiti di cooperazione a livello di direttiva.

10. Sanzioni e multe NIS2 in Lettonia

La Lettonia applica sanzioni amministrative allineate alla direttiva.

Oltre alle sanzioni finanziarie, le autorità possono imporre ulteriori misure di applicazione:

• Divulgazione pubblica della non conformità
• Istruzioni vincolanti con scadenze
• Sospensione temporanea delle certificazioni
• Divieti temporanei di gestione per le entità essenziali

11. Sicurezza della catena di approvvigionamento e dei fornitori NIS2 in Lettonia

Le entità devono gestire l’esposizione ai rischi di cybersicurezza derivanti da terze parti attraverso:

• Valutazioni del rischio dei fornitori
• Clausole contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L’approccio della Lettonia è allineato alle aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e autoidentificazione in Lettonia

Le entità rientranti nell’ambito di applicazione devono:

• Registrarsi presso il Centro nazionale di cybersecurity (NCSC); la scadenza iniziale di registrazione del 1° aprile 2025 è scaduta; i soggetti che acquisiscono lo status di soggetto in ambito successivamente devono notificarlo al NCSC entro un mese. È disponibile un'autovalutazione tramite lo strumento NCL online del Ministero della Difesa.
• Fornire i dati identificativi dell'azienda
• Dichiarare la classificazione settoriale e classificare tutti i sistemi informativi in tre categorie di sicurezza: A (rafforzata), B (basica) o C (minima).
• Mantenere aggiornati i contatti per le notifiche

Il Regolamento del Consiglio dei Ministri n. 397 (in vigore dal 2 luglio 2025) definisce le misure tecniche e organizzative minime in base alla classificazione di sicurezza del sistema. I soggetti devono mantenere un catalogo aggiornato delle risorse ICT che comprenda sistemi informativi, architettura e prodotti e servizi basati su ICT.

L'autoidentificazione è obbligatoria. Il primo rapporto di autovalutazione doveva essere trasmesso al NCSC entro il 1° ottobre 2025 (scaduto). Successivamente, sono richieste revisioni annuali della sicurezza ICT ai sensi dell'articolo 25, con rettifica formale delle carenze identificate.

13. Interazione con il GDPR e altre leggi in Lettonia

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le aree di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento con l'autorità di controllo
• Indagini parallele in materia di cybersicurezza e protezione dei dati
• Normativa lettone sulla cybersicurezza specifica per settore

Un incidente informatico può attivare obblighi di segnalazione in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con la sede principale in Lettonia sono soggette alla vigilanza delle autorità lettoni per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Lettonia possono essere soggetti a obblighi nazionali a seconda della struttura dello stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato lettone.

15. Cronoprogramma di attuazione in Lettonia

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: Legge nazionale sulla cybersecurity adottata il 20 giugno 2024, firmata il 4 luglio 2024; Regolamento n. 397 in vigore dal 2 luglio 2025.
• Entrata in vigore: 1° settembre 2024 (LNC); 2 luglio 2025 (Regolamento n. 397).
• Notifica alla Commissione: Parere motivato della CE del 7 maggio 2025 per normativa secondaria incompleta — risolto dopo l'adozione del Regolamento n. 397.
• Tappe di conformità: registrazione dei soggetti 1° aprile 2025 (scaduta); nomina del responsabile della cybersecurity 1° ottobre 2025 (scaduta); primo rapporto di autovalutazione 1° ottobre 2025 (scaduta); revisioni annuali della sicurezza ICT in corso.

Il recepimento è completo (1° settembre 2024) e la normativa secondaria è stata finalizzata (2 luglio 2025). Tutte le scadenze iniziali sono trascorse; le revisioni annuali della sicurezza ICT sono un obbligo continuo.

16. Punti chiave per le PMI in Lettonia

• I soggetti di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito.
• I soggetti di piccole dimensioni possono essere designati se critici per la stabilità nazionale o economica.
• La supervisione della governance a livello di consiglio è obbligatoria; i soggetti devono nominare un responsabile della cybersecurity e notificarlo al NCSC (scadenza 1° ottobre 2025 — scaduta).
• La notifica degli incidenti segue le scadenze 24h / 72h / 1 mese.
• Le sanzioni finanziarie possono raggiungere 10 milioni di € o il 2 % del fatturato globale.
• La gestione del rischio dei fornitori è obbligatoria.
• Tutte le scadenze iniziali sono trascorse (registrazione 1° aprile 2025; responsabile della cybersecurity e prima autovalutazione 1° ottobre 2025); classificare i sistemi A/B/C, attuare i minimi del Regolamento n. 397 e mantenere revisioni annuali della sicurezza ICT.

FAQ: Guida NIS2 per le PMI in Lettonia