NIS2 in Lituania

Guida all'implementazione e alla conformità NIS2 in Lituania.

Questo documento presenta informazioni aggiornate a febbraio 2026. Benché siano stati adottati tutti i ragionevoli accorgimenti per verificare l'accuratezza dei contenuti, le informazioni sono fornite senza garanzia di completezza o accuratezza e possono essere soggette a modifiche. Pur prevedendo aggiornamenti periodici di questi contenuti, si consiglia ai lettori di verificare autonomamente le informazioni critiche.

La Lituania sta rafforzando il proprio regime nazionale di cibersicurezza per allinearsi agli obblighi rafforzati introdotti dalla Direttiva NIS2. Il quadro aggiornato amplia la copertura settoriale, rafforza la responsabilità degli organi di gestione e potenzia i meccanismi di vigilanza e applicazione. Questa guida fornisce una panoramica strutturata dei requisiti di conformità NIS2 in Lituania per le PMI che operano in settori regolamentati.

1. Panoramica rapida dell'applicabilità per le PMI in Lituania

NIS2 si applica alle PMI in Lituania?

Sì — a seconda del settore e delle dimensioni.

Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
Si applica alle entità stabilite in Lituania e, in determinati casi, ai fornitori digitali esteri che servono il mercato lituano.

Le PMI dovrebbero valutare se rientrano nel quadro nazionale di cibersicurezza della Lituania in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell'attuazione di NIS2 in Lituania

La Lituania sta attuando la Direttiva mediante modifiche alla Law on Cybersecurity, che costituisce la base del regime nazionale di cibersicurezza.

La normativa riveduta allinea il quadro della Lituania alla Direttiva (UE) 2022/2555 e rafforza gli obblighi in materia di governance, gestione dei rischi, notifica degli incidenti e poteri delle autorità di vigilanza.

La legge aggiornata integra gli standard della Direttiva nella struttura di vigilanza sulla cibersicurezza già esistente in Lituania.

3. Ambito di applicazione in Lituania

Entità essenziali

Entità operanti in settori altamente critici:

Entità importanti

Entità operanti negli altri settori elencati:

L'ambito di applicazione della Lituania riflette le categorie settoriali minime della Direttiva senza un'espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Lituania

Si applicano le soglie di base:

≥50 dipendenti, e
≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri all'interno dei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità lituane conservano poteri formali di designazione quando il rischio sistemico ne giustifica l'inclusione.

5. Quadro di classificazione dei soggetti in Lituania

Le entità sono classificate come:

Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
Entità importanti — Principalmente soggette a vigilanza reattiva, attivata da incidenti significativi o criticità di conformità.

La classificazione è determinata da settore e dimensione. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

La Lituania adotta la struttura di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cibersicurezza in Lituania

Il regime nazionale della Lituania si allinea ai requisiti di base della Direttiva per la gestione del rischio di cibersicurezza. I soggetti rientranti nell'ambito di applicazione devono attuare misure tecniche e organizzative proporzionate che riguardino:

Analisi dei rischi e protezione dei sistemi
Rilevamento e risposta agli incidenti
Continuità operativa e gestione delle crisi
Controlli dei rischi della catena di fornitura NIS2 in Lituania
Acquisizione e sviluppo sicuri dei sistemi TIC
Controllo degli accessi e gestione delle identità
Cifratura e misure di protezione crittografiche
Procedure di gestione delle vulnerabilità
Formazione del personale in materia di cibersicurezza

Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida lituane in materia di cibersicurezza.

La supervisione della catena di fornitura include la due diligence dei fornitori e le tutele contrattuali in materia di cibersicurezza.

7. Responsabilità dell'organo di gestione e governance in Lituania

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cibersicurezza e sovrintenderne l'attuazione.

Nell'ambito del quadro lituano:

Gli organi di gestione sono responsabili della vigilanza sulla conformità.
L'alta dirigenza deve garantire adeguate competenze in materia di cibersicurezza.
Le sanzioni amministrative possono essere irrogate in caso di carenze di governance.
La sospensione temporanea dalle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione allineati alla Direttiva.

In Lituania, le aspettative in materia di responsabilità dell'organo di gestione ai sensi della NIS2 elevano la governance della cibersicurezza a responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Lituania

Definizione di un incidente significativo

Un incidente rientra nell'obbligo di notifica se provoca:

Grave interruzione operativa
Perdita finanziaria significativa
Impatto sociale sostanziale
Effetti transfrontalieri

Tempistiche di segnalazione

Fase di segnalazione	Scadenza	Autorità
Preallerta	24 ore	National Cyber Security Centre (NCSC Lithuania)
Notifica dell'incidente	72 ore	National Cyber Security Centre (NCSC Lithuania)
Relazione finale	1 mese	National Cyber Security Centre (NCSC Lithuania)

9. Autorità di vigilanza e modello di applicazione in Lituania

Autorità principale: National Cyber Security Centre (NCSC Lithuania).

La Lituania adotta un modello di vigilanza centralizzato, coordinato dal NCSC, con il coinvolgimento delle autorità competenti di settore ove necessario.

I poteri di vigilanza includono:

Richieste di documentazione e informazioni
Audit di sicurezza
Ispezioni in loco
Istruzioni vincolanti in materia di conformità
Partecipazione ai meccanismi di coordinamento dell'UE in materia di cybersicurezza

L'assetto di applicazione è allineato ai requisiti di cooperazione previsti dalla direttiva.

10. Sanzioni e ammende NIS2 in Lituania

La Lituania applica sanzioni amministrative allineate alla Direttiva.

Entità essenziali

Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

Entità importanti

Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

L'applicazione delle sanzioni NIS2 in Lituania può includere anche:

Ordini vincolanti di porre rimedio
Identificazione pubblica delle entità non conformi
Sospensione delle autorizzazioni o delle certificazioni
Poteri di sospensione dei dirigenti

La responsabilità penale si applica solo ove espressamente prevista dalla legislazione lituana.

11. Sicurezza della catena di fornitura e dei fornitori ai sensi della direttiva NIS 2 in Lituania

I soggetti devono gestire i rischi di cibersicurezza legati a terze parti tramite:

Valutazioni del rischio dei fornitori
Disposizioni contrattuali di sicurezza a cascata
Monitoraggio continuo dei fornitori ICT
Analisi del rischio di concentrazione
Mitigazione della propagazione degli incidenti

L'approccio della Lituania è in linea con le aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione in Lituania

Le entità rientranti nell'ambito di applicazione devono:

Registrarsi presso le autorità competenti
Fornire i dati identificativi societari
Indicare la classificazione settoriale
Mantenere aggiornati i contatti per le segnalazioni

I termini procedurali seguono il quadro di attuazione della Lituania. Allo stato attuale del recepimento, la Lituania segue il quadro di base della direttiva NIS 2. I dettagli di attuazione nazionali possono precisare obblighi specifici.

L'autoidentificazione è obbligatoria laddove le entità soddisfino le soglie di legge.

13. Interazione con il RGPD e altre leggi in Lituania

Il regolamento generale sulla protezione dei dati (RGPD) continua ad applicarsi in parallelo.

Le considerazioni in materia di sovrapposizione includono:

Notifica di violazione dei dati personali entro 72 ore
Coordinamento delle autorità di controllo

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Lituania sono sottoposte alla vigilanza delle autorità lituane per i servizi transfrontalieri.

I fornitori digitali esteri che offrono servizi in Lituania possono essere soggetti a obblighi nazionali a seconda dell'assetto di stabilimento.

I requisiti di rappresentanza seguono le disposizioni della direttiva per i fornitori extra-UE che servono il mercato lituano.

15. Tempistica di recepimento in Lituania

Adozione della Direttiva: 2022
Modifiche legislative nazionali: 2024–2025
Entrata in vigore: Alla pubblicazione nazionale
Notifica alla Commissione europea: In conformità alle procedure dell'UE
Traguardo di conformità: Scadenze allineate alla direttiva

La tempistica di recepimento della Lituania è allineata ai requisiti di attuazione dell'UE.

16. Punti chiave per le PMI in Lituania

Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
La supervisione della governance a livello dell'organo di gestione è obbligatoria.
La notifica degli incidenti segue scadenze di 24h / 72h / 1 mese.
Le sanzioni pecuniarie possono arrivare fino a €10 milioni o al 2% del fatturato mondiale.
È richiesta la gestione del rischio dei fornitori.
Una pianificazione anticipata della conformità riduce l'esposizione ad azioni di vigilanza e sanzionatorie.

FAQ: Guida NIS2 per le PMI in Lituania

NIS2 si applica alle piccole imprese in Lituania?

Le piccole imprese sono generalmente escluse, salvo designazione o se operano in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali rientrano automaticamente nel campo di applicazione.

Quali sono le sanzioni previste da NIS2 in Lituania?

Le entità essenziali possono essere sanzionate fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale. Le entità importanti possono essere sanzionate fino a 7 milioni di euro o fino all'1,4% del fatturato annuo mondiale.

Quando entra in vigore NIS2 in Lituania?

La Lituania sta modificando la propria Law on Cybersecurity per allinearsi alla Direttiva. L'entrata in vigore segue la pubblicazione legislativa nazionale.

Chi fa rispettare NIS2 in Lituania?

Il National Cyber Security Centre (NCSC Lithuania) funge da autorità di vigilanza principale, coordinandosi con le autorità di settore ove applicabile.

Gli amministratori possono essere personalmente responsabili ai sensi di NIS2 in Lituania?

Gli organi di gestione devono approvare e vigilare sulle misure di cibersicurezza. Gli strumenti amministrativi di esecuzione possono includere poteri di sospensione dei dirigenti nei casi gravi.

In cosa NIS2 differisce dal RGPD in Lituania?

NIS2 disciplina la resilienza in materia di cibersicurezza e la gestione del rischio operativo, mentre il RGPD regola la protezione dei dati personali. Entrambi i quadri possono applicarsi in seguito a un incidente informatico.

Che cosa rientra nella definizione di incidente significativo ai sensi di NIS2 in Lituania?

Un incidente che provoca gravi interruzioni, perdite finanziarie significative, impatto sociale o conseguenze transfrontaliere soddisfa in genere la soglia di notifica.