NIS2 in Lussemburgo

1. Panoramica rapida dell'applicabilità per le PMI in Lussemburgo

NIS2 si applica alle PMI in Lussemburgo?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Lussemburgo e, in alcuni casi, ai fornitori digitali stranieri che servono il mercato lussemburghese.

Le PMI dovrebbero valutare la loro qualificazione ai sensi del quadro nazionale di cybersicurezza del Lussemburgo in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell'attuazione di NIS2 in Lussemburgo

Il Lussemburgo sta attuando la Direttiva mediante modifiche alla Law on Measures for a High Common Level of Security of Network and Information Systems, che disciplina gli obblighi nazionali in materia di cybersicurezza.

Il quadro normativo rivisto allinea il regime del Lussemburgo alla Direttiva (UE) 2022/2555 e rafforza i requisiti relativi a governance, gestione del rischio, notifica degli incidenti, vigilanza e sanzioni.

L'attuazione si basa sul modello consolidato di vigilanza sulla cybersicurezza del Lussemburgo, ampliandone al contempo l'ambito in conformità agli standard dell'UE.

3. Ambito di applicazione in Lussemburgo

L'ambito di applicazione del Lussemburgo riflette le categorie settoriali minime della Direttiva, senza un'estensione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Lussemburgo

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità del Lussemburgo conservano i poteri di designazione formale quando il rischio sistemico giustifica l'inclusione.

5. Quadro di classificazione delle entità in Lussemburgo

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, comprese ispezioni e monitoraggio strutturato della conformità.
• Entità importanti — Soggette principalmente a vigilanza reattiva attivata da incidenti significativi o da preoccupazioni relative alla conformità.

La classificazione è determinata da settore e dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

Il Lussemburgo segue la struttura di vigilanza a due livelli prevista dalla Direttiva.

6. Requisiti di gestione dei rischi di cibersicurezza in Lussemburgo

Il regime nazionale del Lussemburgo è allineato alla base di riferimento della Direttiva per la gestione dei rischi di cibersicurezza. Le entità rientranti nell'ambito di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

• Analisi del rischio e protezione dei sistemi
• Rilevazione e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli del rischio NIS2 per la catena di fornitura in Lussemburgo
• Acquisizione e sviluppo sicuri dei sistemi TIC
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di protezione crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cibersicurezza

Le misure devono riflettere gli standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento a ISO/IEC 27001 e alle linee guida lussemburghesi sulla cibersicurezza.

7. Responsabilità dell'organo di gestione e governance in Lussemburgo

Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cibersicurezza e sovrintenderne l'attuazione.

Nel quadro normativo lussemburghese:

• Gli organi di gestione sono responsabili della vigilanza sulla conformità.
• L'alta dirigenza deve garantire un'adeguata competenza in materia di cibersicurezza.
• Le sanzioni amministrative possono essere applicate in caso di carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione allineati alla direttiva.

Le aspettative del Lussemburgo in materia di responsabilità dell'organo di gestione ai sensi della NIS2 elevano la governance della cibersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di segnalazione degli incidenti in Lussemburgo

9. Autorità di vigilanza e modello di applicazione in Lussemburgo

Autorità principale: High Commission for National Protection (HCPN).

Il Lussemburgo adotta un modello di vigilanza centralizzato, coordinato dall'HCPN, con le autorità di regolamentazione settoriali coinvolte ove necessario.

I poteri di vigilanza comprendono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE per la cibersicurezza

La struttura di applicazione è allineata ai requisiti di cooperazione a livello di direttiva.

10. Sanzioni e ammende NIS2 in Lussemburgo

Il Lussemburgo applica sanzioni amministrative allineate alla direttiva NIS2.

L'applicazione delle sanzioni NIS2 in Lussemburgo può includere anche:

• Ordini vincolanti di adozione di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione delle autorizzazioni o delle certificazioni
• Poteri di sospensione dei dirigenti

Fino a €7 milioni o 1,4% del fatturato annuo globale complessivo (a seconda di quale sia superiore)

11. NIS2: sicurezza della catena di fornitura e dei fornitori in Lussemburgo

Le entità devono gestire l'esposizione al rischio di cybersicurezza dei terzi attraverso:

• Valutazioni del rischio dei fornitori
• Disposizioni contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio del Lussemburgo è allineato alle aspettative di base della direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione in Lussemburgo

I soggetti rientranti nell'ambito di applicazione devono:

• Registrarsi presso le autorità competenti
• Fornire i dati identificativi societari
• Comunicare la classificazione settoriale
• Mantenere aggiornati i contatti per le segnalazioni

Le scadenze procedurali seguono il quadro attuativo del Lussemburgo. Allo stato attuale della trasposizione, il Lussemburgo segue il quadro di base della Direttiva NIS2. I dettagli di attuazione nazionali possono precisare taluni obblighi specifici.

L'autoidentificazione è obbligatoria quando i soggetti soddisfano le soglie previste dalla legge.

13. Interazione con il RGPD e altre leggi in Lussemburgo

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le considerazioni sulle sovrapposizioni includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo
• Indagini parallele su cibersicurezza e protezione dei dati personali
• Legislazione settoriale del Lussemburgo sulla cibersicurezza

Un incidente informatico può far scattare obblighi di notifica in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con la sede principale in Lussemburgo sono soggette alla vigilanza delle autorità lussemburghesi per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Lussemburgo possono essere soggetti a obblighi nazionali in funzione della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato lussemburghese.

15. Tempistica di attuazione in Lussemburgo

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: 2024–2025
• Entrata in vigore: Alla pubblicazione nazionale
• Notifica alla Commissione europea: Conformemente alle procedure dell'UE
• Tappa fondamentale per la conformità: Scadenze in linea con la direttiva

Il calendario di recepimento del Lussemburgo è allineato ai requisiti di attuazione dell'UE.

16. Punti chiave per le PMI in Lussemburgo

• Le entità di medie dimensioni nei settori coperti rientrano automaticamente nel campo di applicazione.
• Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione della governance a livello di consiglio di amministrazione è obbligatoria.
• La notifica degli incidenti segue scadenze di 24 ore / 72 ore / 1 mese.
• Le sanzioni pecuniarie possono arrivare fino a €10 milioni o al 2% del fatturato mondiale.
• È richiesta la gestione del rischio dei fornitori.
• Una pianificazione anticipata della conformità riduce l'esposizione a interventi sanzionatori.

FAQ: Guida NIS2 per le PMI in Lussemburgo