NIS2 in Malta

1. Panoramica rapida dell'applicabilità per le PMI a Malta

NIS2 si applica alle PMI in 1. Panoramica rapida dell'applicabilità per le PMI a Malta?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Malta e, in determinati casi, ai fornitori digitali stranieri che servono il mercato maltese.

Le PMI dovrebbero valutare la propria qualificazione ai sensi del quadro nazionale di cybersicurezza di Malta in base alla classificazione settoriale e alle soglie di legge.

2. Panoramica dell'attuazione della NIS2 a Malta

Malta sta attuando la direttiva mediante modifiche al Critical Information Infrastructure Protection Act e alla normativa correlata in materia di cybersicurezza.

Il quadro legislativo aggiornato allinea il regime di Malta alla direttiva (UE) 2022/2555 e rafforza gli obblighi in materia di governance, gestione del rischio, notifica degli incidenti, vigilanza e sanzioni.

L'attuazione si fonda sulla struttura di vigilanza in materia di cybersicurezza già consolidata di Malta, ampliando al contempo l'ambito di applicazione in conformità agli standard dell'UE.

3. Ambito di applicazione a Malta

L'ambito di applicazione di Malta riflette le categorie settoriali minime della direttiva, senza un ampliamento strutturale confermato.

4. Soglie dimensionali e applicabilità alle PMI a Malta

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità maltesi mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.

5. Quadro di classificazione delle entità a Malta

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e attività di monitoraggio strutturato della conformità.
• Entità importanti — Prevalentemente soggette a vigilanza reattiva attivata da incidenti significativi o da criticità in materia di conformità.

La classificazione è determinata dal settore e dalla dimensione. Le autorità possono riclassificare le entità qualora l'impatto operativo o l'esposizione al rischio giustifichino una vigilanza rafforzata.

Malta adotta la struttura di vigilanza a due livelli prevista dalla Direttiva.

6. Requisiti di gestione del rischio di cibersicurezza a Malta

Il regime nazionale di Malta è allineato ai requisiti di base della Direttiva in materia di gestione del rischio di cibersicurezza. Le entità rientranti nel campo di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli del rischio NIS2 per la catena di fornitura a Malta
• Acquisizione e sviluppo sicuri dei sistemi ICT
• Controllo degli accessi e gestione delle identità
• Cifratura e misure crittografiche di protezione
• Procedure di gestione delle vulnerabilità
• Formazione del personale in materia di cibersicurezza

Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento a ISO/IEC 27001 e alle linee guida maltesi in materia di cibersicurezza.

La supervisione della catena di fornitura comprende la due diligence sui fornitori e tutele contrattuali in materia di cibersicurezza.

7. Responsabilità degli organi di gestione e governance a Malta

Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cibersicurezza e supervisionarne l'attuazione.

Secondo il quadro maltese:

• Gli organi di gestione sono responsabili della vigilanza sulla conformità.
• L'alta dirigenza deve garantire competenze sufficienti in materia di cibersicurezza.
• Le sanzioni amministrative possono essere irrogate per carenze di governance.
• La sospensione temporanea dall'esercizio di funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione allineati alla direttiva.

Le aspettative di Malta in materia di responsabilità degli organi di gestione ai sensi della NIS2 elevano la governance della cibersicurezza a responsabilità di livello esecutivo.

8. Obblighi di notifica degli incidenti a Malta

9. Autorità di vigilanza e modello di applicazione a Malta

Autorità principale: Critical Infrastructure Protection Department (CIPD).

Malta adotta un modello di vigilanza centralizzato coordinato dal CIPD, con le autorità di regolamentazione settoriali coinvolte ove necessario.

I poteri di vigilanza comprendono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

La struttura di applicazione è in linea con i requisiti di cooperazione previsti a livello di direttiva.

10. Ammende e sanzioni NIS2 a Malta

Malta applica sanzioni amministrative allineate alla direttiva.

L'applicazione delle sanzioni NIS2 a Malta può includere anche:

• Ingiunzioni vincolanti di adozione di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione di autorizzazioni o certificazioni
• Poteri di sospensione delle funzioni dirigenziali

La responsabilità penale si applica solo ove espressamente prevista dalla legislazione maltese.

11. Sicurezza della catena di fornitura e dei fornitori secondo la NIS2 a Malta

Gli enti devono gestire il rischio di cibersicurezza derivante da terze parti attraverso:

• Valutazioni del rischio dei fornitori
• Clausole contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio di Malta è allineato alle aspettative minime della direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e autoidentificazione a Malta

Le entità rientranti nel campo di applicazione devono:

• Registrarsi presso le autorità competenti
• Fornire i dati identificativi societari
• Comunicare la classificazione settoriale
• Mantenere aggiornati i contatti per le segnalazioni

Le scadenze procedurali seguono il quadro di attuazione di Malta. Allo stato attuale della trasposizione, Malta segue il quadro di base della direttiva NIS2. I dettagli di attuazione nazionali possono precisare obblighi specifici.

L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie previste dalla legge.

13. Interazione con il GDPR e altre leggi a Malta

Il Regolamento generale sulla protezione dei dati continua ad applicarsi parallelamente.

Gli aspetti di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo
• Indagini parallele in materia di cibersicurezza e protezione dei dati
• Legislazione maltese specifica di settore sulla cibersicurezza

Un incidente informatico può far scattare obblighi di notifica in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità il cui stabilimento principale si trova a Malta sono soggette alla vigilanza delle autorità maltesi per i servizi transfrontalieri.

I fornitori di servizi digitali stranieri che offrono servizi a Malta possono essere soggetti a obblighi nazionali a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato maltese.

15. Tempistiche di attuazione a Malta

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: 2024–2025
• Entrata in vigore: Alla pubblicazione nazionale
• Notifica alla Commissione europea: Conformemente alle procedure dell'UE
• Scadenze di conformità: Allineate alla direttiva

Il calendario di recepimento di Malta è allineato ai requisiti di attuazione dell'UE.

16. Punti chiave per le PMI a Malta

• Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
• Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
• La vigilanza sulla governance a livello di consiglio di amministrazione è obbligatoria.
• La notifica degli incidenti segue scadenze di 24h / 72h / 1 mese.
• Le sanzioni pecuniarie possono arrivare fino a 10 milioni di € o al 2% del fatturato globale.
• È richiesta la gestione del rischio dei fornitori.
• Una pianificazione anticipata della conformità riduce l'esposizione a interventi di vigilanza e sanzioni.

FAQ: Guida NIS2 per le PMI a Malta