NIS2 in Slovenia

1. Panoramica rapida dell'applicabilità per le PMI in Slovenia

NIS2 si applica alle PMI in Slovenia?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica ai soggetti stabiliti in Slovenia e, in alcuni casi, ai fornitori digitali esteri che servono il mercato sloveno.

Le PMI dovrebbero valutare l'assoggettabilità al quadro nazionale sloveno di cybersicurezza in base alla classificazione settoriale e alle soglie di legge.

2. Panoramica dell'attuazione della Direttiva NIS 2 in Slovenia

La Slovenia sta attuando la Direttiva mediante modifiche al Information Security Act, che disciplina gli obblighi nazionali in materia di cybersicurezza.

Il quadro legislativo riformato allinea il regime sloveno alla Direttiva (UE) 2022/2555 e rafforza i requisiti relativi alla governance, alla gestione dei rischi di cybersicurezza, alla notifica degli incidenti, alla vigilanza e alle sanzioni amministrative.

L'attuazione si basa sulla struttura di vigilanza sulla cybersicurezza già consolidata della Slovenia, ampliando al contempo l'ambito di applicazione in conformità agli standard dell'UE.

3. Ambito di applicazione in Slovenia

L'ambito della Slovenia riflette le categorie settoriali minime della direttiva senza un'espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Slovenia

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se ritenute critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità slovene mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.

5. Quadro di classificazione delle entità in Slovenia

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
• Entità importanti — Soggette principalmente a vigilanza reattiva attivata da incidenti significativi o da criticità di conformità.

La classificazione è determinata da settore e dimensione. Le autorità possono riclassificare le entità quando l’impatto operativo o l’esposizione al rischio giustificano un rafforzamento della vigilanza.

La Slovenia adotta la struttura di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cibersicurezza in Slovenia

Il regime nazionale della Slovenia è allineato al livello di riferimento della Direttiva per la gestione del rischio di cibersicurezza. Le entità rientranti nel campo di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli del rischio della catena di fornitura NIS2 in Slovenia
• Acquisizione e sviluppo in sicurezza dei sistemi ICT
• Controllo degli accessi e gestione delle identità
• Cifratura e misure crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cibersicurezza

Le misure devono riflettere lo stato dell’arte e l’esposizione al rischio dell’organizzazione. È incoraggiato l’allineamento a ISO/IEC 27001 e agli orientamenti sloveni in materia di cibersicurezza.

7. Responsabilità della direzione e governance in Slovenia

Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di sicurezza informatica e vigilare sulla loro attuazione.

Nel quadro normativo della Slovenia:

• Gli organi di gestione sono responsabili della vigilanza sulla conformità.
• L'alta dirigenza deve garantire competenze sufficienti in materia di cibersicurezza.
• Le sanzioni amministrative possono intervenire in caso di carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione allineati alla Direttiva.

Le aspettative della Slovenia in materia di responsabilità gestionale ai sensi della NIS2 elevano la governance della sicurezza informatica a una responsabilità di livello dirigenziale.

8. Obblighi di notifica degli incidenti in Slovenia

9. Autorità di vigilanza e modello di applicazione in Slovenia

Autorità principale: Information Security Administration (URSIV).

La Slovenia adotta un modello di vigilanza centralizzato coordinato da URSIV, con autorità di regolamentazione settoriali coinvolte ove necessario.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cybersicurezza

La struttura di applicazione è allineata ai requisiti di cooperazione previsti dalla direttiva.

10. Sanzioni e ammende NIS2 in Slovenia

La Slovenia applica sanzioni amministrative conformi alla direttiva.

L'applicazione delle sanzioni NIS2 in Slovenia può inoltre comprendere:

• Ordini correttivi vincolanti
• Identificazione pubblica delle entità non conformi
• Sospensione di autorizzazioni o certificazioni
• Poteri di sospensione dei dirigenti

Fino a €7 milioni o al 1,4% del fatturato annuo globale complessivo (a seconda di quale sia superiore)

11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Slovenia

I soggetti devono gestire l'esposizione ai rischi di sicurezza informatica derivanti da terzi attraverso:

• Valutazioni del rischio dei fornitori
• Clausole contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio della Slovenia è in linea con le aspettative di base della direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione in Slovenia

I soggetti rientranti nell'ambito di applicazione devono:

• Registrarsi presso le autorità competenti
• Fornire i dati identificativi societari
• Comunicare la classificazione settoriale
• Mantenere aggiornati i contatti per le segnalazioni

Le scadenze procedurali seguono il quadro di attuazione della Slovenia. Allo stato attuale della trasposizione, la Slovenia segue il quadro di base della direttiva NIS 2. I dettagli di attuazione nazionali possono precisare obblighi specifici.

L'autoidentificazione è obbligatoria quando i soggetti soddisfano le soglie previste dalla legge.

13. Interazione con il GDPR e altre leggi in Slovenia

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le considerazioni sulle sovrapposizioni includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Slovenia sono soggette alla vigilanza delle autorità slovene per i servizi transfrontalieri.

I fornitori di servizi digitali stranieri che offrono servizi in Slovenia possono essere soggetti a obblighi nazionali a seconda della loro struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE che servono il mercato sloveno.

15. Tempistiche di attuazione in Slovenia

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: 2024–2025
• Entrata in vigore: Alla pubblicazione nazionale
• Notifica alla Commissione: In conformità con le procedure dell'UE
• Traguardo di conformità: Scadenze allineate alla direttiva

Il calendario di trasposizione della Slovenia è allineato ai requisiti di attuazione dell'UE.

16. Punti chiave per le PMI in Slovenia

• Le entità di medie dimensioni nei settori coperti rientrano automaticamente nel campo di applicazione.
• Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione della governance a livello del consiglio di amministrazione è obbligatoria.
• La notifica degli incidenti segue scadenze di 24h / 72h / 1 mese.
• Le sanzioni pecuniarie possono raggiungere €10 milioni o il 2% del fatturato globale.
• La gestione del rischio dei fornitori è obbligatoria.
• Una pianificazione anticipata della conformità riduce l'esposizione ad azioni sanzionatorie.

FAQ: Guida NIS2 per le PMI in Slovenia