Torna alle guide

    NIS2 in Svezia

    Guida all'implementazione e alla conformità NIS2 in Svezia.

    La Svezia sta aggiornando il proprio regime nazionale di cibersicurezza per allinearlo agli obblighi rafforzati introdotti dalla Direttiva NIS2. Il quadro rivisto amplia la copertura settoriale, rafforza la responsabilità degli organi di gestione e potenzia i meccanismi di vigilanza e di applicazione. Questa guida fornisce una panoramica strutturata dei requisiti di conformità alla NIS2 in Svezia per le PMI che operano nei settori interessati.

    1. Panoramica rapida dell'applicabilità per le PMI in Svezia

    NIS2 si applica alle PMI in Svezia?

    Sì — a seconda del settore e delle dimensioni.

    • Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
    • Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
    • Si applica ai soggetti stabiliti in Svezia e, in alcuni casi, ai fornitori digitali stranieri che servono il mercato svedese.

    Le PMI dovrebbero valutare se rientrano nel quadro nazionale di cibersicurezza della Svezia in base alla classificazione settoriale e alle soglie previste dalla legge.

    2. Panoramica dell'attuazione della NIS2 in Svezia

    La Svezia ha completato il recepimento della NIS2 con la Cybersäkerhetslagen (Legge sulla cibersicurezza, SFS 2025:1506), adottata dal Riksdag il 10 dicembre 2025 e in vigore dal 15 gennaio 2026. La nuova legge sostituisce la precedente Legge sulla sicurezza delle informazioni (2018:1174); contestualmente è stata emanata la Cybersäkerhetsförordningen.

    La Svezia non ha rispettato il termine di recepimento del 17 ottobre 2024 e ha ricevuto un parere motivato della Commissione europea il 7 maggio 2025, risolto dopo l'adozione. La legge applica un approccio «dell'intera entità» e un modello di vigilanza decentralizzato: MSB (rinominata MCF — Myndigheten för civilt försvar, Agenzia svedese per la difesa civile e la resilienza — dal 1° gennaio 2026) agisce come coordinatore nazionale, punto di contatto unico UE e CSIRT nazionale, mentre PTS coregolamenta i settori digitali insieme alle autorità settoriali.

    La formazione obbligatoria dei vertici è un obbligo sanzionabile, i prestatori di servizi fiduciari devono notificare entro 24 ore (non 72) e le entità erano tenute a registrarsi entro il 16 febbraio 2026 (termine scaduto); il portale di notifica MSB/MCF è stato attivato il 2 febbraio 2026. Tutti gli obblighi NIS2 si applicano dal 15 gennaio 2026 senza periodo di grazia generale.

    3. Ambito di applicazione in Svezia

    Entità essenziali

    Entità operanti in settori altamente critici:

    Entità importanti

    Entità operanti negli altri settori elencati:

    L'ambito di applicazione della Svezia riflette le categorie settoriali minime della Direttiva, senza un'estensione strutturale confermata.

    4. Soglie dimensionali e applicabilità alle PMI in Svezia

    Si applicano le soglie di base:

    • ≥50 dipendenti, e
    • ≥€10 million fatturato annuo o totale di bilancio.

    Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

    Le piccole e micro imprese possono essere designate se ritenute critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

    Le autorità svedesi conservano poteri formali di designazione laddove il rischio sistemico giustifichi l'inclusione.

    5. Quadro di classificazione delle entità in Svezia

    Le entità sono classificate come:

    • Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
    • Entità importanti — Principalmente soggette a vigilanza reattiva attivata da incidenti significativi o preoccupazioni in materia di conformità.

    La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano un rafforzamento della vigilanza.

    La Svezia segue la struttura di vigilanza a due livelli della Direttiva.

    6. Requisiti di gestione del rischio di cibersicurezza in Svezia

    Il regime nazionale della Svezia è allineato ai requisiti di base della Direttiva per la gestione del rischio di cibersicurezza. Le entità rientranti nell'ambito di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

    • Analisi dei rischi e protezione dei sistemi
    • Rilevamento e risposta agli incidenti
    • Continuità operativa e gestione delle crisi
    • Controlli del rischio NIS2 per la catena di fornitura in Svezia
    • Acquisizione e sviluppo sicuri dei sistemi ICT
    • Controllo degli accessi e gestione delle identità
    • Cifratura e misure crittografiche di protezione
    • Procedure di gestione delle vulnerabilità
    • Formazione del personale sulla cibersicurezza

    Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida svedesi in materia di cibersicurezza.

    7. Responsabilità della direzione e governance in Svezia

    Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cibersicurezza e sorvegliare la loro attuazione.

    Nel quadro normativo della Svezia:

    • I consigli di amministrazione sono responsabili della supervisione della compliance.
    • L'alta direzione deve garantire una competenza sufficiente in materia di cibersicurezza. Ai sensi della Cybersäkerhetslagen, la formazione dei vertici sulle misure di sicurezza è un obbligo sanzionabile — le persone coinvolte nella direzione sono tenute a ricevere formazione sulle misure di gestione dei rischi di cibersicurezza.
    • Sanzioni amministrative possono essere applicate in caso di carenze di governance.
    • I membri degli organi di direzione delle entità essenziali possono, in determinate situazioni, essere soggetti a un divieto temporaneo di esercitare funzioni direttive come misura di esecuzione.

    Le aspettative della Svezia in materia di responsabilità degli organi di gestione ai sensi della NIS2 elevano la governance della cibersicurezza a una responsabilità a livello esecutivo.

    8. Obblighi di notifica degli incidenti in Svezia

    Definizione di un incidente significativo

    Un incidente soddisfa i criteri se provoca:

    • Grave interruzione operativa
    • Perdita finanziaria significativa
    • Impatto sociale sostanziale
    • Effetti transfrontalieri

    Tempistiche di segnalazione

    Fase di segnalazioneScadenzaAutorità
    Preallerta24 oreMSB/MCF (Agenzia svedese per la difesa civile e la resilienza, ex Agenzia svedese per le contingenze civili)
    Notifica dell'incidente72 oreMSB/MCF (Agenzia svedese per la difesa civile e la resilienza, ex Agenzia svedese per le contingenze civili)
    Relazione finale1 meseMSB/MCF (Agenzia svedese per la difesa civile e la resilienza, ex Agenzia svedese per le contingenze civili)

    La Svezia segue la struttura 24h / 72h / 1 mese della Direttiva con una deroga nazionale: i prestatori di servizi fiduciari devono trasmettere sia l'allerta precoce sia la notifica dell'incidente entro 24 ore. I rapporti finali sono presentati entro un mese (o un rapporto di stato se l'incidente è in corso, con rapporto finale entro un mese dalla risoluzione). Le segnalazioni sono inviate a MSB/MCF; dal 1° gennaio 2026 MSB è stata rinominata MCF ma continua a svolgere le funzioni di coordinamento NIS2 e CSIRT.

    9. Autorità di vigilanza e modello di applicazione in Svezia

    MSB (Myndigheten för samhällsskydd och beredskap) agisce come coordinatore nazionale, punto di contatto unico UE e CSIRT nazionale; rinominata MCF (Myndigheten för civilt försvar — Agenzia svedese per la difesa civile e la resilienza) dal 1° gennaio 2026. MSB/MCF è l'autorità designata per la ricezione delle notifiche di incidenti significativi nella maggior parte dei settori.

    La Svezia applica un modello di vigilanza decentralizzato; le autorità settoriali vigilano sulle entità del proprio settore. PTS (Post- och telestyrelsen — Agenzia svedese delle poste e telecomunicazioni) emana regolamentazioni e vigila su infrastruttura digitale, fornitori digitali, gestione dei servizi TIC (B2B), spazio e servizi postali e di corriere. MSB/MCF copre la maggior parte degli altri settori; determinati settori possono avere ulteriori autorità di vigilanza designate.

    I poteri di vigilanza includono:

    • Richieste di documentazione e informazioni
    • Audit di sicurezza
    • Ispezioni in loco
    • Istruzioni vincolanti in materia di conformità
    • Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

    La struttura di applicazione è allineata ai requisiti di cooperazione previsti a livello di Direttiva.

    10. Sanzioni e ammende NIS2 in Svezia

    La Svezia applica sanzioni amministrative conformi alla Direttiva.

    Entità essenziali

    Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

    Entità importanti

    Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

    L'applicazione delle sanzioni NIS2 in Svezia può inoltre includere:

    • Ordini vincolanti di adeguamento
    • Identificazione pubblica delle entità non conformi
    • Sospensione di autorizzazioni o certificazioni
    • Divieto temporaneo di esercitare funzioni direttive (per membri di organi di direzione di entità essenziali, in determinate situazioni)

    Fino a 7 milioni di € o 1,4 % del fatturato annuo globale totale (a seconda di quale sia il più elevato)

    11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Svezia

    Le entità devono gestire l'esposizione al rischio di cibersicurezza derivante da terze parti tramite:

    • Valutazioni del rischio dei fornitori
    • Disposizioni contrattuali di sicurezza a cascata
    • Monitoraggio continuo dei fornitori ICT
    • Analisi del rischio di concentrazione
    • Mitigazione della propagazione degli incidenti

    L'approccio della Svezia è in linea con le aspettative di base della direttiva in materia di gestione del rischio dei fornitori.

    12. Obblighi di registrazione e di autoidentificazione in Svezia

    Le entità rientranti nell'ambito di applicazione devono:

    • Registrarsi presso l'autorità settoriale di vigilanza competente — MSB/MCF per la maggior parte dei settori, o PTS per infrastruttura digitale, fornitori digitali, gestione dei servizi TIC (B2B), spazio e servizi postali e di corriere. La registrazione va effettuata prima possibile dal 15 gennaio 2026; il termine iniziale di registrazione per le entità rientranti nell'ambito era il 16 febbraio 2026 (ormai scaduto). Il portale di notifica MSB/MCF è stato attivato il 2 febbraio 2026.
    • Fornire i dati di identificazione aziendale
    • Dichiarare la classificazione settoriale — l'autorità di vigilanza utilizza le informazioni di registrazione per classificare le entità come essenziali o importanti
    • Mantenere aggiornati i contatti per le segnalazioni

    La Cybersäkerhetslagen applica un approccio dell'intera entità: se un'entità rientra nell'ambito, la compliance si applica all'intero perimetro informatico. I regolamenti complementari di MSB/MCF e PTS (notifica, misure di sicurezza, formazione, notifica degli incidenti) sono stati emanati dal 15 gennaio 2026, con ulteriori regolamenti attesi entro il primo trimestre 2026.

    L'autoidentificazione è obbligatoria. Le entità che non hanno rispettato il termine di registrazione del 16 febbraio 2026 devono agire immediatamente, poiché la registrazione è un obbligo sanzionabile.

    13. Interazione con il GDPR e altre leggi in Svezia

    Il Regolamento generale sulla protezione dei dati continua ad applicarsi parallelamente.

    Le considerazioni relative alle sovrapposizioni includono:

    • Notifica di una violazione dei dati personali entro 72 ore
    • Coordinamento delle autorità di controllo

    14. Applicabilità transfrontaliera

    Le entità con stabilimento principale in Svezia sono sottoposte alla vigilanza delle autorità svedesi per i servizi transfrontalieri.

    I fornitori digitali esteri che offrono servizi in Svezia possono essere soggetti a obblighi nazionali a seconda della loro struttura di stabilimento.

    I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE che servono il mercato svedese.

    15. Tempistica di attuazione in Svezia

    • Adozione della Direttiva: 2022
    • Modifiche legislative nazionali: Cybersäkerhetslagen (SFS 2025:1506) adottata dal Riksdag il 10 dicembre 2025; Cybersäkerhetsförordningen emanata contestualmente; sostituisce la Legge 2018:1174
    • Entrata in vigore: 15 gennaio 2026, con regolamenti complementari efficaci dalla stessa data
    • Notifica alla Commissione: Parere motivato della CE del 7 maggio 2025; risolto dopo l'adozione e l'entrata in vigore
    • Traguardo di compliance: Termine di registrazione 16 febbraio 2026 (scaduto); tutti gli obblighi si applicano immediatamente dal 15 gennaio 2026 senza periodo di grazia generale; portale di notifica MSB/MCF attivo dal 2 febbraio 2026

    La Svezia ha completato il recepimento della NIS2 il 15 gennaio 2026 dopo aver mancato la scadenza UE. Tutti gli obblighi si applicano immediatamente senza periodo di grazia. Il termine di registrazione del 16 febbraio 2026 è scaduto — le entità non ancora registrate devono agire immediatamente.

    16. Punti chiave per le PMI in Svezia

    • Le entità medie nei settori coperti rientrano automaticamente nell'ambito. La Cybersäkerhetslagen è in vigore dal 15 gennaio 2026 e applica un approccio dell'intera entità.
    • Le piccole entità possono essere designate se critiche per la stabilità nazionale o economica.
    • La supervisione a livello di consiglio è obbligatoria. La formazione dei vertici sulle misure di sicurezza è un obbligo sanzionabile, e i membri degli organi di direzione di entità essenziali possono essere soggetti a un divieto temporaneo di esercitare funzioni direttive.
    • La notifica degli incidenti segue i termini 24h / 72h / 1 mese, con segnalazioni a MSB/MCF (o all'autorità settoriale competente). I prestatori di servizi fiduciari devono trasmettere sia l'allerta precoce sia la notifica dell'incidente entro 24 ore.
    • Le sanzioni pecuniarie possono raggiungere 10 milioni di € o il 2% del fatturato globale.
    • La gestione dei rischi dei fornitori è obbligatoria.
    • Il termine di registrazione del 16 febbraio 2026 è scaduto — registratevi immediatamente presso l'autorità di vigilanza competente (MSB/MCF per la maggior parte dei settori; PTS per i settori digitali). Tutti gli obblighi si applicano dal 15 gennaio 2026 senza periodo di grazia, e i regolamenti complementari continuano a essere emanati e vanno monitorati.

    FAQ: Guida NIS2 per le PMI in Svezia

    La NIS2 si applica alle piccole imprese in Svezia?

    Le piccole imprese sono generalmente escluse, salvo designazione o se operano in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali rientrano automaticamente.

    Quali sono le sanzioni NIS2 in Svezia?

    Le entità essenziali possono incorrere in sanzioni fino a €10 milioni o al 2% del fatturato annuo mondiale. Le entità importanti possono incorrere fino a €7 milioni o all’1,4% del fatturato annuo mondiale.

    Quando entra in vigore la NIS2 in Svezia?

    La Cybersäkerhetslagen (Legge sulla cibersicurezza, SFS 2025:1506) è entrata in vigore il 15 gennaio 2026, completando il recepimento della NIS2 in Svezia. Tutti gli obblighi si applicano immediatamente senza periodo di grazia generale. Il termine di registrazione per le entità rientranti nell'ambito all'entrata in vigore era il 16 febbraio 2026 (ormai scaduto). Le entità non ancora registrate presso la rispettiva autorità di vigilanza — MSB/MCF per la maggior parte dei settori o PTS per infrastruttura digitale, fornitori digitali, gestione dei servizi TIC, spazio e servizi postali e di corriere — devono agire immediatamente.

    Chi applica la NIS2 in Svezia?

    MSB/MCF (l'Agenzia svedese per la difesa civile e la resilienza, ex Agenzia svedese per le contingenze civili) agisce come coordinatore nazionale, punto di contatto unico UE e CSIRT nazionale, vigilando sulla maggior parte dei settori. PTS (l'Agenzia svedese delle poste e telecomunicazioni) coregolamenta infrastruttura digitale, fornitori digitali, gestione dei servizi TIC, spazio e servizi postali e di corriere. La Svezia applica un modello di vigilanza decentralizzato con ulteriori autorità settoriali.

    Gli amministratori possono essere personalmente responsabili ai sensi della NIS2 in Svezia?

    Gli organi di amministrazione devono approvare e supervisionare le misure di cibersicurezza. Gli strumenti amministrativi di applicazione possono includere poteri di sospensione delle funzioni dirigenziali nei casi gravi.

    In che cosa la NIS2 differisce dal GDPR in Svezia?

    La NIS2 disciplina la resilienza della cibersicurezza e la gestione del rischio operativo, mentre il GDPR regola la protezione dei dati personali. Entrambi i quadri possono applicarsi a seguito di un incidente informatico.

    Cosa si intende per incidente significativo ai sensi della NIS2 in Svezia?

    Un incidente che provochi una grave interruzione, perdite finanziarie significative, un impatto sociale o conseguenze transfrontaliere soddisfa in genere la soglia di segnalazione.