Stato di attuazione NIS2
Tracci l'avanzamento del recepimento della Direttiva NIS2 in tutti gli Stati membri dell'UE, incluse autorità competenti e tempistiche di enforcement.
Aggiornato al 10 aprile 2026
NIS2: Istantanea dello stato di attuazione
| Stato membro | Stato | Autorità competente | Note |
|---|---|---|---|
| Austria | Adottato | Federal Chancellery (Bundeskanzleramt) | Legge di recepimento nazionale adottata (23 dicembre 2025); entrata in vigore/misure secondarie previste per il 2026 — completezza della notifica in fase di revisione da parte della Commissione. |
| Belgio | Notifica completa | Centre for Cybersecurity Belgium (CCB) | Legge di attuazione nazionale adottata nell'aprile 2024 e registrata; non inclusa tra i casi di parere motivato della Commissione. |
| Bulgaria | Bozza | Ministry of Transport, Information Technologies & Communications | Le bozze di emendamento sono state diffuse ma il recepimento nazionale finale è in stallo e la Bulgaria è stata inclusa nell'elenco dei pareri motivati della Commissione. |
| Croazia | Notifica completa | National Cybersecurity Authority(s) | Legislazione di recepimento (legge/regolamento sulla cybersecurity) adottata e operativa; non inclusa nell'elenco dei pareri motivati pendenti della Commissione. |
| Cipro | Adottato | Digital Security Authority | Emendamento pubblicato (legge sulla sicurezza dei sistemi di rete e informazione (emendamento) del 2025 pubblicata il 25 aprile 2025); la Commissione ha richiesto ulteriori dettagli sulla notifica. |
| Repubblica Ceca | Adottato | National Cyber and Information Security Agency (NUKIB) | La nuova legge sulla cybersecurity (n. 264/2025) è entrata in vigore il 1° novembre 2025 – la legge è in vigore mentre la completezza della notifica formale è in fase di valutazione da parte della Commissione. |
| Danimarca | Adottato | Center for Cybersecurity (CFCS) + sector authorities | Legge di recepimento NIS2 in vigore dal 1° luglio 2025; la scadenza per la registrazione delle entità è trascorsa. Il parere motivato della Commissione è stato emesso nel maggio 2025 prima dell'entrata in vigore; la completezza della notifica è in fase di revisione. |
| Estonia | Bozza | Estonian Information System Authority (RIA) | Il processo di bozza/emendamento sta progredendo (prime letture segnalate); l'Estonia è stata inclusa nell'elenco dei pareri motivati della Commissione. |
| Finlandia | Adottato | Finnish Transport and Communications Agency (Traficom) / DVV | Legge di recepimento NIS2 in vigore; la scadenza per la registrazione delle entità è trascorsa. Parere motivato della Commissione emesso nel maggio 2025; la completezza della notifica è in fase di revisione. Nota: le sanzioni amministrative non possono essere imposte alle entità della pubblica amministrazione. |
| Francia | Bozza | ANSSI (French National Agency for Information Systems Security) | Il recepimento è stato incorporato in più ampie leggi sulla resilienza; l'attività parlamentare è in corso e la Commissione ha emesso un parere motivato che ne richiede il completamento. |
| Germania | Notifica completa | Bundesamt für Sicherheit in der Informationstechnik (BSI) | La NIS2UmsuCG è stata approvata nel novembre 2025 ed è in vigore; non inclusa nei casi di parere motivato pendenti della Commissione. La scadenza per la registrazione delle entità BSI è aprile 2026. |
| Grecia | Notifica completa | Ministry of Digital Governance / National Cybersecurity Authority | La Grecia ha adottato il suo recepimento nel diritto nazionale e non è inclusa tra i casi di parere motivato della Commissione. |
| Ungheria | Adottato | National Cybersecurity Agency & Ministry of Defence | La legge primaria è in vigore ma i decreti attuativi rimangono in ritardo; la Commissione ha emesso un parere motivato a maggio 2025. La scadenza per la prima verifica di conformità è stata prorogata da dicembre 2025 a giugno 2026. |
| Irlanda | Bozza | National Cyber Security Centre (NCSC-IE) | L'Irlanda ha un disegno di legge legislativo attivo (National Cyber Security Bill) ma la Commissione ha emesso un parere motivato per notifica incompleta. |
| Italia | Notifica completa | Italian National Cybersecurity Authority (ACN) + sector regulators | L'Italia ha adottato e notificato la legislazione di attuazione e non è inclusa nell'elenco dei pareri motivati della Commissione. |
| Lettonia | Adottato | Latvian National Cyber Security Authority | La Lettonia ha adottato una legge nazionale sulla cybersecurity (metà 2024) e ha norme secondarie in sospeso; la Commissione ha segnalato la completezza della notifica nel maggio 2025. |
| Lituania | Notifica completa | Lithuanian National Cyber Security Centre | La Lituania ha recepito la NIS2 nel 2024 e ha fatto entrare in vigore le principali disposizioni il 18 ottobre 2024; è elencata tra gli stati che hanno completato il recepimento. |
| Lussemburgo | Bozza | Institut Luxembourgeois de Regulation (ILR) | Il Lussemburgo è stato incluso nell'elenco dei pareri motivati della Commissione e rimane nella fase di bozza/legislativa. |
| Malta | Notifica completa | Malta Information Technology Agency (MITA) | Malta ha recepito la NIS2 tramite avviso/i legale/i nel 2025 e ha fatto entrare in vigore il quadro normativo (avvisi legali effettivi da gennaio 2026); non è nell'elenco dei pareri motivati di maggio 2025 della Commissione. |
| Paesi Bassi | Bozza | Minister of Digital Affairs + NCSC units | I Paesi Bassi figurano tra gli Stati membri citati dalla Commissione per notifica incompleta; il lavoro di recepimento era in corso a livello nazionale. |
| Polonia | Bozza | Ministry of Digital Affairs (Cybersecurity Dept) | La Polonia è stata inclusa nell'elenco dei pareri motivati della Commissione e gli emendamenti nazionali erano ancora in fase di sviluppo. |
| Portogallo | Notifica completa | National Cyber Security Directorate (DNSC) | Decreto-legge n. 125/2025 (pubblicato il 4 dicembre 2025) entrato in vigore nell'aprile 2026; il Portogallo non è stato incluso nell'elenco dei pareri motivati della Commissione di maggio 2025 che conferma la completezza della notifica. |
| Romania | Notifica completa | National Cybersecurity Directorate (DNSC) | La Romania ha completato il suo recepimento nazionale e non è elencata tra i casi di parere motivato pendenti della Commissione. |
| Slovacchia | Notifica completa | National Cybersecurity Authority (Prime Minister's Office) | La Slovacchia ha adottato la legislazione di attuazione e non è inclusa nell'elenco dei pareri motivati della Commissione. |
| Slovenia | Notifica completa | Information Security Administration (ASIM-SI) | La Slovenia ha emanato la sua legge di recepimento NIS2 ed è elencata tra i paesi con maturità di livello 4 con una legge approvata e un quadro di cybersecurity finalizzato; non tra i paesi ancora in sospeso all'inizio del 2026. |
| Spagna | Bozza | National Cybersecurity Institute (INCIBE) / Security Council | La Spagna è stata citata dalla Commissione per notifica incompleta; le misure legislative e secondarie sono ancora in corso. |
| Svezia | Adottato | Swedish Civil Contingencies Agency (MSB) | La legge svedese NIS2 è entrata in vigore il 15 gennaio 2026; la completezza della notifica alla Commissione è in fase di revisione. Le entità devono registrarsi tempestivamente. I fornitori di servizi fiduciari devono rispettare un termine di notifica degli incidenti di follow-up più rigoroso di 24 ore rispetto al termine di base della NIS2. |
Molti di questi Stati membri hanno adottato leggi primarie ma necessitano ancora di una legislazione secondaria completa e della notifica alla Commissione prima che l'applicazione sia considerata completa.
Legenda stato
- Notifica completa = recepimento nazionale adottato e nessuna lettera di messa in mora aperta della Commissione in merito a notifica incompleta.
- Adottato = legge di recepimento nazionale adottata (o pubblicata) ma la Commissione ha richiesto ulteriori informazioni/completezza della notifica (o notifica ancora da confermare). Se la legge è già in vigore ma la notifica è in attesa di revisione, viene indicato.
- Bozza = processo legislativo in corso/nessuna legge nazionale finale pubblicata.
Note chiave di attuazione
Scadenza e azione della Commissione
Tutti gli Stati membri erano tenuti a recepire la NIS2 entro il 17 ottobre 2024; la maggior parte ha mancato questa scadenza. Il 7 maggio 2025, la Commissione europea ha inviato pareri motivati a 19 Stati membri per non aver notificato il recepimento completo.
"Adottato" vs "Notifica completa"
Alcuni Stati membri hanno emanato leggi nazionali ma non hanno ancora notificato completamente tutte le misure di attuazione alla Commissione. Altri Stati membri sono ancora in fase di bozza o di revisione legislativa/parlamentare.
Esecuzione e prontezza normativa
Laddove la legge nazionale sia in vigore, la registrazione delle entità, la segnalazione degli incidenti, i poteri di vigilanza e le sanzioni (fino a 10 milioni di euro o al 2% del fatturato per le entità essenziali) vengono introdotti gradualmente tramite regolamenti secondari.
Applicazione in sospeso
Negli Stati membri con stato Adottato o Bozza, gli obblighi di registrazione e segnalazione non sono ancora applicabili finché la legge nazionale non è in vigore e le autorità non hanno pubblicato strumenti e portali legali. Ciò non impedisce alle PMI diligenti di iniziare ora i loro percorsi di conformità al NIS2.
Precisazioni sulle autorità competenti
In tutta l'UE, gli Stati membri designano una o più autorità competenti responsabili dell'attuazione e dell'applicazione della NIS2.
Vigilanza sulla conformità
Supervisione dell'adesione agli obblighi NIS2 da parte di entità essenziali e importanti
Ricezione delle segnalazioni di incidenti
Elaborazione e coordinamento delle risposte alle notifiche di incidenti di cybersecurity
Mantenimento degli elenchi delle entità
Mantenimento dei registri delle entità essenziali e importanti all'interno della loro giurisdizione
Applicazione dei requisiti
Attuazione dei requisiti di gestione del rischio e di governance tramite azioni normative
Tipi di autorità tipici
- Autorità/agenzie nazionali per la cybersecurity o regolatori dedicati alla cybersecurity (ad es. CCB, ACN, NUKIB, ANSSI)
- Regolatori settoriali per finanza, telecomunicazioni, energia dove le responsabilità sono delegate
- I CSIRT svolgono funzioni di coordinamento e segnalazione ai sensi della legge nazionale
Resta aggiornato su NIS2
Ricevi le ultime indicazioni, promemoria sulle scadenze e consigli sulla conformità direttamente nella tua casella di posta.
Niente spam. Cancella l'iscrizione in qualsiasi momento.