Stato di attuazione NIS2
Tracci l'avanzamento del recepimento della Direttiva NIS2 in tutti gli Stati membri dell'UE, incluse autorità competenti e tempistiche di enforcement.
Aggiornato ad aprile 2026
NIS2: Istantanea dello stato di attuazione
Notifica completa (16)
Adottato (6)
Bozza (5)
| Stato membro | Stato | Autorità competente | Note |
|---|---|---|---|
| Austria | Adottato | Federal Ministry of the Interior (BMI) / Bundesamt für Cybersicherheit (operational 1 October 2026) | NISG 2026 promulgata il 23 dicembre 2025; entra in vigore il 1° ottobre 2026; termine per la registrazione delle entità: 1° gennaio 2027 — la completezza della notifica è all'esame della Commissione. |
| Belgio | Notifica completa | Centre for Cybersecurity Belgium (CCB) — CyFun® / Safeonweb@Work | Legge NIS2 in vigore dal 18 ottobre 2024; registrazione tramite Safeonweb@Work chiusa il 18 marzo 2025; scadenza autovalutazione CyFun® o SoA ISO 27001 al 18 aprile 2026 (ora superata); certificazione completa entro il 18 aprile 2027. |
| Bulgaria | Adottato | Multiple national competent authorities (Ministry of Defence, Ministry of Interior, State Agency for National Security) — Minister of e-Government maintains national register | Modifiche alla Legge sulla cibersicurezza in vigore dal 17 febbraio 2026; sanzioni ridotte per le violazioni commesse prima del 1° giugno 2026; metodologia di designazione del Consiglio dei Ministri prevista entro ~17 agosto 2026 — modello di designazione amministrativa. |
| Croazia | Notifica completa | Security and Intelligence Agency (SOA) — National Cybersecurity Center (NCSC-HR); CERT.hr (CARNET) for incident reporting via PiXi; autonomous sector supervisors (HNB, HANFA, HACZ) | Legge sulla cibersicurezza (NN 14/2024) in vigore dal 15 febbraio 2024 — tra i primi recepimenti dell'UE; Regolamento sulla cibersicurezza (NN 135/2024) in vigore dal 30 novembre 2024; modello di notifica guidato dall'autorità con finestra di conformità di 12 mesi; le deviazioni nazionali includono il settore dell'Istruzione, autovalutazione biennale per le entità importanti e controlli tecnici più rigorosi. |
| Cipro | Adottato | Digital Security Authority (DSA) — primary; Commissioner of Communications also designated as supervisory authority | Legge di modifica sulla sicurezza delle reti e dei sistemi informativi 60(I)/2025 promulgata il 10 aprile 2025, in vigore dal 25 aprile 2025; le deviazioni nazionali includono un termine di preallarme di 6 ore (più stringente delle 24 h della direttiva) e un modello di identificazione delle entità guidato dalla DSA (nessuna autoregistrazione); la completezza della notifica alla Commissione è in fase di revisione. |
| Repubblica Ceca | Adottato | National Cyber and Information Security Agency (NUKIB) | Legge n. 264/2025 Racc. sulla cybersicurezza in vigore dal 1° novembre 2025; autoidentificazione tramite il portale NÚKIB (termine di registrazione 31 dicembre 2025 per le entità nell'ambito); finestra di conformità di 12 mesi per le misure di sicurezza e notifica dalla decisione di registrazione; le entità essenziali devono notificare tutti gli incidenti di origine cibernetica (più rigoroso della Direttiva); NÚKIB ha il potere di limitare o vietare fornitori non sicuri della catena di approvvigionamento per entità di importanza strategica. |
| Danimarca | Adottato | Ministry for Societal Resilience and Contingency (MSSB) — coordinator; sector regulators (Danish Energy Agency, Finanstilsynet, telecom regulators) — primary supervisors; CFCS — National CSIRT | Legge NIS2 (L 141) in vigore dal 1° luglio 2025 senza periodo transitorio; autoregistrazione tramite Virk.dk (scadenza 1° ottobre 2025 — superata); approccio di recepimento minimo (senza gold-plating); deviazioni nazionali: non sono previste sanzioni amministrative dirette (le sanzioni seguono il procedimento penale tramite la pubblica accusa) e la responsabilità personale dei dirigenti non è stata recepita (disciplinata dal dovere di diligenza della Legge danese sulle società); la completezza della notifica alla Commissione è in fase di revisione. |
| Estonia | Notifica completa | Estonian Information System Authority (RIA) | Legge sulla cibersicurezza modificata in vigore dal 1° gennaio 2026; ~3.500 → ~6.500 entità nell'ambito; istituti di ricerca aggiunti come settore nazionale aggiuntivo; gestione del rischio allineata ai controlli di riferimento E-ITS; conformità per fasi — scadenza autoregistrazione tramite RIA intorno al 1° aprile 2026 (ora superata), controlli di governance entro il 1° gennaio 2027, piena conformità tecnica e primi audit entro il 1° gennaio 2028. |
| Finlandia | Notifica completa | Traficom (NCSC-FI) — coordinator; sector authorities supervise | Legge sulla cibersicurezza (124/2025) in vigore dall'8 aprile 2025; scadenza di registrazione 8 maggio 2025 e sistema di gestione del rischio 8 luglio 2025 entrambe trascorse; vigilanza decentralizzata su sette autorità settoriali coordinate dal NCSC-FI di Traficom; sanzioni amministrative imposte da un collegio sanzionatorio istituito separatamente su proposta dell'autorità di vigilanza; le entità del settore pubblico non possono essere sanzionate; settore finanziario escluso (coperto da DORA). |
| Francia | Bozza | ANSSI (French National Agency for Information Systems Security) | Loi Résilience (che consolida NIS2, CER, DORA) adottata dal Senato il 12 marzo 2025 e dalla commissione speciale dell'Assemblea Nazionale il 10 settembre 2025; voto finale e promulgazione ancora in sospeso, attesi H1–H2 2026 (non ancora promulgata ad aprile 2026). Parere motivato della CE emesso il 7 maggio 2025. Portale di pre-registrazione MonEspaceNIS2 dell'ANSSI già attivo; circa 15.000–18.000 entità attese nell'ambito di applicazione, in 18 settori. |
| Germania | Notifica completa | Bundesamt für Sicherheit in der Informationstechnik (BSI) | NIS2UmsuCG in vigore dal 6 dicembre 2025 senza periodo transitorio; ~4.500 → ~29.000–30.000 entità nell'ambito; il termine di registrazione BSI del 6 marzo 2026 è scaduto; registrazione in due fasi tramite portale BSI / Mein Unternehmenskonto (MUK); formazione obbligatoria in cybersicurezza della direzione ogni tre anni; esenzione per "attività trascurabili" ai sensi del § 28(3) BSIG. |
| Grecia | Notifica completa | National Cybersecurity Authority (NCSA) | Legge 5160/2024 in vigore dal 28 novembre 2024; integrata dalla MD 1645/2025 (registrazione) e dalla MD 1689/2025 (quadro di sicurezza a 22 tematiche); le scadenze di registrazione (28 marzo 2025 per l'infrastruttura digitale; 30 settembre 2025 generale) sono scadute; nomina obbligatoria dell'ICSSO (incompatibile con il DPO); gli audit della NCSA sono iniziati nel Q4 2025. |
| Ungheria | Adottato | SZTFH (primary) / NKI/NCSC (CSIRT) | Legge LXIX del 2024 in vigore dal 1° gennaio 2025; SZTFH è il regolatore principale (registrazione, registro dei revisori, contributi di vigilanza); NKI/NCSC è il CSIRT nazionale; banche, infrastrutture del mercato finanziario e pubblica amministrazione escluse dall'ambito; termini di registrazione e contratto del revisore scaduti; prima scadenza per audit di cibersicurezza 30 giugno 2026 (in arrivo); parere motivato della CE del 7 maggio 2025 — valutazione della Commissione in corso. |
| Irlanda | Bozza | National Cyber Security Centre (NCSC-IE) | National Cyber Security Bill 2024 non promulgato ad aprile 2026; l'Irlanda ha mancato la scadenza di recepimento UE del 17 ottobre 2024 ed è oggetto di procedure di infrazione della Commissione europea; NIS1 (S.I. 360 of 2018) continua ad applicarsi; modello di supervisione federato proposto (guida NCSC + CRU, ComReg, Banca Centrale d'Irlanda); promulgazione e portale di registrazione attesi nel 2026. |
| Italia | Notifica completa | Italian National Cybersecurity Authority (ACN) + sector regulators | Decreto Legislativo n. 138/2024 in vigore dal 16 ottobre 2024. L'ACN è il regolatore principale e gestisce un portale digitale centralizzato per la registrazione e le notifiche. L'Italia ha esteso l'ambito di applicazione oltre il minimo della Direttiva tramite gli Allegati III e IV nazionali (amministrazioni centrali dello Stato, trasporto pubblico locale, entità di interesse culturale) e include una clausola di salvaguardia per le controllate di gruppo indipendenti sotto il profilo ICT. La conformità è per fasi: le scadenze di registrazione sono scadute all'inizio del 2025, la notifica obbligatoria degli incidenti all'ACN/CSIRT Italia è in vigore dal 1° gennaio 2026 e la piena conformità alle misure di sicurezza è richiesta entro il 1° ottobre 2026. L'Italia è pienamente notificata alla Commissione europea. |
| Lettonia | Notifica completa | National Cybersecurity Centre (NCSC) | La Legge nazionale sulla cybersecurity della Lettonia è in vigore dal 1° settembre 2024 (sostituisce la precedente Legge sulla sicurezza IT); il Regolamento n. 397 (requisiti minimi di cybersecurity) è in vigore dal 2 luglio 2025; il parere motivato della CE del maggio 2025 è risolto. Il Centro nazionale di cybersecurity (NCSC) — Ministero della Difesa con CERT.LV — è il supervisore principale; l'Ufficio per la protezione della Costituzione supervisiona le infrastrutture ICT critiche. I soggetti devono nominare un responsabile della cybersecurity, classificare i sistemi in tre livelli (A/B/C) e svolgere revisioni annuali della sicurezza ICT. Tutte le scadenze iniziali (registrazione, nomina del responsabile, prima autovalutazione) sono trascorse; recepimento pienamente notificato. |
| Lituania | Notifica completa | National Cyber Security Centre (NCSC) | La Legge sulla Cibersicurezza modificata della Lituania è entrata in vigore il 18 ott. 2024; la Risoluzione Governativa sull'Attuazione è seguita il 12 nov. 2024. Il NCSC ha notificato il registro iniziale di 1.443 soggetti intorno al 17 apr. 2025; la conformità è scaglionata (misure organizzative ~17 apr. 2026 — imminenti; misure tecniche ~17 apr. 2027). La Lituania amplia l'ambito oltre la Direttiva (amministrazione pubblica locale, soggetti critici di R&S, fornitori di hosting di informazioni elettroniche), impone la nomina di un responsabile della cibersicurezza e richiede ai soggetti essenziali una valutazione di conformità indipendente triennale. Pienamente notificata alla Commissione europea. |
| Lussemburgo | Bozza | ILR (proposed) / CSSF (financial, proposed); HCPN coordination | Disegno di legge 8364 depositato il 13 marzo 2024, non ancora approvato ad aprile 2026; termine UE mancato il 17 ottobre 2024; parere motivato della CE del 7 maggio 2025; parere complementare del Consiglio di Stato di dicembre 2025; il quadro NIS1 continua ad applicarsi; modello di vigilanza diviso proposto (ILR la maggior parte dei settori / CSSF finanziario / HCPN coordinamento); ambito ampliato (~6.000–8.000 entità); piattaforma SERIMA lanciata dall'ILR; approvazione prevista nel corso del 2026. |
| Malta | Notifica completa | CIPD (primary) / MCA (digital + postal); CSIRT Malta (incidents) | NIS2 recepita tramite Legal Notice 71 of 2025 (S.L. 460.41), pubblicato l'8 aprile 2025 e pienamente in vigore dal 23 gennaio 2026 ai sensi del L.N. 22 of 2026; sostituisce NIS1 (L.N. 216/2018). Il CIPD è supervisore principale; la MCA è competente per le infrastrutture digitali e i servizi postali/di corriere; CSIRT Malta (all'interno del CIPD) gestisce la risposta agli incidenti; il CIPAB assiste in materia di sanzioni. Le entità devono autoregistrarsi presso il CIPD e designare un CSIRT interno/autonomo; i primi audit formali sono attesi nella seconda metà del 2027. |
| Paesi Bassi | Bozza | Sector-specific competent authorities (proposed under Cbw); NCSC (CSIRT) | I Paesi Bassi stanno recependo la NIS2 tramite la Cyberbeveiligingswet (Cbw), una nuova legge che sostituirà la Wbni. La Cbw è stata presentata alla Tweede Kamer il 4 giugno 2025 e, ad aprile 2026, non è ancora stata approvata; l'entrata in vigore è prevista per il secondo trimestre 2026 (imminente). I Paesi Bassi hanno mancato il termine di recepimento del 17 ottobre 2024 e hanno ricevuto un parere motivato della Commissione europea il 7 maggio 2025. La Cbw stabilisce un modello di vigilanza multi-regolatore con autorità competenti settoriali (ad es. RDI per le infrastrutture digitali, ILT per i trasporti); l'NCSC funge da CSIRT nazionale e coordinatore. La notifica degli incidenti crea un doppio obbligo (NCSC + autorità settoriale); la formazione sulla cibersicurezza per la dirigenza è obbligatoria. La registrazione volontaria tramite mijn.ncsc.nl è attiva dal 17 ottobre 2024. |
| Polonia | Notifica completa | Ministry of Digital Affairs (lead) / sectoral ministries (supervision); CSIRT GOV, NASK, MON (incidents) | La Polonia ha completato il recepimento della NIS2 mediante una modifica dell'UKSC (Legge sul Sistema Nazionale di Cibersicurezza); adottata dal Sejm il 23/01/2026; firmata dal Presidente il 19/02/2026; in vigore dal 03/04/2026 (vacatio legis di un mese); ~18 mesi dopo il termine del 17/10/2024; parere motivato della CE del 07/05/2025 — procedura di infrazione risolta al completamento del recepimento. Modello multi-autorità — il Ministero degli Affari Digitali guida + tiene il registro; i ministeri settoriali competenti supervisionano; tre CSIRT nazionali (GOV/NASK/MON) + CSIRT settoriali gestiscono gli incidenti. SGSI obbligatorio (PN-EN ISO/IEC 27001 + ISO 22301); audit biennale; formazione non delegabile del consiglio + responsabilità personale; meccanismo intersettoriale dei fornitori ad alto rischio (esame della Corte Costituzionale); sanzioni elevate fino a 100 M PLN (~24 M €). Conformità a fasi: registrazione entro il 03/10/2026; SGSI completo entro il 03/04/2027; primo audit entro il 03/04/2028. |
| Portogallo | Notifica completa | CNCS (lead) / sectoral + special supervisory authorities; Crisis Office (coordination) | Il Portogallo ha completato il recepimento della NIS2 con il Decreto-Legge n. 125/2025 (Regime Jurídico da Cibersegurança); pubblicato il 4 dicembre 2025; in vigore dal 3 aprile 2026 (120 giorni dopo la pubblicazione); sostituisce integralmente la Legge 46/2018 e il Decreto-Legge 65/2021; termine del 17 ottobre 2024 mancato; parere motivato della CE del 7 maggio 2025 risolto con la pubblicazione. Modello di vigilanza multilivello — CNCS come autorità capofila + autorità settoriali e di vigilanza speciali + nuovo Ufficio di Crisi. Responsabile della cybersicurezza obbligatorio (componente dell'organo di gestione o suo diretto referente) e punto di contatto permanente 24/7 con il CNCS, entrambi dovuti entro il 4 maggio 2026 (20 giorni lavorativi dall'entrata in vigore — in arrivo). Classificazione degli enti pubblici in Gruppo A / Gruppo B. Conformità a fasi — registrazione sulla piattaforma CNCS 60 giorni dopo il lancio (data da confermare); obblighi principali (gestione del rischio, catena di approvvigionamento, rendicontazione annuale) 24 mesi dopo la pubblicazione dei regolamenti attuativi del CNCS. |
| Romania | Notifica completa | National Cybersecurity Directorate (DNSC) | La Romania ha completato il recepimento di NIS2 tramite GEO 155/2024 (adottata il 30 dic 2024; in vigore dal 31 dic 2024); perfezionata dalla Legge 124/2025 (in vigore dal 10 lug 2025) che estende il settore sanitario alla catena di approvvigionamento farmaceutica e alle farmacie al dettaglio (NACE 4773); resa operativa tramite Ordinanze DNSC 1/2025 (registrazione) e 2/2025 (valutazione dei rischi), entrambe in vigore dal 20 ago 2025; disposizioni sanzionatorie dal 30 gen 2025; autorità principale DNSC; potere di raddoppiare la multa massima nei casi aggravati (incl. tetti di 10 M€ / 2%); designazione obbligatoria di una persona responsabile della cybersicurezza (indipendente dal responsabile operativo IT) e formazione obbligatoria in cybersicurezza per la dirigenza; registrazione delle entità tramite la piattaforma NIS2@RO — termine iniziale ~19 set 2025 (scaduto); solo le registrazioni successive al 20 ago 2025 sono legalmente valide; catena di conformità in quattro fasi — registrazione → autovalutazione del livello di rischio → autovalutazione della maturità (entro 60 giorni) → piano di rimedio (entro 30 giorni); escluse le entità di difesa nazionale, ordine pubblico, sicurezza nazionale, MAE e applicazione della legge. |
| Slovacchia | Notifica completa | NBÚ (lead) / sector ministries (supervision); SK-CERT (incidents) | La Slovacchia ha completato il recepimento di NIS2 tramite la <strong>Legge n. 366/2024 Coll.</strong>, che modifica la Legge sulla cybersicurezza n. 69/2018 Coll.; adottata dal Consiglio Nazionale il 28 nov 2024; pubblicata nella Raccolta delle Leggi il 19 dic 2024; in vigore dal 1° gen 2025; la Slovacchia è il 4° Stato membro dell'UE a completare il recepimento; si prevede che circa 3.500–14.000 entità rientrino nell'ambito; autorità principale NBÚ (Národný bezpečnostný úrad); SK-CERT (National Cyber Security Centre, all'interno del NBÚ) gestisce la risposta agli incidenti; ministeri settoriali (es. Salute, Trasporti) hanno ruoli complementari; quadro allineato alla famiglia di norme ISO 27000; ordinanza di supporto sulle misure di sicurezza sviluppata nel 2025; le terze parti della catena di fornitura sono esplicitamente regolate come entità dirette (oltre il minimo della Direttiva); registrazione tramite la piattaforma JISKB — termine iniziale ~1° mar 2025 (scaduto); nuove entità entro 60 giorni dall'ingresso nell'ambito; piena conformità a tutti gli obblighi richiesta entro il 31 dic 2026; SK-CERT può richiedere un rapporto intermedio tra la notifica entro 72 ore e il rapporto finale. |
| Slovenia | Notifica completa | URSIV (lead/NCC-SI/SPOC); SI-CERT (private) / SIGOV-CERT (gov) (incidents) | La Slovenia ha completato il recepimento della NIS2 attraverso la Legge sulla sicurezza dell'informazione (ZInfV-1) (Zakon o informacijski varnosti); adottata dall'Assemblea Nazionale il 23 maggio 2025; pubblicata nella Gazzetta Ufficiale n. 40/25 il 4 giugno 2025; in vigore dal 19 giugno 2025; nuova legge organica che sostituisce la precedente ZInfV (2018); adottata con procedura d'urgenza a seguito del parere motivato della CE del 7 maggio 2025; autorità principale URSIV (Ufficio governativo per la sicurezza dell'informazione), che funge anche da NCC-SI e da punto di contatto unico nazionale; SI-CERT (gestito da ARNES) come CSIRT nazionale per il settore privato; SIGOV-CERT per le istituzioni governative; ambito esteso oltre il minimo della Direttiva fino a includere istituzioni di ricerca e di istruzione superiore; quadro di requisiti di cybersicurezza allegato alla legge; ISO/IEC 27001 come standard applicabile; ISMS + BCMS obbligatori; termine di registrazione presso URSIV 19 dicembre 2025 (scaduto); nuovi soggetti 30 giorni dall'ingresso nell'ambito di applicazione; termini scaglionati di gestione dei rischi — 19 giugno 2026 (fornitori di servizi essenziali ai sensi della precedente ZInfV) / 19 dicembre 2026 (tutti gli altri soggetti essenziali/importanti); valutazione di conformità da parte di un CAB accreditato almeno ogni 2 anni per i soggetti essenziali. |
| Spagna | Bozza | CNC (proposed lead/SPOC); CCN-CERT (public) / INCIBE-CERT (private) / ESPDEF-CERT (defence) (CSIRTs) | La Spagna non ha ancora adottato il proprio recepimento della NIS2; l'Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad è stato approvato dal Consiglio dei ministri il 14 gennaio 2025; in attesa del dibattito parlamentare presso le Cortes Generales ad aprile 2026; mancato termine del 17 ottobre 2024; parere motivato della CE del 7 maggio 2025; resta possibile il deferimento alla CGUE; il quadro NIS1 vigente (RD-Legge 12/2018) continua ad applicarsi; il progetto istituisce un nuovo Centro Nacional de Ciberseguridad (CNC) come autorità principale, punto di contatto unico per l'UE e coordinatore delle crisi; tre CSIRT di riferimento designati — CCN-CERT (settore pubblico), INCIBE-CERT (entità private), ESPDEF-CERT (Forze armate); notifica degli incidenti tramite la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes; ambito esteso oltre il minimo della Direttiva fino a includere università, centri di ricerca, grandi comuni, società di sicurezza privata, entità con implicazioni per la difesa nazionale e società estere con stabilimento permanente in Spagna; struttura sanzionatoria nazionale graduata (lievi €10.000–€100.000; gravi €100.001–€500.000; molto gravi €500.001–€2 mln; massimali più elevati di tipo NIS2 per i casi più gravi); un Responsable de Seguridad de la Información sarà richiesto per ciascuna entità una volta adottata la legge. |
| Svezia | Notifica completa | MSB/MCF (lead/coordinator/SPOC/CSIRT); PTS (digital sectors); sector authorities | La Svezia ha completato il recepimento della NIS2 con la Cybersäkerhetslagen (Legge sulla cibersicurezza, SFS 2025:1506), adottata dal Riksdag il 10 dicembre 2025 e in vigore dal 15 gennaio 2026 — una nuova legge organica che sostituisce la Legge sulla sicurezza delle informazioni 2018:1174; la Cybersäkerhetsförordningen è stata emanata contestualmente. La Svezia non ha rispettato il termine del 17 ottobre 2024 e ha ricevuto un parere motivato della CE il 7 maggio 2025 (risolto dopo l'entrata in vigore). MSB (Myndigheten för samhällsskydd och beredskap) è stata rinominata MCF (Myndigheten för civilt försvar — Agenzia svedese per la difesa civile e la resilienza) dal 1° gennaio 2026; MSB/MCF agisce come coordinatore nazionale, punto di contatto unico UE e CSIRT nazionale. La Svezia applica un modello di vigilanza decentralizzato — le autorità settoriali vigilano sui rispettivi settori, mentre PTS (Post- och telestyrelsen — Agenzia svedese delle poste e telecomunicazioni) coregolamenta l'infrastruttura digitale, i fornitori digitali, la gestione dei servizi TIC (B2B), lo spazio e i servizi postali e di corriere. Approccio dell'intera entità — l'intero perimetro informatico delle entità rientranti nell'ambito deve essere conforme. La formazione obbligatoria dei vertici è sanzionabile. I prestatori di servizi fiduciari devono trasmettere sia l'allerta precoce sia la notifica dell'incidente entro 24 ore (deroga al termine di 72h). Possibile divieto temporaneo di esercitare funzioni direttive per i membri degli organi di direzione di entità essenziali. Termine di registrazione 16 febbraio 2026 (scaduto); portale di notifica MSB/MCF attivo dal 2 febbraio 2026; tutti gli obblighi si applicano immediatamente dal 15 gennaio 2026 senza periodo di grazia generale. |
Molti di questi Stati membri hanno adottato leggi primarie ma necessitano ancora di una legislazione secondaria completa e della notifica alla Commissione prima che l'applicazione sia considerata completa.
Legenda stato
- Notifica completa = recepimento nazionale adottato e nessuna lettera di messa in mora aperta della Commissione in merito a notifica incompleta.
- Adottato = legge di recepimento nazionale adottata (o pubblicata) ma la Commissione ha richiesto ulteriori informazioni/completezza della notifica (o notifica ancora da confermare). Se la legge è già in vigore ma la notifica è in attesa di revisione, viene indicato.
- Bozza = processo legislativo in corso/nessuna legge nazionale finale pubblicata.
Note chiave di attuazione
Scadenza e azione della Commissione
Tutti gli Stati membri erano tenuti a recepire la NIS2 entro il 17 ottobre 2024; la maggior parte ha mancato questa scadenza. Il 7 maggio 2025, la Commissione europea ha inviato pareri motivati a 19 Stati membri per non aver notificato il recepimento completo.
"Adottato" vs "Notifica completa"
Alcuni Stati membri hanno emanato leggi nazionali ma non hanno ancora notificato completamente tutte le misure di attuazione alla Commissione. Altri Stati membri sono ancora in fase di bozza o di revisione legislativa/parlamentare.
Esecuzione e prontezza normativa
Laddove la legge nazionale sia in vigore, la registrazione delle entità, la segnalazione degli incidenti, i poteri di vigilanza e le sanzioni (fino a 10 milioni di euro o al 2% del fatturato per le entità essenziali) vengono introdotti gradualmente tramite regolamenti secondari.
Applicazione in sospeso
Negli Stati membri con stato Adottato o Bozza, gli obblighi di registrazione e segnalazione non sono ancora applicabili finché la legge nazionale non è in vigore e le autorità non hanno pubblicato strumenti e portali legali. Ciò non impedisce alle PMI diligenti di iniziare ora i loro percorsi di conformità al NIS2.
Precisazioni sulle autorità competenti
In tutta l'UE, gli Stati membri designano una o più autorità competenti responsabili dell'attuazione e dell'applicazione della NIS2.
Vigilanza sulla conformità
Supervisione dell'adesione agli obblighi NIS2 da parte di entità essenziali e importanti
Ricezione delle segnalazioni di incidenti
Elaborazione e coordinamento delle risposte alle notifiche di incidenti di cybersecurity
Mantenimento degli elenchi delle entità
Mantenimento dei registri delle entità essenziali e importanti all'interno della loro giurisdizione
Applicazione dei requisiti
Attuazione dei requisiti di gestione del rischio e di governance tramite azioni normative
Tipi di autorità tipici
- Autorità/agenzie nazionali per la cybersecurity o regolatori dedicati alla cybersecurity (ad es. CCB, ACN, NUKIB, ANSSI)
- Regolatori settoriali per finanza, telecomunicazioni, energia dove le responsabilità sono delegate
- I CSIRT svolgono funzioni di coordinamento e segnalazione ai sensi della legge nazionale