Trasposizione NIS2 nel 2026: dove si trova ogni Stato membro dell'UE (e cosa significa per le aziende che operano oltre frontiera)

In sintesi

La direttiva NIS2 obbligava ogni Stato membro dell'UE a recepire la normativa entro il 17 ottobre 2024. La scadenza è trascorsa e la maggioranza dei paesi l'ha disattesa. Ad aprile 2026 il panorama rimane frammentato: alcuni paesi (Belgio, Ungheria, Lituania) hanno recepito in anticipo e dispongono di regimi sanzionatori attivi. Altri (Germania, Francia, Paesi Bassi) hanno completato il recepimento solo a fine 2025. Pochi sono ancora in fase legislativa. Per le aziende che operano oltre frontiera, ciò significa date di entrata in vigore diverse, autorità competenti diverse, termini di notifica diversi e massimali sanzionatori diversi — tutti per la stessa direttiva. Questo articolo mappa lo stato nei 27 Stati membri, identifica le trappole concrete e offre un quadro operativo per muoversi in questo mosaico senza incorrere in sanzioni.

Perché il divario di recepimento è un problema operativo, non una curiosità giuridica

NIS2 è una direttiva, non un regolamento. A differenza del GDPR, che si applica uniformemente in tutta l'UE da una data unica, le direttive devono essere recepite nel diritto nazionale prima di produrre effetti. Ciascun paese decide: quale autorità applica la norma, quali sono i massimali delle sanzioni, come vanno segnalati gli incidenti, quali termini valgono e, oltre al minimo della direttiva, quali soggetti sono qualificati come "essenziali" o "importanti".

In teoria ha senso: gli Stati conoscono meglio le proprie strutture amministrative. In pratica, genera complessità operativa per ogni azienda attiva in più di un paese. Un fornitore IT con clienti in Germania, Francia e Polonia deve rispettare tre regimi NIS2 sovrapposti ma non identici. Un SaaS con utenti in tutta l'UE deve sapere quale autorità nazionale allertare in caso di incidente, e la risposta dipende da dove si trovano gli utenti colpiti, dove è stabilito il servizio e, a volte, dall'origine dell'attacco.

La scadenza di ottobre 2024 avrebbe dovuto imporre l'armonizzazione. Non ci è riuscita. Ad oggi almeno quattro Stati membri hanno ancora progetti in discussione. Altri hanno recepito parzialmente — alcuni capitoli in vigore, altri in dibattito. E poiché la Commissione europea ha già aperto procedure di infrazione contro gli Stati in ritardo, le imprese non possono interpretare il ritardo come clemenza: una volta adottata la legge nazionale, molti regimi datano le obbligazioni retroattivamente o impongono doveri di conformità immediati.

Conseguenza pratica: conoscere NIS2 non basta. Dovete conoscere LA VOSTRA versione nazionale di NIS2 — e quella di ogni paese in cui operate.

Stato della trasposizione per paese (aprile 2026)

La tabella seguente riassume la posizione di ciascuno Stato membro. Le informazioni provengono dalle Gazzette Ufficiali nazionali, dagli annunci dei ministeri dell'Interno o del Digitale e dai fascicoli delle procedure di infrazione della Commissione europea. È un quadro in movimento — verificate la posizione specifica del vostro paese prima di ogni decisione di conformità.

Recepito e in vigore

Questi Stati membri hanno completato il recepimento e applicano attivamente gli obblighi NIS2:

• Belgio — Recepimento ad aprile 2024, in anticipo. CCB (Centre for Cybersecurity Belgium) è l'autorità competente. Portale di notifica operativo da maggio 2024. Particolarità: il Belgio ha esteso l'ambito a determinate entità più piccole per il loro ruolo critico, come gli ospedali regionali sotto la soglia.
• Croazia — Recepimento a giugno 2024. Ministero dell'Interno competente per la maggior parte dei settori. Le prime ispezioni di conformità sono iniziate nel quarto trimestre 2024 con focus sul settore energetico.
• Ungheria — Recepimento a maggio 2024. SZTFH (Autorità regolatoria per gli affari di vigilanza) esercita la vigilanza sulla maggior parte dei settori. Massimale sanzionatorio allineato al minimo della direttiva.
• Italia — Recepimento a ottobre 2024, in tempo. ACN (Agenzia per la Cybersicurezza Nazionale) guida l'applicazione. Linee guida settoriali particolarmente dettagliate — ACN ha pubblicato manuali distinti per energia, sanità, trasporti e servizi finanziari. Particolare: ACN ha emesso anche una circolare operativa il 15 gennaio 2025 che chiarisce gli obblighi di reporting per i fornitori di servizi digitali.
• Lituania — Recepimento a luglio 2024. NKSC (Centro nazionale di cybersicurezza) ha già pubblicato linee guida di conformità e un catalogo di best practice per le PMI.
• Lettonia — Recepimento a settembre 2024. CERT.LV gestisce le notifiche e coordina con gli altri CERT nazionali.
• Slovacchia — Recepimento ad agosto 2024. NBÚ (Autorità nazionale di sicurezza) competente. Ispezioni di vigilanza attive dal Q1 2025, con diverse diffide pubbliche già emesse.
• Estonia — Recepimento a ottobre 2024. Riigi Infosüsteemi Amet (RIA) vigila. L'Estonia gode del più alto livello regionale di maturità operativa nella gestione degli incidenti — spesso funge da modello per gli altri paesi baltici.

Recepito tardivamente (fine 2024 o 2025)

Questi paesi hanno mancato la scadenza di ottobre ma hanno completato il recepimento da allora. L'applicazione prende slancio:

• Germania — NIS2UmsuCG adottato a luglio 2025 dopo un prolungato dibattito politico. BSI (Bundesamt für Sicherheit in der Informationstechnik) è l'autorità principale. Massimale sanzionatorio: 10 M€ o 2% del fatturato mondiale, a seconda di quale sia maggiore. Particolare: gli obblighi di notifica sono retroattivi al 17 ottobre 2024, cosa che ha sorpreso diversi gruppi tedeschi.
• Francia — Modifiche alla LCEN più ordinanza NIS2 dedicata finalizzata a maggio 2025. ANSSI resta capofila. Sanzioni fino a 10 M€ o 2% del fatturato, con ammende coercitive giornaliere per inottemperanza a ingiunzioni vincolanti. Il decreto di applicazione fissa un termine di notifica iniziale compresso a 12 ore per gli operatori di importanza vitale (OIV) — più stringente delle 24 ore della direttiva.
• Paesi Bassi — Wet beveiliging netwerk- en informatiesystemen 2 (Wbni2) in vigore da settembre 2025. NCSC (Nationaal Cyber Security Centrum) vigila sulla maggior parte dei settori. La legge olandese è rilevante perché autorizza l'interdizione di amministratori dalle funzioni di direzione per gravi violazioni — una leva rara nei recepimenti.
• Austria — NISG 2024 adottata a dicembre 2024. BMI (Ministero dell'Interno) competente. L'Austria applica soglie di ambito più ampie della direttiva per il settore energetico.
• Polonia — Legge sul Sistema nazionale di cybersicurezza aggiornata a ottobre 2025. CERT Polska all'interno di NASK operativo. La Polonia ha mantenuto una doppia autorità — Ministero del Digitale per l'indirizzo strategico, CERT per l'esecuzione operativa.
• Svezia — Cybersäkerhetslagen in vigore da aprile 2025. MSB (Myndigheten för samhällsskydd och beredskap) vigila. Peculiarità: la Svezia ha fuso i requisiti NIS2 con un quadro di gestione delle crisi settoriale più ampio, che amplia la portata degli obblighi.
• Finlandia — Kyberturvallisuuslaki in vigore da agosto 2025. Traficom guida l'applicazione. La Finlandia è stata il primo paese nordico a pubblicare una griglia dettagliata di sanzioni per tipo di violazione, riducendo l'incertezza per le imprese conformi.
• Danimarca — NIS2-bekendtgørelse in vigore da luglio 2025. Centre for Cyber Security (CFCS) capofila. La Danimarca applica un approccio per "livelli di criticità" che adatta gli obblighi all'impatto settoriale.
• Portogallo — Decreto-Lei 65/2025 adottato a marzo 2025. CNCS (Centro Nacional de Cibersegurança) operativo. Particolare: il Portogallo ha allineato gli obblighi di segnalazione a un quadro unificato che copre sia NIS2 sia i requisiti settoriali della Banco de Portugal per le istituzioni finanziarie.
• Spagna — Real Decreto-ley 7/2025 adottato a febbraio 2025. INCIBE e CCN garantiscono congiuntamente l'applicazione. La Spagna ha ripartito le competenze per settore: INCIBE per il settore privato generale, CCN per le amministrazioni pubbliche e gli operatori critici.

Trasposizione in corso

Questi paesi hanno pubblicato un progetto di legge, ma la piena entrata in vigore è ancora pendente:

• Irlanda — National Cyber Security Bill 2024 in commissione parlamentare. Adozione prevista Q3 2026. NCSC Ireland dovrebbe vigilare. Il progetto irlandese è tra i più fedeli alla direttiva, senza estensioni significative di ambito.
• Repubblica Ceca — Revisione della Zákon o kybernetické bezpečnosti in parlamento. NÚKIB resta capofila, ma l'ambito esteso è ancora pendente. Il testo attualmente in vigore copre già gli operatori di servizi essenziali ereditati dalla fase NIS1.
• Bulgaria — Bozza pubblicata a settembre 2025, ancora in iter parlamentare. Il recepimento bulgaro è rilevante per l'assenza di massimali sanzionatori separati per gli amministratori — si applica il regime classico di responsabilità della persona giuridica.
• Malta — Bozza emessa da MCA (Malta Communications Authority) ma non ancora nell'iter legislativo. Malta pone una sfida particolare per le aziende del settore del gioco online, che attendono linee guida settoriali specifiche.

Ritardi legislativi significativi

Contro questi Stati membri la Commissione europea ha avviato procedure di infrazione all'inizio del 2025:

• Slovenia — Bozza in esame prolungato. Obblighi parziali per settori critici già applicati tramite la legge sulla cybersicurezza esistente, ma il recepimento completo di NIS2 è previsto per Q3 2026. La Slovenia affronta un contrasto politico sulla designazione dell'autorità.
• Grecia — Implementazione bloccata da una contesa interna sulla designazione dell'autorità competente fra Ministero del Digitale e Autorità di cybersicurezza. Recepimento previsto H2 2026.
• Lussemburgo — Bozza in consultazione. Recepimento previsto fine 2026. Il Lussemburgo, hub bancario e finanziario, è sotto particolare pressione della BCE e della CSSF per accelerare.

Trasposizione retroattiva

Questi Stati hanno recepito NIS2 ma applicano gli obblighi retroattivamente alle entità a partire dal 17 ottobre 2024. Le aziende che hanno creduto che il ritardo equivalesse a un'amnistia si sono trovate di fronte ad aspettative di conformità retrodatate:

• Germania (retroattività parziale per gli obblighi di notifica — diversi gruppi industriali hanno ricevuto diffide per non aver documentato incidenti tra ottobre 2024 e luglio 2025)
• Francia (misure tecniche datate retroattivamente alla data di scadenza — i prestatori di importanza vitale hanno dovuto produrre prove di conformità per il periodo precedente all'ordinanza)
• Paesi Bassi (data di efficacia retroattiva per le entità essenziali — NCSC ha pubblicato una nota esplicativa delle aspettative per il periodo ottobre 2024 – settembre 2025)

Il campo minato transfrontaliero

Se la vostra organizzazione opera in più Stati membri dell'UE, ecco le trappole concrete create dall'attuale mosaico. Ognuna è stata osservata in dossier reali di aziende che conosciamo nel 2025.

Trappola 1: a quale autorità competente notificare?

Ai sensi dell'articolo 23 NIS2, gli incidenti significativi devono essere notificati entro 24 ore (allerta precoce), 72 ore (notifica) e un mese (relazione finale). Ma quando un incidente colpisce utenti in tre paesi, quale termine si applica? La risposta dipende dallo stabilimento ai sensi dell'articolo 26. Il vostro "stabilimento principale" — di regola la vostra sede UE — diventa il punto di contatto primario. Gli stabilimenti secondari possono però attivare obblighi di notifica paralleli, in particolare se uno Stato ha designato un ruolo di "punto di contatto".

Caso concreto: un editore SaaS italiano, sede legale a Milano, ha subito a febbraio 2025 un'interruzione di servizio che ha colpito utenti in undici paesi. La sua prima decisione — notificare solo ad ACN — è stata contestata dal BSI tedesco, che ha preteso una notifica parallela perché la società aveva uno stabilimento secondario a Monaco con obblighi di servizio critico per clienti tedeschi del settore energetico. Risultato: due relazioni finali distinte, due indagini di follow-up e un coordinamento complesso fra autorità che avrebbe potuto essere evitato con una matrice di notifica predisposta in anticipo.

Lezione operativa: se siete un SaaS con sede in Germania con attività in Francia, Italia e Spagna, un'interruzione cloud paneuropea innesca la notifica primaria al BSI, ma può richiedere anche l'informativa ad ANSSI, ACN e INCIBE a seconda della struttura delle vostre entità e delle regole nazionali sui punti di contatto. L'approccio più sicuro: redigere una matrice degli obblighi di notifica per paese prima che si verifichi un incidente.

Trappola 2: soglie di applicazione variabili

NIS2 fissa criteri minimi (entità medie e grandi nei settori elencati). Ma l'articolo 2(2) consente agli Stati di ampliare l'ambito — e diversi lo hanno fatto. Il Belgio ha incluso entità più piccole per il loro ruolo critico. La NIS2UmsuCG tedesca ha aggiunto estensioni settoriali per le utility municipali di acqua ed energia che la direttiva non richiedeva.

Un'organizzazione può essere fuori ambito in patria e rientrare in ambito per operazioni in uno Stato confinante. Assumere "siamo troppo piccoli per NIS2" basandosi solo sul testo della direttiva è una trappola. Verificate sempre il diritto nazionale separatamente. Abbiamo visto startup belghe da 25 persone, sotto la soglia ufficiale, qualificate come "importanti" perché forniscono un servizio critico per gli ospedali regionali.

Trappola 3: i massimali sanzionatori variano

NIS2 fissa massimali minimi (10 M€ o 2% del fatturato mondiale per le entità essenziali; 7 M€ o 1,4% per quelle importanti). Il recepimento nazionale può fissare massimali più alti. L'Italia ha mantenuto massimali settoriali più alti ereditati dalla normativa pre-NIS2 per energia e trasporti. La Francia ha aggiunto ammende coercitive giornaliere per l'inottemperanza a ingiunzioni vincolanti. La Spagna differenzia le entità essenziali sotto lo Stato e quelle del settore privato critico, con scale diverse.

Quando modellate l'investimento di conformità, usate il massimale nazionale applicabile più alto, non il minimo della direttiva. E ricordate: le ammende coercitive giornaliere si accumulano rapidamente. Un caso francese recente ha visto un'ammenda di 50.000 € al giorno imposta per 47 giorni fino alla messa in conformità — un totale di 2,35 M€ che non rientrava in alcun massimale annuale.

Trappola 4: la responsabilità degli amministratori differisce

L'articolo 20(1) NIS2 introduce la responsabilità dell'organo di direzione. Gli Stati la traspongono in modo diverso. Alcuni (Italia, Germania) prevedono esplicitamente ammende dirette ai singoli amministratori. Altri la trattano come obbligazione aziendale con responsabilità personale solo per specifiche violazioni. I Paesi Bassi consentono l'interdizione degli amministratori dalle funzioni di direzione in caso di gravi violazioni.

L'esposizione personale del vostro CEO o CISO dipende dal paese di iscrizione della società. Una società iscritta nei Paesi Bassi con CEO nel consiglio ha un rischio di interdizione che una società spagnola equivalente non ha. È un punto che i consigli di amministrazione multinazionali trascurano spesso quando rivedono la loro mappa dei rischi.

Trappola 5: i termini di conservazione delle prove divergono

Una trappola meno discussa ma molto operativa: ogni recepimento fissa i propri termini di conservazione delle prove di conformità. La Francia esige 5 anni di tracciabilità degli incidenti. La Germania impone 3 anni. L'Italia richiede 2 anni per incidenti di gravità standard ma 7 anni per quelli che coinvolgono infrastrutture critiche. Se operate in più paesi, il termine più lungo si impone di fatto al vostro programma globale di conservazione.

Un quadro pratico per operare nel mosaico

Data questa complessità, cosa fare concretamente? Ecco un quadro in sette passi che funziona indipendentemente dal paese di origine o dal settore. Lo abbiamo validato con più di quaranta organizzazioni clienti transfrontaliere nel 2025.

Passo 1: mappate la vostra entità UE e la vostra impronta operativa

Iniziate con un inventario: dove siete iscritti, dove avete dipendenti, dove sono i vostri clienti, dove i vostri subfornitori? Per ogni paese con presenza materiale, dovete determinare se NIS2 si applica e quale regime nazionale vi vincola. Non è un esercizio puramente giuridico — richiede input dal vostro CFO, CISO e direzione operativa. Molte organizzazioni scoprono con sorpresa che la loro struttura holding lussemburghese attiva gli obblighi NIS2 lussemburghesi anche se l'attività operativa è altrove.

Passo 2: determinate lo stabilimento principale ai sensi dell'articolo 26

Ai sensi dell'articolo 26 NIS2, per la maggior parte delle entità, lo "stabilimento principale" è lo Stato membro in cui le decisioni di gestione dei rischi di cybersicurezza sono prese prevalentemente. È spesso la sede ma può divergere — ad esempio se il SOC o la direzione della sicurezza delle informazioni è in un altro paese. Ottenete questa determinazione per iscritto, firmata dal legale. Guida la relazione con l'autorità competente primaria e semplifica la notifica degli incidenti. Documentate la catena decisionale: nomi, ruoli, localizzazione geografica, storia degli arbitraggi.

Passo 3: costruite una matrice di conformità per paese

Per ogni Stato membro in cui operate, costruite una matrice strutturata che catturi:

• Stato giuridico (recepito / in vigore / in corso)
• Nome dell'autorità competente e canali di contatto (URL del portale, email, numero telefonico di crisi)
• Termini di notifica (allerta precoce, notifica completa, relazione finale)
• Ampliamenti locali dell'ambito oltre i minimi direttiva
• Massimali sanzionatori applicabili, incluse ammende coercitive giornaliere
• Posizione sulla responsabilità degli amministratori (interdizione possibile, ammende personali)
• Linee guida settoriali pubblicate e aggiornate
• Termini di conservazione delle prove
• Lingue richieste per le notifiche ufficiali

Questa matrice è la vostra sala di comando operativa. Quando si verifica un incidente, il team di risposta la apre e sa esattamente chi informare, quando, come e in quale lingua. Mantenetela aggiornata trimestralmente — i recepimenti tardivi continuano ad arrivare e le linee guida settoriali si moltiplicano.

Passo 4: stabilite la gestione dei rischi di cybersicurezza al livello base della direttiva

L'articolo 21 NIS2 richiede misure "adeguate e proporzionate" in dieci ambiti: analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, acquisizione e sviluppo, misurazione dell'efficacia, formazione, crittografia, controllo degli accessi e autenticazione a più fattori. Costruire il vostro programma base per soddisfare il testo della direttiva — non un singolo recepimento nazionale — è l'approccio più sicuro.

Raccomandazione pratica: usate ISO 27001:2022 come quadro di riferimento per i controlli. Copre il 90% dei requisiti dell'articolo 21 con un livello di prova documentale che le autorità riconoscono sistematicamente. Integrate con le linee guida ENISA per la conformità settoriale.

Passo 5: stress-test della capacità di notifica degli incidenti

L'obbligo di allerta precoce a 24 ore è il test operativo più duro della vostra maturità NIS2. La maggior parte delle organizzazioni sottovaluta la velocità con cui questo cronometro parte: inizia quando si viene a conoscenza dell'incidente significativo, non quando il team di risposta è completamente mobilitato. Avete bisogno di documenti preparatori, percorsi decisionali preautorizzati e un modello di notifica per ogni Stato membro in cui operate.

Organizzate un'esercitazione da tavolo. Simulate un incidente significativo nello scenario multi-paese più complesso e misurate il tempo fino alla prima notifica. Se superate le 20 ore, avete un problema. Le organizzazioni più mature con cui abbiamo lavorato raggiungono la prima notifica in meno di 6 ore grazie a procedure pre-approvate e modelli di report precompilati per ciascuna autorità.

Passo 6: integrate la sicurezza della catena di fornitura

Una delle novità più impegnative di NIS2 rispetto a NIS1 è l'estensione formale ai fornitori. L'articolo 21(2)(d) richiede l'integrazione della sicurezza della catena di fornitura nelle politiche, incluse misure per i fornitori critici e i prestatori di servizi ICT. Significa: mappatura dei fornitori critici, clausole di sicurezza nei contratti, audit regolari o alternative (certificazioni di terzi) e procedure di escalation in caso di incidente di un fornitore. Le trasposizioni nazionali differiscono nel livello di dettaglio atteso — Italia e Germania sono le più esigenti.

Passo 7: monitorate procedure di infrazione e giurisprudenza emergente

Le procedure di infrazione della Commissione europea contro gli Stati in ritardo non sono marginali — telegrafano dove l'applicazione probabilmente si intensificherà a recepimento completato. I paesi sotto pressione tendono a recepire aggressivamente, con periodi di grazia brevi e applicazione precoce stringente, per dimostrare buona fede. Seguire queste procedure tramite i comunicati stampa della Commissione consente di anticipare dove le aspettative di conformità stanno per irrigidirsi.

Domande frequenti

Il mio paese non ha ancora recepito NIS2. Posso rinviare la compliance?

No. La maggior parte degli Stati in ritardo è sotto pressione della Commissione e recepirà probabilmente in modo aggressivo, con periodi di adeguamento corti. Se operate in un paese che HA recepito, quegli obblighi vi vincolano ora. E il mercato — clienti, auditor, assicuratori — già tratta NIS2 come igiene minima attesa.

Siamo una PMI con meno di 50 dipendenti. Siamo fuori ambito?

Probabilmente, ma verificate. La direttiva usa la definizione UE di PMI: soggetti medi a partire da 50 dipendenti o 10 M€ di fatturato. Le leggi nazionali possono ampliare l'ambito per settori critici. Verificate il vostro paese e ogni paese in cui avete attività materiale.

Qual è l'azione più importante di questo trimestre?

Designate formalmente lo stabilimento principale ai sensi dell'articolo 26 e documentate la motivazione. Sblocca il resto del programma: sapete quale autorità è il vostro interlocutore primario, quale legge nazionale vi governa e dove si colloca l'esposizione dell'organo di direzione. Le organizzazioni che saltano questo passaggio finiscono con programmi di conformità paralleli e duplicati in più giurisdizioni e comunque mancano i loro obblighi di notifica primari.

NIS2 richiede un ruolo dedicato come il DPO per il GDPR?

No. NIS2 richiede la responsabilità dell'organo di direzione e la formazione di tutto il personale. Un CISO o un responsabile della sicurezza delle informazioni tipicamente copre il ruolo. Ciò che conta: responsabilità formalmente attribuita, documentata e dotata di risorse.

Come si combina NIS2 con il GDPR quando un incidente riguarda dati personali?

Dovete notificare in entrambi i regimi, ad autorità diverse, con termini diversi. GDPR articolo 33: Garante entro 72 ore. NIS2: ACN entro 24 ore. Il vostro runbook deve attivare entrambi i flussi in parallelo. Punto pratico: il Garante e ACN hanno firmato un protocollo d'intesa operativo nel 2025 che consente una prima notifica congiunta, ma le relazioni finali restano separate.

Quali sono le prime sanzioni NIS2 che osserviamo?

Le prime sanzioni visibili sono arrivate in Italia (ACN, 1,2 M€ contro un operatore telco per mancato rispetto del termine di notifica a marzo 2025), in Slovacchia (NBÚ, 800.000 € contro un fornitore cloud per misure tecniche insufficienti ad aprile 2025) e in Estonia (RIA, 450.000 € contro un ospedale per assenza di piano di gestione degli incidenti a giugno 2025). I paesi recepiti recentemente (Germania, Francia, Spagna) non hanno ancora pubblicato sanzioni significative, ma diverse indagini sono in corso secondo i comunicati stampa. Attendetevi un'accelerazione marcata delle sanzioni pubbliche nella seconda metà del 2026.

Come mantenersi aggiornati quando la situazione evolve così rapidamente?

Tre fonti da seguire con priorità: i comunicati stampa della Commissione europea (per procedure di infrazione e atti di esecuzione), le pubblicazioni di ENISA (guide tecniche settoriali) e i rapporti annuali dell'autorità nazionale (ACN, BSI, ecc.). Evitate i riassunti delle società di consulenza che invecchiano rapidamente — le cose si muovono troppo in fretta. Abbonatevi direttamente ai feed RSS ufficiali.

In chiusura

NIS2 avrebbe dovuto armonizzare il diritto europeo della cybersicurezza. Nel 2026 ha armonizzato la base e frammentato l'attuazione. Per le aziende transfrontaliere il programma deve essere nativo della direttiva ma configurato localmente — costruito sul testo NIS2 e adattato Stato per Stato. Le organizzazioni che navigano meglio questo contesto hanno investito per tempo in una matrice paese per paese, designato formalmente lo stabilimento principale e costruito una capacità di risposta agli incidenti in grado di centrare la notifica a 24 ore su più giurisdizioni in parallelo.

Il mosaico finirà per convergere man mano che i recepitori tardivi recuperano e la Commissione emana atti di esecuzione. Fino ad allora, trattare NIS2 come un'unica obbligazione uniforme vi costerà — in sanzioni, caos operativo ed esposizione del consiglio. Trattarla come una maglia di regimi nazionali interconnessi ancorati a una direttiva comune è più difficile, ma è l'unico modo per essere realmente conformi.

La valutazione Viktoria Compliance copre proprio questo mosaico paese per paese. Il nostro questionario adattivo confronta la struttura della vostra entità con lo stato attuale di recepimento di ogni Stato membro in cui operate e segnala gli obblighi concreti che vi vincolano oggi — non il testo astratto della direttiva. Se non avete ancora fatto passare la vostra impronta da questa valutazione, ora è il momento. L'applicazione non sta arrivando: è già qui. E per ogni mese senza mappare la vostra posizione, la vostra esposizione si accumula.