Trasposizione NIS2 nel 2026: dove si trova ogni Stato membro dell'UE (e cosa significa per le imprese transfrontaliere)

In sintesi

La direttiva NIS2 (direttiva (UE) 2022/2555) imponeva a ciascuno Stato membro dell'UE di recepire la normativa nel proprio quadro nazionale entro il 17 ottobre 2024. Il termine è scaduto e l'hanno rispettato soltanto Belgio, Croazia, Italia e Lituania. A maggio 2026, 22 dei 27 Stati membri hanno adottato la legge di recepimento, ma cinque — Francia, Irlanda, Lussemburgo, Paesi Bassi e Spagna — sono ancora in iter legislativo. La Commissione europea ha avviato procedure di infrazione contro 23 Stati membri a novembre 2024 e ha trasmesso pareri motivati a 19 di essi il 7 maggio 2025. Per le aziende che operano oltre frontiera ciò significa date di entrata in vigore diverse, autorità competenti diverse, canali di notifica degli incidenti diversi e quadri sanzionatori diversi — tutto per la stessa direttiva. Questo articolo mappa lo stato verificato in tutti i 27 Stati membri con fonti primarie, individua le trappole della conformità transfrontaliera e propone un quadro operativo concreto per muoversi in questo mosaico normativo.

Perché il divario di trasposizione è un problema di business, non una curiosità giuridica

NIS2 è una direttiva, non un regolamento. A differenza del GDPR — applicabile in modo identico in tutta l'Unione a partire da una data di efficacia unica — le direttive devono essere recepite nel diritto interno di ciascuno Stato membro prima di produrre effetti. Ogni Paese decide quale autorità ne cura l'applicazione, come gli incidenti vanno notificati in pratica e quali soggetti qualifica come "essenziali" o "importanti" oltre il minimo della direttiva (l'articolo 2, paragrafo 2, autorizza espressamente l'estensione dell'ambito).

In teoria il disegno è coerente: gli Stati conoscono meglio le proprie strutture amministrative. In pratica, genera complessità operativa per ogni impresa attiva in più di un Paese. Un fornitore di servizi IT con clienti in Germania, Italia e Polonia deve oggi coordinare l'osservanza di tre leggi di recepimento che derivano dalla stessa direttiva ma differiscono nel dettaglio procedurale. Una piattaforma SaaS con utenti in tutta l'UE deve sapere quale autorità nazionale allertare quando si verifica un incidente: ai sensi dell'articolo 26 la risposta dipende dal luogo del suo stabilimento principale, mentre gli stabilimenti secondari possono attivare obblighi paralleli.

Il termine di ottobre 2024 doveva imporre l'armonizzazione. Non c'è riuscito. A maggio 2026, cinque Stati membri hanno ancora progetti di legge in discussione e la Commissione europea ha emesso pareri motivati nei confronti di 19 Stati (la seconda fase della procedura di infrazione, immediatamente precedente al rinvio alla Corte di giustizia dell'Unione europea). La Bulgaria è stata deferita alla CGUE secondo le ricostruzioni della stampa di settore. Le imprese non possono leggere il ritardo come tolleranza: una volta adottata, in diversi Paesi la legge nazionale si applica con periodi transitori brevi o nulli.

Conseguenza pratica: conoscere il testo della direttiva non basta. Dovete conoscere la legge di recepimento DEL VOSTRO Paese e la legge di recepimento di ogni Paese in cui operate.

Stato verificato del recepimento per Stato membro (maggio 2026)

Il tracker che segue raccoglie, per ciascuno dei 27 Stati membri, l'atto di recepimento, la data di pubblicazione in gazzetta ufficiale, l'entrata in vigore e l'autorità competente designata. Ogni voce è verificata sulla gazzetta nazionale o sul sito ufficiale dell'autorità competente (cfr. Fonti in calce). È un quadro in movimento — verificate la posizione specifica prima di assumere decisioni di conformità.

Recepito e in vigore (19 Stati membri)

• Belgio — Loi/Wet del 26 aprile 2024 di recepimento di NIS2, pubblicata sul Moniteur belge / Belgisch Staatsblad il 17 maggio 2024; in vigore dal 18 ottobre 2024. Autorità competente: Centre for Cybersecurity Belgium (CCB). Il Belgio è stato il primo Paese ad attivare il portale di notifica e indica il framework CyFun® come via di conformità.
• Bulgaria — Закон за изменение и допълнение на Закона за киберсигурност, Държавен вестник n. 17 del 13 febbraio 2026; in vigore dal 13 febbraio 2026. Coordinatore: National Cybersecurity Coordinator. Prima dell'adozione la Bulgaria era stata deferita alla CGUE dalla Commissione a maggio 2025 secondo molteplici fonti di settore.
• Croazia — Zakon o kibernetičkoj sigurnosti, Narodne novine n. 14/2024 del 14 febbraio 2024; in vigore dal 15 febbraio 2024. Primo Stato membro a recepire, otto mesi prima del termine. Autorità competente: Nacionalni centar za kibernetičku sigurnost (NCSC-HR), in seno a SOA.
• Cipro — Network and Information Systems Security (Amendment) Law L. 60(I)/2025, pubblicata il 25 aprile 2025. Autorità competente: Digital Security Authority (DSA). Destinataria di un parere motivato della Commissione il 7 maggio 2025 (emesso prima che la notifica di pubblicazione fosse completa).
• Repubblica Ceca — Zákon č. 264/2025 Sb. o kybernetické bezpečnosti, Sbírka zákonů del 4 agosto 2025; in vigore dal 1° novembre 2025. Nuovo testo organico (non un emendamento alla previgente legge 181/2014). Autorità competente: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Notifica degli incidenti entro 24 ore; termine di registrazione fine dicembre 2025.
• Danimarca — Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (LOV n. 434 del 6 maggio 2025), Lovtidende 7 maggio 2025; in vigore dal 1° luglio 2025. Autorità competente: Center for Cybersikkerhed (CFCS) presso il Forsvarets Efterretningstjeneste, con autorità settoriali per ambiti specifici. Termine di registrazione 1° ottobre 2025 tramite Virk con MitID.
• Estonia — Küberturvalisuse seaduse ja teiste seaduste muutmise seadus, Riigi Teataja dicembre 2025; in vigore dal 1° gennaio 2026. Autorità competente: Riigi Infosüsteemi Amet (RIA). Ambito ampliato da circa 3.500 a una forbice fra 5.500 e 7.000 entità. Periodo transitorio triennale per la piena conformità.
• Finlandia — Kyberturvallisuuslaki (Säädöskokoelma 124/2025), adottata il 13 marzo 2025; in vigore dall'8 aprile 2025. Modello decentralizzato: autorità di vigilanza settoriali, con la Liikenne- ja viestintävirasto Traficom che ospita il Centro nazionale di cybersicurezza quale punto di contatto unico. Termine di registrazione 8 maggio 2025; modello operativo di gestione del rischio entro l'8 luglio 2025.
• Germania — NIS-2-Umsetzungsgesetz (NIS2UmsuCG), BGBl. 2025 I Nr. 301, pubblicata il 5 dicembre 2025; in vigore dal 6 dicembre 2025. Adozione del Bundestag il 13 novembre 2025; del Bundesrat il 21 novembre 2025. Autorità competente: Bundesamt für Sicherheit in der Informationstechnik (BSI). Circa 29.500 entità in 18 settori. Il ritardo di 14 mesi rispetto al termine è dovuto al collasso a fine 2024 della coalizione "Ampel".
• Grecia — Νόμος 5160/2024, ΦΕΚ A' 188 del 27 novembre 2024; in vigore dal 28 novembre 2024. Autorità competente: Εθνική Αρχή Κυβερνοασφάλειας (National Cybersecurity Authority — NCSA), istituita dalla legge 5086/2024 e vigilata dal Ministro della Governance digitale. Decisioni ministeriali attuative 1645/2025 e 1689/2025 emanate nel corso del 2025.
• Ungheria — 2024. évi LXIX. törvény Magyarország kiberbiztonságáról (legge LXIX del 2024 sulla cybersicurezza dell'Ungheria), Magyar Közlöny n. 130 del 20 dicembre 2024; in vigore dal 1° gennaio 2025. Abroga la legge XXIII del 2023. Autorità competente: Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH). Decreto governativo attuativo 418/2024.
• Italia — Decreto Legislativo 4 settembre 2024, n. 138, Gazzetta Ufficiale Serie Generale n. 230 del 1° ottobre 2024; in vigore dal 16 ottobre 2024. Autorità competente: Agenzia per la Cybersicurezza Nazionale (ACN), con autorità settoriali. L'Italia ha aggiunto settori in più rispetto al minimo della direttiva e gestisce la registrazione annuale a finestra mobile tramite la piattaforma ACN a partire dal 1° dicembre 2024.
• Lettonia — Nacionālās kiberdrošības likums (NKDL), Latvijas Vēstnesis giugno 2024; in vigore dal 1° settembre 2024. Autorità competente: Nacionālais kiberdrošības centrs (Centro nazionale di cybersicurezza) presso il Ministero della Difesa; CERT.LV gestisce la risposta agli incidenti. Registro di auto-identificazione entro il 1° aprile 2025; nomina del responsabile della cybersicurezza e prima autovalutazione entro il 1° ottobre 2025.
• Lituania — Kibernetinio saugumo įstatymas (modificata), Teisės aktų registras luglio 2024; in vigore dal 18 ottobre 2024. Autorità competente: Nacionalinis kibernetinio saugumo centras (NKSC) presso il Ministero della Difesa Nazionale. La regolamentazione governativa attuativa adottata il 6 novembre 2024 definisce i requisiti tecnici e organizzativi.
• Polonia — Ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, Dziennik Ustaw del 2 marzo 2026; in vigore dal 2 aprile 2026. Adozione Sejm 23 gennaio 2026; Senat 28 gennaio 2026; firma presidenziale 19 febbraio 2026. I CSIRT (CSIRT GOV, CSIRT MON, CSIRT NASK) operano sotto il Ministro per gli Affari digitali. Periodo di adattamento di 12 mesi sino al 2 aprile 2027.
• Romania — Ordonanța de Urgență 155/2024, Monitorul Oficial 1334 del 30 dicembre 2024; in vigore dal gennaio 2025. Approvata e modificata dalla legge 124/2025, in vigore dal 10 luglio 2025. Autorità competente: Directoratul Național de Securitate Cibernetică (DNSC). La Romania ha trasposto tramite ordinanza d'urgenza per fronteggiare la pressione del termine; il termine di registrazione di 30 giorni si è attivato a settembre 2025.
• Slovacchia — Zákon č. 366/2024 Z. z., Zbierka zákonov del 19 dicembre 2024; in vigore dal 1° gennaio 2025. Modifica la previgente legge 69/2018 sulla cybersicurezza anziché sostituirla. Autorità competente: Národný bezpečnostný úrad (NBÚ); SK-CERT cura la risposta agli incidenti. Circa 10.000 entità in ambito; registrazione JISKB entro il 1° marzo 2025; piena conformità entro il 31 dicembre 2026.
• Slovenia — Zakon o informacijski varnosti (ZInfV-1), Uradni list RS št. 40/25 del 4 giugno 2025; in vigore dal 19 giugno 2025. Lo stesso testo recepisce anche il Cyber Solidarity Act e il Cybersecurity Act (regolamento 2025/38). Autorità competente: Urad Vlade Republike Slovenije za informacijsko varnost (URSIV); SI-CERT cura la risposta agli incidenti. Destinataria di una procedura di infrazione della Commissione aperta a maggio 2025. Primo termine di auto-registrazione 19 dicembre 2025.
• Svezia — Cybersäkerhetslag (SFS 2025:1506), promulgata a dicembre 2025; in vigore dal 15 gennaio 2026. Abroga la previgente Information Security Act (2018:1174). Modello decentralizzato a guida settoriale: autorità di vigilanza settoriali (ad esempio PTS per le telecomunicazioni), con MSB (Myndigheten för samhällsskydd och beredskap) come coordinatore. L'ordinanza complementare designa gli organi di vigilanza.

Recepito ma con entrata in vigore differita

• Austria — Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), BGBl. I Nr. 94/2025 del 23 dicembre 2025; entrata in vigore 1° ottobre 2026 (vacatio legis di nove mesi). Autorità competente: Bundesministerium für Inneres (BMI). Contesto rilevante: un precedente disegno di legge "NISG 2024" è stato RESPINTO dal Consiglio nazionale il 3 luglio 2024; un nuovo governo di coalizione ha dovuto presentare il disegno al secondo tentativo, da cui il lungo ritardo.
• Portogallo — Decreto-Lei n.º 125/2025, Diário da República del 4 dicembre 2025; entrata in vigore 3 aprile 2026 (differimento di 120 giorni). Approva il nuovo Regime Jurídico da Cibersegurança. Autorità competente: Centro Nacional de Cibersegurança (CNCS). Periodo di adattamento di 12 mesi: nel primo anno le entità possono richiedere una sospensione temporanea delle sanzioni dimostrando lo sforzo di conformità in buona fede.

Recepito (atto pubblicato, decreto ministeriale di entrata in vigore pendente)

• Malta — Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order, 2025 — Subsidiary Legislation 460.41 (Legal Notice 71 of 2025), pubblicato l'8 aprile 2025. Autorità competente: Critical Infrastructure Protection (CIP) Department presso il Ministry for Home Affairs. Le disposizioni sostanziali divengono applicabili nelle date specificate dal Ministro tramite avvisi di entrata in vigore.

In iter legislativo (cinque Stati membri)

• Francia — Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (la cosiddetta "Loi Résilience"), che combina NIS2, la direttiva CER sulla resilienza delle entità critiche e DORA in un'unica legge di recepimento. Prima lettura al Senato a marzo 2025; voto della commissione speciale dell'Assemblea nazionale il 10 settembre 2025. Adozione finale ora attesa nella sessione straordinaria di luglio 2026; decreti attuativi ANSSI previsti per il secondo trimestre 2026. Autorità competente designata: Agence nationale de la sécurité des systèmes d'information (ANSSI). ANSSI ha pubblicato il Référentiel Cyber France (ReCyF) il 17 marzo 2026 come documento tecnico di riferimento preparatorio.
• Irlanda — National Cyber Security Bill 2024 (General Scheme pubblicato il 30 agosto 2024). Le elezioni politiche irlandesi del 2024 hanno interrotto il calendario legislativo; lo scrutinio prelegislativo è in corso. Destinataria di un parere motivato della Commissione il 7 maggio 2025. Autorità competente designata nel disegno: National Cyber Security Centre (NCSC), con regolatori settoriali fra cui ComReg.
• Lussemburgo — Projet de loi 8364, depositato presso la Chambre des Députés il 13 marzo 2024; parere supplementare del Conseil d'État di dicembre 2025. In attesa di adozione da parte della Camera a maggio 2026. Destinatario di un parere motivato della Commissione il 7 maggio 2025. Autorità competente designata nel disegno: Institut Luxembourgeois de Régulation (ILR).
• Paesi Bassi — Cyberbeveiligingswet (Cbw), Wetsvoorstel 36764. Adottata dalla Tweede Kamer il 15 aprile 2026; voto della Eerste Kamer pendente. Entrata in vigore prevista per il 1° luglio 2026. N.B.: la legge si chiama Cyberbeveiligingswet, NON "Wbni2" — sostituisce la Wbni esistente anziché proseguirne il nome. Il disegno parallelo Wet weerbaarheid kritieke entiteiten (Wwke) recepisce la direttiva CER. Autorità competente: Nationaal Cyber Security Centrum (NCSC), presso il Ministero della Giustizia e della Sicurezza, con regolatori settoriali.
• Spagna — Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Il Consiglio dei Ministri ha approvato la bozza il 14 gennaio 2025; in attesa di dibattito parlamentare alle Cortes Generales a maggio 2026. Destinataria di un parere motivato della Commissione il 7 maggio 2025; procedura di infrazione aperta a novembre 2024. Il disegno istituisce un nuovo Centro Nacional de Ciberseguridad (CNC) presso la Segreteria generale della Presidenza, mentre gli esistenti CCN-CERT, INCIBE-CERT ed ESPDEF-CERT mantengono i propri ruoli settoriali.

Massimali sanzionatori a confronto fra Stati membri

Quasi tutte le leggi di recepimento applicano testualmente i massimali minimi della direttiva: entità essenziali — 10.000.000 EUR o il 2% del fatturato annuo mondiale totale, a seconda di quale sia il maggiore; entità importanti — 7.000.000 EUR o l'1,4% del fatturato annuo mondiale totale, a seconda di quale sia il maggiore (NIS2, articolo 34, paragrafi 4 e 5). Le varianti nazionali sono limitate e di natura procedurale, non incidono sui massimali: l'Ungheria aggiunge una struttura amministrativa parallela di massimali compresa fra 50 e 350 milioni di HUF, e la Romania esprime i massimali sia in euro sia in percentuale. Quando uno Stato membro ha lasciato sopravvivere massimali settoriali storici della normativa pre-NIS2 (ad esempio nell'energia o nelle telecomunicazioni), questi tipicamente operano accanto ai massimali NIS2 e non li sostituiscono. Considerate i minimi della direttiva come ipotesi di base per la modellazione e verificate eventuali sovrapposizioni nazionali con i consulenti legali del Paese.

Attività di infrazione della Commissione UE

Il 28 novembre 2024 la Commissione ha trasmesso lettere di costituzione in mora a 23 Stati membri per omessa notifica completa del recepimento di NIS2 (tutti tranne Belgio, Croazia, Italia e Lituania). Il 7 maggio 2025 la Commissione è passata ai pareri motivati nei confronti di 19 Stati membri: Bulgaria, Cechia, Danimarca, Germania, Estonia, Irlanda, Spagna, Francia, Cipro, Lettonia, Lussemburgo, Ungheria, Paesi Bassi, Austria, Polonia, Portogallo, Slovenia, Finlandia e Svezia. La Bulgaria è stata deferita alla CGUE secondo le ricostruzioni della stampa di settore. Poiché gli Stati membri hanno continuato ad adottare le leggi di recepimento nel corso del 2025 e nei primi mesi del 2026, diversi pareri motivati sono stati di fatto superati dagli eventi; altri (in particolare per i cinque Paesi ancora pendenti) restano pienamente attivi.

Il campo minato della conformità transfrontaliera

Se la vostra organizzazione opera in più Stati membri dell'UE, ecco le trappole concrete che il mosaico attuale crea.

Trappola 1: a quale autorità competente notificare?

Ai sensi dell'articolo 23 NIS2, gli incidenti significativi attivano un'allerta precoce entro 24 ore, una notifica dell'incidente entro 72 ore e una relazione finale entro un mese. L'articolo 26 fissa le regole giurisdizionali: un'entità è generalmente soggetta alla giurisdizione dello Stato membro in cui è stabilita; per le entità che operano in più Stati membri, lo "stabilimento principale" è lo Stato membro in cui sono prevalentemente assunte le decisioni di gestione del rischio cibernetico. Quando tale luogo non può essere determinato o si trova al di fuori dell'Unione, la giurisdizione spetta allo Stato membro in cui sono svolte le operazioni di cybersicurezza e, in via residuale, allo Stato membro con il maggior numero di dipendenti. Le entità non UE che forniscono servizi in ambito devono designare un rappresentante ai sensi dell'articolo 26, paragrafo 3.

Implicazione operativa: se siete una società SaaS con sede in Germania e operazioni in Francia, Italia e Spagna, un'interruzione cloud paneuropea comporta la notifica al BSI quale autorità competente primaria. Se siano richieste notifiche secondarie ad ANSSI, ACN, INCIBE o a un regolatore settoriale dipende dalla struttura societaria, dalle disposizioni sui punti di contatto designate da ciascuna legge nazionale e da eventuali sovrastrutture settoriali. L'approccio più sicuro è predisporre, prima che si verifichi un incidente, una matrice degli obblighi di notifica per Paese.

Trappola 2: soglie di applicazione differenti

NIS2 fissa criteri minimi di ambito (entità medie e grandi nei settori elencati). L'articolo 2, paragrafo 2, autorizza espressamente gli Stati membri a estendere l'ambito, e diversi lo hanno fatto. L'Italia ha aggiunto settori in più rispetto al minimo della direttiva nel D.Lgs. 138/2024. Il NIS2UmsuCG tedesco copre circa 29.500 entità in 18 settori. L'Ungheria utilizza un livello aggiuntivo di "classi di sicurezza" (di base, significativa, alta) sopra alla distinzione fra essenziale e importante. L'estensione di ambito estone raddoppia approssimativamente la popolazione di entità regolate rispetto a NIS1.

Un'organizzazione potrebbe essere fuori ambito nel proprio Paese di origine ma rientrare in ambito per le operazioni in uno Stato membro confinante. Assumere "siamo troppo piccoli per NIS2" basandosi solo sul testo della direttiva è una trappola. Verificate sempre la legge nazionale separatamente.

Trappola 3: i massimali sanzionatori sono per lo più uniformi — ma il dettaglio procedurale differisce

Come anticipato, quasi tutti gli Stati membri hanno applicato testualmente i minimi della direttiva. La variazione sostanziale è procedurale anziché assoluta: differenze nel modo in cui le sanzioni sono calcolate sul fatturato, nei fattori che le autorità ponderano nel determinare il quantum, nella possibilità di cumulo delle penalità di mora giornaliere per inottemperanza a ordini vincolanti e nelle interazioni fra procedimento amministrativo sanzionatorio e responsabilità penale. Quando modellate l'investimento di conformità, usate i massimali della direttiva come pavimento e verificate i meccanismi aggravanti specifici di ciascun Paese con i consulenti legali nazionali.

Trappola 4: la responsabilità degli organi di gestione differisce

L'articolo 20, paragrafo 1, NIS2 impone che gli organi di gestione delle entità essenziali e importanti approvino le misure di gestione del rischio cibernetico, ne sorveglino l'attuazione e possano essere chiamati a rispondere delle violazioni. Gli Stati membri lo attuano in modo diverso. Il D.Lgs. 138/2024 italiano prevede espressamente che ACN possa irrogare, come sanzione amministrativa accessoria, una temporanea "incapacità a esercitare funzioni dirigenziali" nei confronti dei membri degli organi di gestione delle entità essenziali recidive. Il NIS2UmsuCG tedesco prevede la responsabilità personale di Geschäftsführer e Vorstand, includendo potenziali sanzioni personali e divieti temporanei di esercitare funzioni dirigenziali. Il Cyberbeveiligingswet olandese (come adottato dalla Tweede Kamer ad aprile 2026) progredisce dall'ordine correttivo alla sanzione fino all'interdizione dei dirigenti responsabili nei casi di grave inadempimento.

L'esposizione personale del vostro CEO o CISO dipende quindi in parte da dove ha sede la società iscritta e in parte dalla soglia di gravità che l'autorità nazionale applica. Mappate questo profilo presto; non scopritelo nel corso di un'azione sanzionatoria.

Trappola 5: canali di notifica e lingue

Ciascuna autorità nazionale gestisce un proprio portale di segnalazione degli incidenti: il Melde- und Informationsportal del BSI in Germania, la piattaforma MonEspaceNIS2 di ANSSI in Francia (a legge approvata), la piattaforma ACN in Italia, il sistema INCIBE-CERT in Spagna, NCSC.nl ed english.ncsc.nl nei Paesi Bassi. La maggior parte opera principalmente nella lingua nazionale dello Stato membro; il NCSC olandese è esplicito nel fornire un portale completamente bilingue olandese/inglese. Per gli altri Stati membri, salvo indicazione contraria nelle linee guida dell'autorità, va presunta la presentazione in lingua nazionale. Un incidente paneuropeo richiede quindi tipicamente notifiche multilingue nella stessa finestra di 24 ore. Modelli di notifica pretradotti e manuali operativi in lingua locale fanno guadagnare ore preziose durante un evento in corso.

Un quadro pratico per operare nel mosaico

Data questa complessità, cosa dovrebbe fare concretamente un'azienda transfrontaliera? Ecco un quadro in sette passi che funziona indipendentemente dal Paese di origine o dal settore.

Passo 1: mappate la vostra entità UE e la vostra impronta operativa

Iniziate con un inventario: dove siete iscritti, dove avete dipendenti, dove sono i vostri clienti, dove i vostri subfornitori? Per ogni Paese in cui avete presenza materiale dovete determinare se NIS2 si applica e quale regime nazionale governa la posizione. Non è un esercizio puramente legale — richiede l'apporto di CFO, CISO e direzione operativa. Molte organizzazioni scoprono con sorpresa che una struttura holding lussemburghese attiva gli obblighi NIS2 lussemburghesi anche se l'attività operativa risiede altrove.

Passo 2: individuate il vostro stabilimento principale ai sensi dell'articolo 26

Ai sensi dell'articolo 26 NIS2, per la maggior parte delle entità lo "stabilimento principale" è lo Stato membro UE in cui sono prevalentemente assunte le decisioni di gestione del rischio cibernetico. Spesso coincide con la sede ma può divergere — ad esempio se il SOC o la direzione della sicurezza informativa è in un altro Paese. Mettete per iscritto questa determinazione e fatela validare dal legale. Guida la relazione con l'autorità competente primaria e semplifica sostanzialmente la notifica degli incidenti.

Passo 3: costruite una matrice di conformità per Paese

Per ogni Stato membro in cui operate, costruite una matrice di conformità strutturata che catturi:

• Stato giuridico (recepito e in vigore / recepito con entrata in vigore differita / in iter legislativo)
• Nome dell'autorità competente e canali di contatto
• Termini di notifica (allerta precoce a 24 ore, notifica a 72 ore, relazione finale a un mese)
• Estensioni di ambito locali oltre i minimi della direttiva
• Massimali sanzionatori applicabili ed eventuali sovrapposizioni procedurali
• Meccanismi di responsabilità degli organi di gestione (sanzioni societarie, sanzioni personali, divieti di esercitare funzioni dirigenziali)
• Linee guida settoriali pubblicate dall'autorità nazionale

Questa matrice è la vostra sala di comando operativa. Quando si verifica un incidente, il team di risposta la apre e sa esattamente chi notificare, quando e come.

Passo 4: stabilite la gestione del rischio cibernetico al livello base della direttiva

L'articolo 21 NIS2 richiede misure "adeguate e proporzionate di natura tecnica, operativa e organizzativa" in dieci ambiti specifici: politiche di analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, sicurezza nell'acquisizione, sviluppo e manutenzione di sistemi di rete e informativi, valutazione dell'efficacia, formazione, crittografia, controllo degli accessi e autenticazione a più fattori. Costruire il programma base sul testo della direttiva — non sull'attuazione di un singolo Paese — è l'approccio più sicuro. Le leggi nazionali stratificano specificità ulteriori, ma il pavimento direttivo è uniforme.

Passo 5: prova di resistenza (stress-test) della capacità di notifica degli incidenti

L'obbligo di allerta precoce a 24 ore è il test operativo più stringente della vostra prontezza NIS2. La maggior parte delle organizzazioni sottovaluta la velocità con cui questo cronometro parte: inizia quando si viene a conoscenza dell'incidente significativo, non quando il team di risposta è pienamente mobilitato. Servono documenti preparatori, percorsi decisionali pre-autorizzati e un modello di notifica per ciascuno Stato membro in cui operate.

Organizzate un'esercitazione da tavolo. Simulate un incidente significativo nel vostro scenario multi-Paese più complesso e misurate il tempo che intercorre fino alla prima notifica. Se superate le 20 ore, avete un problema.

Passo 6: integrate la sicurezza della catena di fornitura

Una delle novità più impegnative di NIS2 rispetto a NIS1 è l'estensione formale ai fornitori. L'articolo 21, paragrafo 2, lettera d), richiede "la sicurezza della catena di approvvigionamento, compresi gli aspetti riguardanti la sicurezza nei rapporti tra ciascun soggetto e i suoi diretti fornitori o prestatori di servizi". Ciò significa: mappare i fornitori critici, integrare clausole di sicurezza nei contratti, condurre revisioni periodiche o accettare alternative come le certificazioni di terzi e mantenere procedure di escalation in caso di incidente del fornitore. Gli Stati membri e la politica di cybersicurezza a livello UE indirizzano sempre più le organizzazioni verso schemi UE di certificazione della cybersicurezza anziché verso questionari fornitore aperti; progettate il vostro programma fornitori per assorbire questa direzione di marcia.

Passo 7: monitorate procedure di infrazione e giurisprudenza emergente

Le procedure di infrazione della Commissione europea contro gli Stati membri in ritardo non sono una curiosità — segnalano dove la trasposizione sta per concretizzarsi e dove l'applicazione, una volta partita, si intensificherà. I Paesi sotto pressione tendono a recepire con periodi di grazia accorciati per dimostrare buona fede. Seguire queste procedure tramite i comunicati stampa della Commissione (e il feed quotidiano della Gazzetta ufficiale dell'UE su EUR-Lex per le leggi di recepimento di nuova pubblicazione) consente di anticipare dove le aspettative di conformità stanno per irrigidirsi. Tenete d'occhio la Corte di giustizia dell'Unione europea (CGUE) per eventuali rinvii pregiudiziali interpretativi delle disposizioni NIS2; le prime pronunce, una volta pubblicate, ridisegneranno il modo in cui i giudici nazionali interpreteranno l'applicazione coattiva.

Domande frequenti

Il mio Paese non ha ancora recepito NIS2. Posso rinviare la conformità?

No. Tre ragioni. Primo, i cinque Stati membri rimanenti sono sotto pressione di infrazione della Commissione (pareri motivati emessi il 7 maggio 2025) e diversi recepiranno con periodi transitori brevi. Secondo, se operate in un Paese che ha già recepito, quegli obblighi vi vincolano oggi per quella giurisdizione. Terzo, NIS2 rappresenta una base di igiene di cybersicurezza che il mercato — clienti, revisori, assicuratori — sta già trattando come prassi attesa. Rinviare per allinearsi al termine ufficiale del proprio Paese di origine è una falsa economia.

Sono una piccola società con meno di 50 dipendenti. Sono fuori ambito?

Probabilmente, ma verificate. La direttiva utilizza la definizione UE di PMI: le entità medie hanno 50 o più dipendenti oppure 10 milioni di euro o più di fatturato. Tuttavia le leggi nazionali possono ampliare l'ambito ai sensi dell'articolo 2, paragrafo 2, per settori specifici, e alcune includono espressamente entità più piccole per servizi critici (microreti energetiche, specifici fornitori di servizi cloud e gestiti, talune infrastrutture digitali). Verificate il recepimento del vostro Paese e quello di ogni Paese in cui avete operazioni materiali.

Qual è la cosa più importante che dovremmo fare in questo trimestre?

Designare il vostro stabilimento principale ai sensi dell'articolo 26 e documentare la motivazione. Sblocca il resto del programma di conformità: vi dice quale autorità nazionale è il vostro contatto primario, quale legge nazionale è il vostro testo di riferimento e dove si colloca l'esposizione del consiglio di amministrazione. Le organizzazioni che saltano questo passaggio finiscono per gestire programmi di conformità paralleli e duplicati in più giurisdizioni e mancano comunque i propri obblighi primari di notifica. Richiede due settimane se fatto bene e fa risparmiare trimestri di fatica.

Serve un DPO dedicato per NIS2 (come per il GDPR)?

No, NIS2 non richiede un Data Protection Officer. Richiede la responsabilità dell'organo di gestione ai sensi dell'articolo 20 e la formazione di tutto il personale sulla cybersicurezza. La maggior parte delle organizzazioni mature ha un CISO o un Responsabile della Sicurezza delle Informazioni che svolge il ruolo operativo equivalente. Ciò che conta è che la responsabilità sia formalmente attribuita, documentata e dotata di risorse — non il titolo specifico.

Quali sono le prime sanzioni NIS2 osservate?

A maggio 2026 nessuna sanzione amministrativa NIS2 di rilievo nei confronti di entità identificate è stata divulgata pubblicamente. L'azione sanzionatoria fino ad oggi si è collocata allo stadio degli avvisi di vigilanza. Il BSI in Germania ha iniziato a emettere ordini formali (Anordnungen) nel quarto trimestre 2025 — circa 47 notifiche — nei confronti di entità che non avevano completato la registrazione o designato un punto di contatto, dando priorità ai settori energia e infrastrutture digitali. ACN in Italia ha individuato una popolazione consistente di circa 2.000 entità che non avevano completato la registrazione annuale entro il termine del 28 febbraio 2026 e sta procedendo nei loro confronti tramite procedimento sanzionatorio. La Commissione ha emesso pareri motivati nei confronti di 19 Stati membri per omessa trasposizione completa, che è una forma di azione sanzionatoria separata (a livello statale). Le prime sanzioni pecuniarie materiali sono attese nel corso del 2026, e il modello emerso in questa prima fase da questi avvisi di vigilanza è coerente fra Paesi: le autorità non stanno ancora sanzionando misure di cybersicurezza imperfette, ma stanno sanzionando documentazione mancante e termini di registrazione disattesi.

Come restare aggiornati quando il quadro evolve così rapidamente?

Tre fonti da seguire con priorità: comunicati stampa della Commissione europea (per procedure di infrazione e atti di esecuzione), pubblicazioni ENISA (linee guida tecniche settoriali) e relazioni annuali dell'autorità nazionale (BSI, ANSSI, ACN, NCSC ed equivalenti). Evitate i riassunti delle società di consulenza che invecchiano in fretta — le cose si muovono troppo rapidamente. Abbonatevi direttamente ai feed RSS ufficiali. Per gli aggiornamenti normativi, il feed quotidiano della Gazzetta ufficiale UE su EUR-Lex è la fonte autorevole per le nuove leggi nazionali di recepimento — le vedete il giorno della pubblicazione, non quando un consulente ne scrive settimane dopo.

Come si combina NIS2 con il GDPR quando un incidente coinvolge dati personali?

Dovete notificare ai sensi di entrambi i regimi, ad autorità diverse e con termini diversi. L'articolo 33 GDPR richiede la notifica all'Autorità Garante per la Protezione dei Dati entro 72 ore. L'articolo 23 NIS2 richiede un'allerta precoce all'autorità competente per la cybersicurezza entro 24 ore. Sono obblighi distinti con autorità distinte e sanzioni distinte. Costruite il vostro runbook di gestione degli incidenti perché attivi entrambi i flussi in parallelo dal momento della presa di conoscenza.

La sintesi finale

NIS2 doveva armonizzare il diritto della cybersicurezza dell'UE. Nel 2026 ha armonizzato la base (misure dell'articolo 21, termini di notifica dell'articolo 23, massimali dell'articolo 34) ma ha frammentato il dettaglio procedurale. Per le aziende transfrontaliere, ciò significa che il programma di conformità deve essere nativo della direttiva ma adattato localmente — costruito sul testo NIS2 e configurato per ciascuno Stato membro in cui operate. Le organizzazioni che navigano meglio questo contesto sono quelle che hanno investito presto in una matrice Paese per Paese, hanno designato formalmente il proprio stabilimento principale e hanno costruito capacità di risposta agli incidenti in grado di rispettare la notifica a 24 ore in più giurisdizioni simultaneamente.

Il mosaico finirà per convergere man mano che i cinque Stati membri rimanenti adotteranno le rispettive leggi di recepimento e la Commissione emanerà gli atti di esecuzione. Fino ad allora, trattare NIS2 come un'unica obbligazione uniforme vi costerà — in sanzioni, in interruzione operativa e in esposizione a livello di consiglio. Trattarla come una rete di regimi nazionali interconnessi ancorati a una direttiva comune è più difficile, ma è l'unico modo per essere realmente conformi.

La valutazione Viktoria Compliance copre proprio questo mosaico Paese per Paese. Il nostro questionario adattivo confronta la struttura della vostra entità con lo stato di recepimento verificato di ciascuno Stato membro in cui operate e segnala gli obblighi specifici che vi vincolano oggi, non il testo della direttiva in astratto. Se non avete ancora fatto passare la vostra impronta dal nostro strumento, è il momento — l'azione sanzionatoria non sta arrivando, è già qui.

Fonti

Tutti i dati sul recepimento per Stato membro sono stati verificati a maggio 2026 sulle gazzette ufficiali nazionali, sulle pubblicazioni delle autorità competenti designate e sul tracker della Commissione europea sul recepimento di NIS2. Le disposizioni della direttiva NIS2 sono citate da EUR-Lex, direttiva (UE) 2022/2555.

• Direttiva (UE) 2022/2555 NIS2 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
• Tracker della Commissione europea sul recepimento NIS — https://digital-strategy.ec.europa.eu/en/policies/nis-transposition
• Austria — BGBl. I Nr. 94/2025 (NISG 2026): https://ris.bka.gv.at/eli/bgbl/I/2025/94/20251223
• Belgio — CCB NIS2: https://ccb.belgium.be/regulation/nis2
• Bulgaria — Analisi delle modifiche alla legge sulla cybersicurezza: https://cms.law/en/bgr/legal-updates/bulgaria-adopts-nis2-aligned-cybersecurity-law
• Croazia — Narodne novine 14/2024: https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html
• Cipro — Digital Security Authority: https://www.dsa.cy
• Repubblica Ceca — NÚKIB: https://www.nukib.gov.cz
• Danimarca — Lov nr. 434/2025: https://www.retsinformation.dk/eli/lta/2025/434
• Estonia — Portale RIA NIS2: https://nis2.ee/
• Finlandia — Annuncio Traficom sulla legge di cybersicurezza: https://traficom.fi/en/news/cybersecurity-act-passed-parliament-obligations-under-nis-2-directive-enter-force-8-april-2025
• Francia — ANSSI Direttiva NIS 2: https://cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/directives-nis-nis2-et-dispositif-saiv/directive-nis-2/
• Germania — BGBl. 2025 I Nr. 301: https://www.recht.bund.de/bgbl/1/2025/301/VO.html
• Grecia — National Cybersecurity Authority: https://www.ncsa.gov.gr
• Ungheria — SZTFH: https://sztfh.hu
• Irlanda — General Scheme National Cyber Security Bill 2024: https://www.gov.ie/en/department-of-justice-home-affairs-and-migration/publications/general-scheme-of-the-national-cyber-security-bill-2024/
• Italia — ACN Normativa: https://www.acn.gov.it/portale/en/nis/la-normativa
• Lettonia — Centro nazionale di cybersicurezza: https://www.cyber.gov.lv/lv/nis2
• Lituania — Legge sulla cybersicurezza: https://kam.lt/kibernetinio-saugumo-istatymas/
• Lussemburgo — Chambre des Députés Bill 8364: https://www.chd.lu/en/directive-NIS2-cybersecurite
• Malta — Analisi del Legal Notice 71 del 2025: https://gvzh.mt/insights/nis2-malta-cybersecurity-legal-notice-71-2025/
• Paesi Bassi — Eerste Kamer Cyberbeveiligingswet 36764: https://www.eerstekamer.nl/wetsvoorstel/36764_cyberbeveiligingswet
• Polonia — Modifica Sejm sulla cybersicurezza: https://www.gov.pl/web/cyfryzacja/sejm-uchwalil-nowelizacje-ustawy-o-krajowym-systemie-cyberbezpieczenstwa
• Portogallo — Decreto-Lei 125/2025: https://diariodarepublica.pt/dr/detalhe/decreto-lei/125-2025-962603401
• Romania — DNSC: https://www.dnsc.ro
• Slovacchia — NBÚ: https://www.nbu.gov.sk
• Slovenia — Uradni list ZInfV-1: https://www.uradni-list.si/glasilo-uradni-list-rs/vsebina/2025-01-1571
• Spagna — CCN NIS2: https://www.ccn.cni.es/es/normativa/directiva-nis2
• Svezia — SFS 2025:1506 Cybersäkerhetslag: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/cybersakerhetslag-20251506_sfs-2025-1506/
• NCSC Paesi Bassi — segnalazione incidenti: https://www.ncsc.nl/cyberincidenten-melden-bij-het-ncsc
• BSI Germania — segnalazione incidenti: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Anleitung-Meldung/Anleitung-Meldung_node.html
• ANSSI Francia — notifications réglementaires: https://cyber.gouv.fr/notifications-reglementaires
• INCIBE Spagna — FAQ NIS2: https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2