Attuazione di NIS2 in Europa
La scadenza per il recepimento era il 17 ottobre 2024. All'inizio del 2026, la maggior parte degli Stati membri dell'UE non l'aveva rispettata, avviando procedure di infrazione e creando un quadro di conformità frammentato in tutta Europa.
Ultimo aggiornamento: 17. Juni 2026
20
Operativo
1
Pre-registrazione
4
Pianificato
2
Non ancora disponibile
| Paese | Autorità competente | Portale di registrazione | Scadenza di registrazione | Legge nazionale |
|---|---|---|---|---|
| Germania | BSI (Bundesamt für Sicherheit in der Informationstechnik) | BSI NIS-2 Portal | 2026-03-06 | NIS2UmsuCG / BSIG |
| Belgio | CCB (Centre for Cybersecurity Belgium) | Safeonweb@Work | 2025-03-18 | NIS2 Law (Loi NIS2) |
| Italia | ACN (Agenzia per la Cybersicurezza Nazionale) | ACN NIS Portal | 2026-02-28 | D.Lgs. 138/2024 |
| Repubblica Ceca | NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) | Portál NUKIB | 2025-12-31 | Zákon č. 264/2025 Sb. o kybernetické bezpečnosti |
| Danimarca | SAMSIK (Styrelsen for Samfundssikkerhed) | Virk | 2025-10-01 | LOV nr 434 af 06/05/2025 (NIS 2-loven) |
| Polonia | Ministry of Digital Affairs / CSIRTs | System S46 | 2026-10-03 | Amended KSC Act (ustawa o KSC) |
| Svezia | MCF (Myndigheten foer civilt foersvar, vormals MSB) + CERT-SE | Non ancora disponibile | Da definire | Cybersaekerhetslagen (SFS 2025:1506) |
| Croazia | NHCSC-HR (National Cybersecurity Center) | Non ancora disponibile | Da definire | Zakon o kibernetičkoj sigurnosti |
| Lituania | NKSC (National Cybersecurity Center) | Non ancora disponibile | Da definire | Kibernetinio saugumo įstatymas |
| Lettonia | CERT.LV / NCSC | Non ancora disponibile | 2025-04-01 | Kiberdrošības likums |
| Grecia | NCSA (National Cyber Security Authority) | Non ancora disponibile | 2025-09-30 | Law No. 5160/2024 |
| Slovacchia | NBÚ (Národný bezpečnostný úrad) | Non ancora disponibile | Da definire | Zákon o kybernetickej bezpečnosti |
| Romania | DNSC (Directoratul Național de Securitate Cibernetică) | Non ancora disponibile | 2025-09-19 | Emergency Ordinance No. 155/2024; Laws No. 52/2025 & No. 124/2025 |
| Finlandia | Traficom + sector authorities (NCSC-FI as national CSIRT) | Non ancora disponibile | 2025-05-08 | Kyberturvallisuuslaki (124/2025) |
| Estonia | RIA (Riigi Infosüsteemi Amet) | Non ancora disponibile | Da definire | Küberturvalisuse seadus |
| Portogallo | CNCS (Centro Nacional de Cibersegurança) + CERT.PT | MyCiber | Da definire | Decreto-Lei n.º 125/2025 |
| Ungheria | SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) | Non ancora disponibile | Da definire | Act XXIII of 2024 |
| Cipro | DSA (Digital Security Authority) | NIS2 Self-Assessment Tool | Da definire | Law on Security of Networks and Information Systems (Amendment) 2025 |
| Lussemburgo | ILR (Institut Luxembourgeois de Régulation) | ILR Guichet (NISS_EE231) | 2026-07-10 | Loi du 5 mai 2026 relative à des mesures visant à assurer un niveau élevé de cybersécurité |
| Slovenia | URSIV (Information Security Agency) | Non ancora disponibile | 2025-12-19 | ZInfV-1 (Information Security Act) |
| Paese | Autorità competente | Portale di registrazione | Scadenza di registrazione | Legge nazionale |
|---|---|---|---|---|
| Francia | ANSSI (Agence nationale de la sécurité des systèmes d'information) | MonEspaceNIS2 | Da definire | Loi Résilience (bundles NIS2 + DORA + CER) |
| Paese | Autorità competente | Portale di registrazione | Scadenza di registrazione | Legge nazionale |
|---|---|---|---|---|
| Austria | Bundesamt für Cybersicherheit | Unternehmensserviceportal (USP) | 2026-12-31 | NISG 2026 |
| Paesi Bassi | NCSC-NL (since 1 Jan 2026 merged with DTC and CSIRT-DSP into "versterkt NCSC", SPOC + national CSIRT) + RDI (Rijksinspectie Digitale Infrastructuur, horizontal supervisor) | MijnNCSC / Entiteitenregister | Da definire | Cyberbeveiligingswet (Cbw, wetsvoorstel 36.764) |
| Bulgaria | State e-Governance Agency / Ministry of e-Government | Non ancora disponibile | Da definire | Cybersecurity Act (amended) |
| Malta | CIPD (Critical Infrastructure Protection Department) | Non ancora disponibile | Da definire | Legal Notice 71/2025, amended by Legal Notice 89/2026 (S.L. 460.41) |
| Paese | Autorità competente | Portale di registrazione | Scadenza di registrazione | Legge nazionale |
|---|---|---|---|---|
| Spagna | CCN-CERT / INCIBE | Non ancora disponibile | Da definire | Non ancora promulgata |
| Irlanda | NCSC (National Cyber Security Centre) | Non ancora disponibile | Da definire | National Cyber Security Bill (draft) |
Vendere in un paese non è la stessa cosa che operare in un paese
Molte aziende vendono i loro prodotti o servizi in tutta l'UE tramite un'unica entità giuridica registrata in un paese. In quel caso, la registrazione presso l'autorità del tuo paese d'origine è sufficiente, non sei "stabilito" in ogni paese in cui vendi.
Tuttavia, se la tua azienda è pienamente operativa in un paese, ovvero hai una presenza giuridica registrata, dipendenti sul posto e paghi l'imposta sulle società lì, allora la legge NIS2 di quel paese si applica a te come entità stabilita in quella giurisdizione.
L'Articolo 26 di NIS2 crea un'importante eccezione per specifici tipi di servizi digitali: fornitori di cloud computing, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di data center, reti di distribuzione dei contenuti, fornitori di servizi DNS, mercati online, motori di ricerca online e piattaforme di social network. Questi soggetti si registrano in un unico Stato membro dell'UE, quello in cui sono prese prevalentemente le decisioni di gestione del rischio di cybersicurezza. Se gestisci uno di questi servizi, non devi registrarti in ogni paese in cui sei stabilito. Tutti gli altri tipi di soggetti (produttori, aziende alimentari, fornitori di energia, operatori di trasporto, ospedali, ecc.) rientrano nella regola standard e devono registrarsi in ogni paese in cui hanno uno stabilimento giuridico.
Domande frequenti
Ho un ufficio vendite in Germania ma la mia sede principale è in Francia, mi registro presso il BSI?▾
Dipende da come è strutturato l'ufficio vendite tedesco. Se è una GmbH o una Zweigniederlassung (succursale) registrata che presenta la propria dichiarazione dei redditi in Germania, probabilmente devi registrarti presso il BSI in aggiunta all'ANSSI in Francia. Se è semplicemente un centro di costo della casa madre francese senza uno status giuridico separato in Germania, la sola registrazione francese può essere sufficiente. Consulta un avvocato esperto di NIS2 in entrambe le giurisdizioni.
Devo conformarmi a requisiti di sicurezza diversi in ciascun paese?▾
NIS2 stabilisce una base armonizzata, ma la trasposizione di ciascun paese può aggiungere requisiti settoriali più rigorosi. Nella pratica, implementare la base NIS2, gestione del rischio, segnalazione degli incidenti, controllo degli accessi, sicurezza della catena di approvvigionamento, soddisferà i requisiti nella maggior parte dei paesi dell'UE. Verifica il diritto nazionale di ciascun paese per eventuali obblighi aggiuntivi.
E se un paese non ha ancora terminato di trasporre NIS2?▾
Alcuni paesi dell'UE sono stati in ritardo nel trasporre la direttiva (il termine era ottobre 2024). Finché il diritto nazionale non è in vigore, la registrazione potrebbe non essere ancora possibile. Monitora il sito web dell'autorità nazionale competente e registrati non appena il processo si apre. Il ritardo nella trasposizione da parte del governo non riduce il tuo eventuale obbligo di legge.
Posso registrarmi una volta sola a livello UE e coprire tutti i paesi?▾
No. Non esiste un unico registro NIS2 a livello UE. Ciascun paese gestisce il proprio sistema di registrazione. Questa è una delle complessità note dell'attuazione decentralizzata della direttiva e crea un significativo sovraccarico di conformità per le aziende paneuropee.
- Direttiva (UE) 2022/2555: direttiva NIS2, Gazzetta ufficiale dell'Unione europea (27 dicembre 2022)
- Commissione europea: tracker di recepimento NIS2 e aggiornamenti sulle procedure di infrazione (2024-2025)
- Wavestone: NIS2 Transposition Radar, stato di attuazione Paese per Paese (2025)
- NIS2UmsuCG: Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit (Germania)
- Loi NIS2: legge di recepimento NIS2 del Belgio (aprile 2024)
- D.Lgs. 138/2024: decreto di recepimento NIS2 dell'Italia
- ENISA: panoramica sull'attuazione di NIS2 e orientamenti sul coordinamento transfrontaliero (2025)
- BMI/BSI: documentazione parlamentare e orientamenti sull'attuazione del NIS2UmsuCG