In vigore dal 17 ott 2024·Giorno 566·

Esecuzione nazionale6 mag. 20267 min

Decreto attuazione NIS2: dove stanno oggi i quattro mercati

Il decreto attuazione NIS2 in Italia c'è dal 2024. Francia, Germania e Spagna no. Ecco il quadro decisionale per i quattro mercati e il Regno Unito.

Decreto attuazione NIS2: dove stanno oggi i quattro mercatiEsecuzione nazionale

A diciotto mesi dalla scadenza, lo stato del decreto attuazione NIS2 nei quattro mercati coperti da questa redazione — Francia, Germania, Spagna, Italia — è abbastanza disomogeneo da costringere i consigli di amministrazione di quei paesi a operare in realtà operative radicalmente diverse. La direttiva è entrata in vigore il 16 gennaio 2023, con termine di recepimento nazionale fissato al 17 ottobre 2024 dall'articolo 41 della Direttiva (UE) 2022/2555. Uno dei quattro Stati ha completato il recepimento. Gli altri tre operano oggi su progetti di testo, misure conservative o normative ereditate dall'era NIS1.

L'articolo non propone una rassegna di leggi: imposta un quadro decisionale. Per ciascun mercato, tre coordinate: lo strumento di recepimento verificabile (o la sua assenza), l'autorità competente, e la domanda operativa che ne discende questo mese per un soggetto essenziale o importante con sede in quel paese. Il Regno Unito è incluso come mercato di riferimento — fuori UE, non più soggetto a NIS2, ma seguito qui perché i consigli britannici con controllate europee affrontano lo stesso calendario.

1. Italia — recepita, ACN al timone

L'Italia è l'unico dei quattro mercati il cui livello di esecuzione nazionale è chiuso. Il Decreto Legislativo 4 settembre 2024, n. 138Recepimento della direttiva (UE) 2022/2555 — è stato pubblicato sulla Gazzetta Ufficiale il 1° ottobre 2024 ed è entrato in vigore poco dopo. L'autorità competente è l'Agenzia per la Cybersicurezza Nazionale (ACN), che eredita i poteri di vigilanza e il meccanismo di registrazione previsti dall'articolo 3 della direttiva.

Il decreto impone una finestra di autoregistrazione — i soggetti avevano tempo fino al 28 febbraio 2025 per iscriversi presso l'ACN tramite il portale nazionale — e un calendario di attuazione graduale che distribuisce gli obblighi di governance, gestione del rischio e notifica degli incidenti su 2025 e 2026. L'ACN ha pubblicato linee guida settoriali e conduce già le prime attività ispettive, senza che a oggi sia stata notificata pubblicamente alcuna sanzione NIS2.

La domanda operativa per i consigli italiani a maggio 2026 non è più se gli obblighi si applichino, ma se l'iscrizione al registro NIS sia aggiornata e se la matrice di classificazione degli incidenti del soggetto sia allineata alle soglie del Regolamento di Esecuzione 2024/2690 dove applicabile. L'ACN ha indicato pubblicamente che le ispezioni campioneranno con priorità i soggetti la cui iscrizione appare statica o il cui primo ciclo di notifica si è rivelato incompleto.

2. Germania — non ancora adottata, BMI alla guida

La Germania non ha adottato la propria legge di recepimento NIS2. La pagina del Bundesamt für Sicherheit in der Informationstechnik (BSI) lo dice esplicitamente: «Ein nationales Gesetz zur Umsetzung der NIS-2-Richtlinie ist noch nicht verabschiedet.» Il ministero competente del fascicolo legislativo è il Bundesministerium des Innern und für Heimat (BMI); il titolo di lavoro del progetto è il NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Per i soggetti tedeschi, alcune disposizioni della direttiva producono effetto diretto — la Corte di giustizia ricava regolarmente questa conseguenza per articoli chiari e incondizionati una volta scaduto il termine di recepimento — ma l'architettura di vigilanza, lo schema sanzionatorio e il meccanismo di registrazione restano sospesi finché la legge federale non sarà votata. Il BSI agisce de facto come autorità competente in cybersecurity, ma i suoi poteri esecutivi ai sensi dell'articolo 32 non sono ancora codificati al livello di NIS2.

La domanda operativa per il consiglio tedesco a maggio 2026 è cosa mettere per iscritto da subito. La posizione difendibile consiste nel rispecchiare direttamente i requisiti della direttiva — doveri di governance dell'articolo 20, misure dell'articolo 21, cadenza di notifica dell'articolo 23 — partendo dall'ipotesi che il NIS2UmsuCG, una volta approvato, non li abbasserà. Non è una posizione comoda per la direzione legale; in materia di responsabilità personale, è quella prudente.

I consigli in Germania e Spagna operano sul solo testo della direttiva — l'autorità nazionale di vigilanza esiste, lo schema sanzionatorio nazionale ancora no.

3. Francia — projet de loi Résilience, il ReCyF dell'ANSSI come ponte

La Francia non ha promulgato la legge di recepimento. Secondo l'Agence nationale de la sécurité des systèmes d'information (ANSSI), il veicolo è il projet de loi Résilience, con ancoraggio operativo all'articolo 14. Alla data della presente pubblicazione il progetto non ha completato il percorso parlamentare; il sito ANSSI parla di un projet, non di una loi.

Per coprire l'intervallo, ANSSI ha pubblicato nel 2026 il Référentiel Cyber France (ReCyF) — un quadro di riferimento non obbligatorio che elenca le misure di sicurezza che ANSSI accetterà come prova di conformità ai requisiti sostanziali di NIS2 una volta che la legge sarà votata. I soggetti che adottano il ReCyF potranno invocarlo come gage de conformité in caso di ispezione successiva. ANSSI è l'autorità competente designata, supportata dai CSIRT settoriali.

La domanda operativa per i consigli francesi a maggio 2026 è se allinearsi già al ReCyF, accettando che alcuni dettagli possano spostarsi alla promulgazione, oppure attendere. La maggior parte dei grandi soggetti ha cominciato — il doppio ruolo di ANSSI come scrittrice della regola e come autorità di vigilanza rende l'allineamento anticipato, in pratica, il percorso a minor rischio.

4. Spagna — recepimento in attesa, INCIBE-CERT come ancoraggio operativo

La Spagna non ha ancora trasposto NIS2. L'Instituto Nacional de Ciberseguridad (INCIBE) è esplicito sulla propria FAQ pubblica: alla domanda di quale entità sarà l'autorità competente spagnola incaricata di gestire le liste dei soggetti essenziali e importanti, la risposta è «Para responder a esta pregunta es necesario esperar a la trasposición de la directiva.» Il quadro nazionale in vigore resta il Real Decreto-ley 12/2018 e il suo regolamento di attuazione, il Real Decreto 43/2021 — la trasposizione di NIS1, non di NIS2.

INCIBE-CERT continua a operare come CSIRT operativo per il settore privato e resta il punto di contatto pratico per le notifiche di incidente. Il Centro Criptológico Nacional (CCN-CERT) copre il settore pubblico. La scelta architettonica fra una singola autorità competente o una ripartizione settoriale — e l'eventuale ruolo di coordinamento del Departamento de Seguridad Nacional — sarà definita dal testo di recepimento quando sarà pubblicato sul Boletín Oficial del Estado.

La domanda operativa per i consigli spagnoli a maggio 2026 rispecchia quella tedesca. Applicare oggi gli obblighi sostanziali della direttiva, inclusa la cadenza 24h–72h–1 mese verso INCIBE-CERT, e accettare che il regime sanzionatorio formale arriverà più tardi. Una non conformità sotto soglia oggi è invisibile al regolatore; non è invisibile a un futuro vigilante che leggerà a ritroso un registro dei rischi del 2026.

5. Regno Unito — fuori dall'ambito, ma il calendario conta

Il Regno Unito non è soggetto a NIS2. Il quadro britannico resta le Network and Information Systems Regulations 2018, con il National Cyber Security Centre (NCSC) come autorità tecnica e le autorità settoriali competenti (Ofcom, ICO, Ofgem e altre) in vigilanza. Nel settembre 2024 il governo britannico ha annunciato il Cyber Security and Resilience Bill, che propone di ampliare le NIS Regs in una direzione che segue parzialmente NIS2 — più settori, notifica rafforzata, esecuzione più affilata.

Per i consigli di gruppi britannici con controllate UE o servizi consumati in UE, gli obblighi NIS2 si applicano attraverso quegli stabilimenti europei ai sensi dell'articolo 26 della direttiva — cioè attraverso le entità italiane, tedesche, francesi o spagnole del gruppo, sul calendario di ciascuna delle quattro giurisdizioni. È vero anche il contrario: un gruppo europeo con controllata britannica segue le NIS Regs 2018 e, a breve, il Cyber Security and Resilience Bill.

La domanda operativa per il mercato di riferimento britannico riguarda gli acquisti e la rendicontazione di gruppo. Un unico playbook di notifica che soddisfi la cadenza 24/72h di NIS2 soddisferà, nella maggior parte dei casi, anche l'obbligo a 72h delle NIS Regs 2018 — ma le definizioni di soglia differiscono, e la matrice di incidente del consiglio dovrebbe riconciliare entrambe in modo esplicito.

Com'è quando è ben fatto

Tre artefatti tornano costantemente nelle prassi di vigilanza di ACN, ANSSI, BSI e INCIBE. Nessuno richiede di attendere il testo nazionale mancante:

  1. Una mappa giurisdizionale firmata dal consiglio — un documento di una pagina, datato negli ultimi dodici mesi, che elenca ogni stabilimento in perimetro, l'autorità competente di riferimento, lo stato di registrazione presso quell'autorità (Italia: registrato; DE/ES: in attesa; FR: pre-registrazione tramite il portale ANSSI dove applicabile) e la base giuridica che il consiglio considera oggi vincolante.
  2. Una nota di effetto diretto della direzione legale — un memorandum breve sulle misure di gestione del rischio dell'articolo 21 e sulla cadenza di notifica dell'articolo 23 che il consiglio applica già, partendo dall'assunto che le future leggi tedesca e spagnola non li abbasseranno. La nota richiama le cinque responsabilità non delegabili dell'articolo 20 ed è rivista alla pubblicazione di ogni legge nazionale.
  3. Un registro delle evoluzioni regolatorie — un file condiviso che annota per data ogni dichiarazione pubblica di ACN, ANSSI, BSI e INCIBE che incida su perimetro, notifica o sanzioni. Esaminato dal comitato per il controllo interno a ogni riunione trimestrale. Una postura di compliance statica si disallinea velocemente in giurisdizioni che stanno ancora scrivendo.

Il lavoro dei prossimi sei mesi, per i soggetti che operano in questi quattro mercati, è tenere il quadro coerente a livello di gruppo e adattare la relazione locale con ciascun vigilante allo stato reale della sua legge. La direttiva è il pavimento; la legge nazionale, quando arriva, è il soffitto operativo.

Fonti

  1. Direttiva (UE) 2022/2555, articolo 41 (termine di recepimento 17 ottobre 2024) e articolo 26 (giurisdizione).
  2. Regolamento di Esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024.
  3. Italia — Decreto Legislativo 4 settembre 2024, n. 138, Recepimento della direttiva (UE) 2022/2555, Gazzetta Ufficiale. Pagina dell'autorità competente: Agenzia per la Cybersicurezza Nazionale (ACN).
  4. GermaniaBSI, NIS-2-Richtlinie: legge nazionale di recepimento NIS-2 non ancora adottata alla data di consultazione. Ministero responsabile: BMI.
  5. FranciaANSSI, Directive NIS 2: veicolo di recepimento = projet de loi Résilience, articolo 14; non promulgata. Référentiel Cyber France (ReCyF) pubblicato nel 2026 come quadro ponte.
  6. SpagnaINCIBE, FAQ NIS2: recepimento NIS2 in attesa; quadro vigente = Real Decreto-ley 12/2018 e Real Decreto 43/2021.
  7. Regno UnitoGOV.UK, Cyber Security and Resilience Bill: progetto di legge annunciato a settembre 2024; norma vigente = Network and Information Systems Regulations 2018.

Altri articoli

Incidente significativo NIS2: l’albero decisionale per la reperibilità delle 3 di notteGestione incidenti

Incidente significativo NIS2: l’albero decisionale per la reperibilità delle 3 di notte

6 mag. 2026·Leggere · 7 min
Articolo 20 NIS2: 5 responsabilità del consiglio che gli amministratori non possono delegareGovernance

Articolo 20 NIS2: 5 responsabilità del consiglio che gli amministratori non possono delegare

18 apr. 2025·Leggere · 10 min
Notifica di incidente NIS2: la guida pratica delle 72 oreGestione incidenti

Notifica di incidente NIS2: la guida pratica delle 72 ore

11 apr. 2025·Leggere · 9 min