Guida NIS2 · 6 min
Stato di recepimento di NIS2: in quali Paesi UE è in vigore
NIS2 è una direttiva UE: ogni Stato membro deve recepirla nella propria legge nazionale prima che abbia effetto. La scadenza di recepimento era il 17 ottobre 2024. È passata mentre la maggior parte dei Paesi era ancora in fase di stesura, e da allora hanno recuperato a ritmi molto diversi. Questa pagina segue la situazione di ciascuno dei 27 Stati membri e perché i divari ti riguardano anche se il tuo Paese è in ritardo.
Punti chiave
- • NIS2 doveva essere in legge nazionale entro il 17 ottobre 2024; molti Stati membri non l'hanno rispettata.
- • L'obbligo ti raggiunge tramite i tuoi clienti, non solo tramite la legge del tuo Paese.
- • Lo stato cambia di continuo: conferma sempre con le fonti ufficiali UE e nazionali.
A che punto sono i 27 Stati membri
20 su 27
legge nazionale in vigore
7 su 27
recepimento in corso
Perché il mosaico ti raggiunge comunque
È allettante rilassarsi se il proprio Paese non ha finito la legge. È una lettura sbagliata. L'obbligo sulla catena di fornitura di NIS2 (articolo 21, paragrafo 2, lettera d) si trasferisce per contratto: se anche solo uno dei tuoi clienti è stabilito in uno Stato membro dove la legge è già in vigore, quel cliente deve valutare e continuare a valutare la tua sicurezza, ovunque tu sia. In pratica i Paesi che recepiscono per primi dettano il ritmo a tutti coloro che vendono presso di loro.
Stato per Paese
Ogni Paese rimanda alla propria pagina: autorità competente, CSIRT nazionale, legge nazionale e date chiave.
In vigore (20)
In corso (7)
Come lo teniamo aggiornato
Il recepimento nazionale è un bersaglio mobile. Verifichiamo ogni Paese con l'autorità nazionale ufficiale e il tracker di recepimento della Commissione europea, e datiamo ogni voce così vedi quanto è recente. Per il dettaglio per Paese in tempo reale, usa le pagine dei Paesi qui sopra o direttamente il tracker della Commissione.
Tracker di recepimento della Commissione europeaGuarda un monitoraggio fornitori di livello NIS2
Un report fornitore di esempio (rilievi, mappatura NIS2 ed evidenze) in due minuti.
7 giorni gratuiti · senza carta di credito · disdici quando vuoi
Guide correlate
Come conformarsi a NIS2: una roadmap passo dopo passo
I passi verso la conformità NIS2 in ordine: confermare l'ambito, registrarsi, responsabilità della dirigenza (art. 20), le misure dell'art. 21(2), sicurezza della supply chain, notifica degli incidenti (art. 23) e garanzia continua e dimostrata.
Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali
Stabilite se NIS2 vi riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain vi coinvolge anche senza designazione.
NIS2 per i fornitori: non siete designati, ma i vostri clienti sì
La maggior parte delle aziende non viene mai designata ai sensi di NIS2, ma molte devono comunque conformarsi. Come l'obbligo sulla catena di approvvigionamento di un cliente soggetto (articolo 21, paragrafo 2, lettera d) ricade su di voi, cosa chiederà e come rispondere in modo credibile.
NIS2 e il requisito della supply chain: cosa significa nella pratica
NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.
Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato
Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.
NIS2 Art. 21(2): checklist di sicurezza per fornitori
Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.
Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito
Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.
Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate
Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il vostro obbligo.
NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici
Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.
ISO 27001 e NIS2: cosa copre già il vostro SGSI, e le lacune che restano
Se avete la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.
Sanzioni e multe NIS2: quanto, chi è responsabile e come evitarle
Cosa sono le sanzioni NIS2: i massimali dell'articolo 34 (10 M€ / 2 % per i soggetti essenziali, 7 M€ / 1,4 % per quelli importanti), la responsabilità personale della dirigenza (art. 20, art. 32), le misure non pecuniarie e come evitarle.
NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te
In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.
GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi
In cosa differiscono e si sovrappongono GDPR e NIS2, quando un incidente attiva entrambi (GDPR art. 33 72 h all'autorità di controllo vs NIS2 art. 23 24 h/72 h/un mese al CSIRT), la cooperazione dell'art. 35 e il divieto di doppia sanzione, e cosa significano entrambi per la due diligence sui fornitori.
Il Cyber Resilience Act dell'UE (CRA): ambito, calendario e cosa significa per la vostra supply chain
Cosa richiede il CRA, le sue date scaglionate (in vigore 2024, notifica set 2026, piena conformità dic 2027), chi rientra nell'ambito e perché il SaaS puro spesso no, come integra NIS2 e cosa significa per gli acquisti e la due diligence sui fornitori.
Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)
Cosa richiede il regolamento UE sull'IA: i livelli di rischio, le date scaglionate (in vigore 2024, vietato feb 2025, GPAI ago 2025, alto rischio ago 2026), gli obblighi del deployer dell'art. 26, come si combina con NIS2 e il GDPR, e cosa significa per l'acquisto di IA.
Clausole contrattuali per i fornitori NIS2: cosa pretendere dai tuoi fornitori
Le clausole che rendono azionabile l'obbligo sulla catena di fornitura di NIS2: base di sicurezza, finestra di notifica, diritti di prova e audit, trasferimento ai subappaltatori e verifica continua.
Ultima revisione: 19 giugno 2026
Questa guida fornisce informazioni generali sul diritto dell'UE, non consulenza legale. NIS2 entra in vigore tramite la legge di recepimento nazionale di ciascuno Stato membro dell'UE, che può differire nei dettagli. Verifica gli obblighi che ti riguardano con la tua autorità competente o un consulente legale.