NIS2 en Italia

1. Resumen rápido de aplicabilidad para pymes en Italia

¿Se aplica NIS2 a las pymes en 1. Resumen rápido de aplicabilidad para pymes en Italia?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a entidades establecidas en Italia y, en determinados casos, a proveedores digitales extranjeros que prestan servicios al mercado italiano.

Las pymes deben evaluar su calificación en el marco nacional de ciberseguridad de Italia en función de la clasificación sectorial y los umbrales legales.

2. Panorama de la implementación de NIS2 en Italia

Italia ha completado la transposición de NIS2 mediante el Decreto Legislativo n.º 138/2024 (4 de septiembre de 2024), publicado en la Gazzetta Ufficiale el 1 de octubre de 2024 y en vigor desde el 16 de octubre de 2024. El decreto sustituye al régimen NIS1 anterior como un marco autónomo e integral de ciberseguridad.

Italia ha ampliado el ámbito de aplicación más allá del mínimo de la Directiva mediante los Anexos III y IV nacionales, que abarcan entidades adicionales como organismos del gobierno central, operadores de transporte público local y entidades de interés cultural. Una cláusula de salvaguardia (DPCM 221/2024, en vigor desde el 11 de febrero de 2025) permite que las filiales de grupo independientes en TIC soliciten un tratamiento adaptado. El decreto adopta además la terminología más amplia de «órganos de gobierno y de gestión» para clarificar las responsabilidades.

El cumplimiento se basa en el Marco Nacional de Ciberseguridad y Protección de Datos de la ACN (actualización de 2025, alineado con NIST CSF 2.0). Las medidas técnicas mínimas debían adoptarse antes de abril de 2025 y las medidas a largo plazo antes de abril de 2026, siendo obligatorio el cumplimiento pleno de las medidas de seguridad antes del 1 de octubre de 2026.

3. Ámbito de aplicación en Italia

Italia supera el ámbito mínimo de la Directiva mediante los Anexos III y IV nacionales, que incorporan sectores adicionales como la administración central, el transporte público local y las entidades de interés cultural. También se incluyen las empresas vinculadas que cumplan los criterios pertinentes.

4. Umbrales de tamaño y aplicabilidad a las pymes en Italia

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente incluidas en el ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades italianas conservan facultades formales de designación cuando el riesgo sistémico justifique la inclusión.

5. Marco de clasificación de entidades en Italia

Las entidades se clasifican en:

• Entidades Esenciales — Sometidas a supervisión proactiva, incluidas inspecciones y seguimiento estructurado del cumplimiento.
• Entidades Importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifique una supervisión reforzada.

Italia sigue el modelo de supervisión de dos niveles de la Directiva dentro de su marco nacional de seguridad establecido.

6. Requisitos de gestión del riesgo de ciberseguridad en Italia

El régimen nacional de Italia se alinea con la línea de base de la Directiva para la gestión del riesgo de ciberseguridad. Las entidades incluidas en el ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad del negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Italia
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. El Marco Nacional de Ciberseguridad y Protección de Datos de Italia (alineado con NIST CSF 2.0) y la resolución de aplicación de la ACN de abril de 2025 definen las medidas mínimas de seguridad, aplicándose el Anexo 1 a las entidades importantes y el Anexo 2 a las entidades esenciales. También se acepta ISO/IEC 27001. El cumplimiento pleno de las medidas de seguridad es obligatorio antes del 1 de octubre de 2026.

La supervisión de la cadena de suministro incluye la diligencia debida de los proveedores y salvaguardias contractuales de ciberseguridad. Las entidades deben identificar anualmente a sus proveedores NIS relevantes a través de la plataforma de la ACN.

7. Responsabilidad de la dirección y gobernanza en Italia

Los órganos de gestión deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

En el marco normativo de Italia:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar una competencia suficiente en ciberseguridad.
• Las sanciones administrativas pueden aplicarse ante deficiencias de gobernanza.
• La suspensión temporal de funciones directivas puede estar prevista en los mecanismos de ejecución alineados con la Directiva.

Las expectativas de responsabilidad de la dirección bajo NIS2 en Italia elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Italia

9. Autoridades de supervisión y modelo de ejecución en Italia

Autoridad principal: National Cybersecurity Agency (ACN).

Italia opera un modelo de supervisión centralizado coordinado por la ACN, con autoridades sectoriales involucradas cuando es necesario.

Las facultades de supervisión incluyen:

• Solicitudes de información y documentación
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de ejecución se alinea con los requisitos de cooperación a nivel de la Directiva.

10. Multas y sanciones NIS2 en Italia

Italia aplica sanciones administrativas alineadas con la Directiva.

Las medidas de ejecución de NIS2 en Italia también pueden incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de las entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades para suspender a directivos

La responsabilidad penal se aplica solo cuando esté expresamente prevista por la legislación italiana.

11. Seguridad de la cadena de suministro y de proveedores según NIS2 en Italia

Las entidades deben gestionar la exposición al riesgo de ciberseguridad de terceros mediante:

• Evaluaciones de riesgo de proveedores
• Cláusulas contractuales de seguridad con obligación de traslado a la cadena
• Supervisión continua de proveedores TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Italia se alinea con las expectativas básicas de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Italia

Las entidades incluidas en el ámbito de aplicación deben:

• Registrarse ante la ACN a través de su portal digital específico durante la ventana anual de registro (1 de enero – 28 de febrero). La primera ventana de registro (1 de diciembre de 2024 – 28 de febrero de 2025) y el plazo anterior para los proveedores de infraestructura digital (17 de enero de 2025) ya han expirado.
• Facilitar los datos de identificación de la entidad
• Comunicar su clasificación sectorial
• Mantener actualizados los contactos de notificación

La ACN publica la lista de entidades incluidas en el ámbito antes del 31 de marzo de cada año y las notifica antes del 15 de abril. La ventana anual de actualización va del 15 de abril al 31 de mayo (ampliada hasta el 31 de julio para el primer año, 2025). A partir de 2026, las entidades también deberán comunicar sus actividades/servicios y sus proveedores NIS relevantes entre el 1 de mayo y el 30 de junio.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales. La cláusula de salvaguardia para filiales de grupo independientes en TIC también puede solicitarse a través de la plataforma de la ACN en el momento del registro.

13. Interacción con el RGPD y otras leyes en Italia

El Reglamento General de Protección de Datos sigue aplicándose en paralelo.

Las consideraciones de solapamiento incluyen:

• Notificación de violación de la seguridad de los datos personales en 72 horas
• Coordinación con la autoridad de control
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación italiana de ciberseguridad específica por sector

Un incidente cibernético puede dar lugar a obligaciones de notificación en ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Italia están supervisadas por las autoridades italianas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Italia pueden estar sujetos a obligaciones nacionales según la estructura de su establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios al mercado italiano.

15. Calendario de aplicación en Italia

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: D.Lgs. 138/2024 (Gazzetta Ufficiale 1 de octubre de 2024); DPCM 221/2024 (en vigor desde el 11 de febrero de 2025); resolución de aplicación de la ACN de abril de 2025; Marco Nacional de Ciberseguridad y Protección de Datos (actualización de 2025, alineado con NIST CSF 2.0)
• Entrada en vigor: 16 de octubre de 2024 (sin período transitorio; cumplimiento por fases)
• Notificación a la Comisión: Plenamente notificada a la Comisión Europea; no sujeta a ninguna opinión motivada pendiente
• Hitos de cumplimiento: Plazo de registro 28 de febrero de 2025 (cumplido); proveedores de infraestructura digital 17 de enero de 2025 (cumplido); notificación de incidentes desde el 1 de enero de 2026; actualización anual de información 15 de abril – 31 de mayo; actividades y proveedores 1 de mayo – 30 de junio; cumplimiento pleno de las medidas de seguridad antes del 1 de octubre de 2026

La transposición de Italia se completó el 16 de octubre de 2024. Aunque los plazos iniciales de registro ya han expirado, el hito clave próximo es el cumplimiento pleno de las medidas de seguridad definidas por la ACN antes del 1 de octubre de 2026. La notificación obligatoria de incidentes a ACN/CSIRT Italia está en vigor desde el 1 de enero de 2026.

16. Conclusiones clave para pymes en Italia

• Las entidades medianas en los sectores cubiertos entran automáticamente en el ámbito de aplicación. El ámbito de Italia supera el mínimo de la Directiva mediante los Anexos III y IV nacionales; las filiales de grupo con independencia en TIC pueden acogerse a la cláusula de salvaguardia a través de la plataforma de la ACN.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión de la gobernanza a nivel del consejo de administración es obligatoria.
• La notificación de incidentes sigue plazos de 24h / 72h / 1 mes. La notificación obligatoria de incidentes a ACN/CSIRT Italia está en vigor desde el 1 de enero de 2026.
• Las sanciones económicas pueden alcanzar €10 millones o el 2% de la facturación global.
• Se requiere la gestión del riesgo de proveedores.
• La planificación temprana del cumplimiento es esencial — el cumplimiento pleno de las medidas de seguridad definidas por la ACN es obligatorio antes del 1 de octubre de 2026, y los registros y actualizaciones anuales de información deben realizarse entre enero y mayo a través del portal de la ACN.

Preguntas frecuentes: Guía NIS2 para pymes en Italia