NIS2 in Cipro

1. Rapida panoramica di applicabilità per le PMI a Cipro

NIS2 si applica alle PMI in 1. Rapida panoramica di applicabilità per le PMI a Cipro?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite a Cipro e, in determinate circostanze, ai fornitori digitali stranieri che servono il mercato cipriota.

Le PMI dovrebbero valutare se rientrano nel regime nazionale di cybersicurezza di Cipro in base alla classificazione settoriale e alle soglie di legge.

2. Panoramica dell'attuazione della NIS2 a Cipro

Cipro ha recepito la NIS2 attraverso la Legge sulla sicurezza delle reti e dei sistemi informativi (emendamento) del 2025 (60(I)/2025), promulgata dal Parlamento il 10 aprile 2025 e in vigore dal 25 aprile 2025.

L'emendamento aggiorna la Legge sulla sicurezza delle reti e dei sistemi informativi del 2020 (L. 89(I)/2020) per allinearla alla Direttiva (UE) 2022/2555. La legge aggiornata modernizza gli obblighi in materia di governance, segnalazione degli incidenti, vigilanza e sanzioni, e amplia significativamente il numero di entità regolamentate — da circa 70 sotto NIS1 a circa dieci volte di più sotto il nuovo quadro normativo.

Cipro presenta due deviazioni nazionali notevoli rispetto alla Direttiva: il termine di preallarme è di 6 ore dal rilevamento (più rigoroso delle 24 ore della Direttiva), e l'identificazione delle entità segue un modello di valutazione guidato dalla DSA anziché l'autoregistrazione. La completezza della notifica è ancora in fase di revisione a seguito del parere motivato di maggio 2025 (emesso prima della promulgazione).

3. Campo di applicazione a Cipro

L'ambito settoriale di Cipro riflette le categorie minime della Direttiva senza espansione nazionale confermata.

4. Soglie dimensionali e applicabilità alle PMI a Cipro

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le imprese piccole e micro possono essere designate se ritenute critiche per la stabilità economica, la sicurezza pubblica o la continuità dei servizi essenziali.

Le autorità cipriote mantengono poteri formali di designazione quando giustificato dal rischio sistemico.

5. Quadro di classificazione delle entità a Cipro

Le entità sono classificate come:

• Entità essenziali — Soggette a supervisione proattiva, inclusi audit e monitoraggio strutturato della conformità.
• Entità importanti — Principalmente soggette a supervisione reattiva attivata da incidenti significativi o preoccupazioni di conformità.

La classificazione è determinata da settore e dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

La struttura di classificazione di Cipro rispecchia il modello a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cybersicurezza a Cipro

Cipro è allineata alla base della Direttiva per la gestione del rischio di cybersicurezza. Le entità nell'ambito devono implementare misure tecniche e organizzative proporzionate che affrontino:

• Analisi del rischio e sicurezza dei sistemi
• Prevenzione e risposta agli incidenti
• Continuità operativa e pianificazione delle crisi
• Controlli del rischio della catena di fornitura NIS2 a Cipro
• Acquisizione e sviluppo sicuri dei sistemi
• Controllo degli accessi e gestione delle identità
• Cifratura e salvaguardie crittografiche
• Procedure di gestione delle vulnerabilità
• Sensibilizzazione e formazione del personale in cybersicurezza

Le misure devono riflettere lo stato dell'arte e il profilo di rischio dell'organizzazione. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida cipriote riconosciute in materia di cybersicurezza.

La vigilanza sulla catena di fornitura include salvaguardie contrattuali e monitoraggio dei fornitori per mitigare il rischio cyber a cascata.

7. Responsabilità del management e governance a Cipro

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e sovrintenderne l'attuazione.

Nel quadro nazionale di Cipro:

• I consigli sono responsabili della supervisione della conformità.
• Il senior management deve assicurare un'adeguata conoscenza della cybersicurezza.
• Le sanzioni amministrative possono affrontare carenze di governance.
• La sospensione temporanea delle funzioni manageriali può essere disponibile nell'ambito dei meccanismi allineati alla Direttiva.

Gli standard di responsabilità del management NIS2 a Cipro elevano la responsabilità in materia di cybersicurezza a livello esecutivo.

8. Obblighi di segnalazione degli incidenti a Cipro

9. Autorità di vigilanza e modello di applicazione a Cipro

Autorità principale: Digital Security Authority (DSA). Il Commissario per le Comunicazioni è anch'esso designato come autorità di vigilanza. La DSA ha pubblicato una Guida Sintetica alla Direttiva NIS2 per assistere le entità interessate.

Cipro opera con un modello di vigilanza centralizzato supportato dai regolatori settoriali quando richiesto.

Supervisory powers include:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti di conformità
• Partecipazione ai quadri di coordinamento dell'UE in materia di cybersicurezza

La struttura di applicazione è allineata ai meccanismi di cooperazione a livello di Direttiva. Il quadro delle misure di sicurezza di Cipro fa riferimento a ISO 27001, NIST SP 800-53 e le linee guida del Gruppo di Cooperazione NIS come benchmark di conformità riconosciuti.

10. Sanzioni e ammende NIS2 a Cipro

Cipro applica sanzioni amministrative allineate alla Direttiva.

L'applicazione delle ammende NIS2 a Cipro può includere anche:

• Ordini vincolanti di adozione di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione di certificazioni o autorizzazioni
• Poteri di sospensione dei dirigenti

La responsabilità penale si applica solo ove espressamente prevista dalla legislazione cipriota.

11. Sicurezza della catena di fornitura e dei fornitori NIS2 a Cipro

Le entità devono gestire l'esposizione alla cybersicurezza dei terzi attraverso:

• Due diligence sui fornitori
• Requisiti contrattuali di sicurezza a flusso discendente
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio di Cipro è allineato alle aspettative di base della Direttiva in materia di gestione del rischio dei terzi.

12. Obblighi di registrazione e autoidentificazione a Cipro

Entities within scope must:

• Attendere la notifica formale dalla DSA dell'identificazione come entità essenziale o importante. Cipro non richiede che le entità si autoregistrino; la DSA conduce una valutazione nazionale e notifica le entità del loro status e dei loro obblighi.
• Fornire i dati di identificazione aziendale
• Comunicare la classificazione settoriale
• Mantenere aggiornate le informazioni di contatto. Eventuali modifiche devono essere comunicate alla DSA entro due settimane.

La DSA fornisce uno Strumento di Autovalutazione NIS2 non vincolante (disponibile sul sito della DSA) che le organizzazioni possono utilizzare per effettuare una valutazione iniziale del loro potenziale ambito di applicazione — questo non sostituisce la procedura ufficiale di identificazione.

Sebbene l'autoregistrazione formale non sia richiesta, le entità che ritengono di poter rientrare nell'ambito di applicazione dovrebbero utilizzare lo Strumento di Autovalutazione della DSA e prepararsi alla conformità prima della notifica formale.

13. Interazione con il GDPR e altre leggi a Cipro

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in via concorrente.

Le aree di sovrapposizione includono:

• Notifica delle violazioni dei dati personali entro 72 ore
• Coordinamento tra autorità di vigilanza
• Indagini parallele su cybersicurezza e protezione dei dati
• Norme cipriote specifiche di settore in materia di cybersicurezza

14. Applicabilità transfrontaliera

Le entità con la propria stabilimento principale a Cipro ricadono sotto la supervisione cipriota per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi a Cipro possono essere soggetti a obblighi locali a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE che servono i mercati ciprioti.

15. Cronologia di attuazione a Cipro

• Adozione della Direttiva: 2022
• Legge sulla sicurezza delle reti e dei sistemi informativi (emendamento) del 2025 (60(I)/2025) promulgata dal Parlamento il 10 aprile 2025
• Entrata in vigore: 25 aprile 2025
• Notifica alla Commissione: Parere motivato della CE emesso a maggio 2025 (prima della promulgazione); completezza della notifica in fase di revisione da parte della Commissione
• Traguardo di conformità: Processo di identificazione e notifica guidato dalla DSA in corso; le entità hanno obblighi dalla data di notifica della DSA; termine di preallarme di 6 ore — più rigoroso della Direttiva

Cipro ha completato il recepimento nell'aprile 2025. Le entità dovrebbero utilizzare lo Strumento di Autovalutazione della DSA per valutare il loro probabile ambito di applicazione e preparare programmi di conformità prima della notifica formale.

16. Punti chiave per le PMI a Cipro

• Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
• Le piccole entità possono essere designate se critiche per la stabilità economica o pubblica.
• La supervisione della governance a livello di consiglio è obbligatoria.
• La segnalazione degli incidenti segue le scadenze 6h / 72h / 1 mese — il preallarme di 6 ore di Cipro è più rigoroso rispetto alla linea base della Direttiva UE di 24 ore.
• Le sanzioni possono raggiungere 10 milioni di € o il 2% del fatturato globale.
• La gestione del rischio dei fornitori è un obbligo fondamentale.
• La pianificazione anticipata della conformità riduce l'esposizione alle sanzioni.

FAQ: Guida NIS2 per PMI a Cipro