NIS2 in Repubblica Ceca

1. Rapida valutazione di applicabilità per le PMI nella Repubblica ceca

NIS2 si applica alle PMI in 1. Rapida valutazione di applicabilità per le PMI nella Repubblica ceca?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica ai soggetti stabiliti nella Repubblica ceca e, in determinati casi, ai fornitori digitali esteri che servono il mercato ceco.

Le PMI dovrebbero valutare la qualificazione nell’ambito del regime nazionale di cibersicurezza in base alla classificazione settoriale e alle soglie normative.

2. Panoramica dell’attuazione della NIS2 nella Repubblica ceca

La Repubblica ceca ha recepito la direttiva tramite la Legge n. 264/2025 Racc. sulla cibersicurezza, adottata l'11 giugno 2025, pubblicata il 4 agosto 2025 e in vigore dal 1° novembre 2025. La Legge sostituisce integralmente il quadro precedente ed è accompagnata da sette decreti attuativi e due regolamenti governativi; alcuni atti secondari restano in attesa.

La nuova legge allinea il regime ceco di cibersicurezza alla direttiva (UE) 2022/2555 e ristruttura il modello di vigilanza, gli obblighi di gestione del rischio e i meccanismi sanzionatori sotto l'Agenzia nazionale per la cibersicurezza e la sicurezza delle informazioni (NÚKIB).

Il regime ceco introduce tre rilevanti scostamenti dal livello base della direttiva: le entità essenziali devono notificare tutti gli incidenti di origine cibernetica (non solo quelli significativi), NÚKIB può limitare o vietare specifici fornitori e prodotti della catena di fornitura per le entità strategicamente importanti, e le entità devono autoidentificarsi e registrarsi tramite un portale dedicato di NÚKIB entro 60 giorni dal momento in cui soddisfano le condizioni di legge.

3. Ambito di applicazione nella Repubblica ceca

L’ambito ceco riflette le categorie settoriali minime della direttiva senza un ampliamento strutturale confermato.

4. Soglie dimensionali e applicabilità alle PMI nella Repubblica ceca

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

I soggetti che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell’ambito di applicazione.

Le piccole e microimprese possono essere designate qualora considerate critiche per la stabilità economica, la sicurezza pubblica o la continuità dei servizi essenziali.

Le autorità ceche mantengono poteri di designazione ove giustificato da rischio sistemico o considerazioni di sicurezza nazionale.

5. Quadro di classificazione delle entità nella Repubblica ceca

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, inclusi audit e monitoraggio strutturato della conformità.
• Entità importanti — Principalmente soggette a vigilanza reattiva attivata da incidenti significativi o criticità di conformità.

La classificazione è determinata da settore e dimensione. Le autorità competenti possono riclassificare le entità quando l’impatto operativo o l’esposizione al rischio richiedono una supervisione più rigorosa.

La struttura di classificazione ceca rispecchia il modello di vigilanza a due livelli della direttiva.

6. Requisiti di gestione del rischio di cibersicurezza nella Repubblica ceca

Il regime ceco è allineato alla soglia minima della direttiva per la gestione del rischio di cibersicurezza. Le entità nell’ambito devono implementare misure tecniche e organizzative proporzionate che affrontino:

• Analisi del rischio e sicurezza dei sistemi
• Prevenzione e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 nella Repubblica ceca
• Acquisizione e sviluppo sicuri dei sistemi
• Controllo degli accessi e gestione dell’identità
• Crittografia e salvaguardie crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cibersicurezza

Le misure devono riflettere lo stato dell'arte e l'esposizione al rischio organizzativo. Il regime ceco impone un Sistema di gestione della sicurezza delle informazioni (SGSI) formale con un piano di trattamento del rischio documentato; è atteso l'allineamento a ISO/IEC 27001 e agli orientamenti nazionali di NÚKIB.

La gestione del rischio della catena di fornitura va oltre il livello base della direttiva: NÚKIB può limitare o vietare specifici fornitori o prodotti nelle catene di fornitura delle entità strategicamente importanti, con possibili impatti sui contratti con fornitori tecnologici extra-UE.

7. Responsabilità del management e governance nella Repubblica ceca

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cibersicurezza e supervisionarne l’attuazione.

Nel quadro ceco:

• I consigli di amministrazione sono responsabili della supervisione della conformità.
• L’alta dirigenza deve assicurare un’adeguata competenza in materia di cibersicurezza.
• Le sanzioni amministrative possono riguardare carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell’ambito di meccanismi sanzionatori allineati alla direttiva.

Gli standard sulla responsabilità del management NIS2 nella Repubblica ceca elevano la cibersicurezza a responsabilità di livello esecutivo.

8. Obblighi di notifica degli incidenti nella Repubblica ceca

9. Autorità di vigilanza e modello di applicazione nella Repubblica ceca

Autorità primaria: Agenzia nazionale per la cibersicurezza e la sicurezza delle informazioni (NÚKIB), che gestisce un portale dedicato per la registrazione delle entità, le notifiche di incidenti e le interazioni di vigilanza.

La Repubblica ceca adotta un modello di vigilanza centralizzato sotto NÚKIB, con il supporto dei regolatori settoriali quando necessario.

Supervisory powers include:

• Richieste di informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione al coordinamento dell'UE in materia di cibersicurezza

Oltre al livello base della direttiva, NÚKIB ha il potere di vietare temporaneamente ai rappresentanti della dirigenza delle entità essenziali l'esercizio delle loro funzioni per un minimo di sei mesi, e fino al ripristino della conformità — una sanzione più prescrittiva rispetto alle disposizioni generali di sospensione previste dalla direttiva.

10. Sanzioni e ammende NIS2 nella Repubblica ceca

La Repubblica ceca applica sanzioni amministrative allineate alla direttiva.

L’applicazione delle sanzioni NIS2 nella Repubblica ceca può includere anche:

• Ordini vincolanti di adozione di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione di autorizzazioni o certificazioni
• Poteri di sospensione dei dirigenti

11. Catena di fornitura e sicurezza dei fornitori NIS2 nella Repubblica ceca

Le entità devono gestire i rischi di cibersicurezza connessi a terze parti attraverso:

• Valutazioni del rischio dei fornitori
• Requisiti contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori TIC
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

Il quadro ceco è allineato alle aspettative minime della direttiva per la gestione del rischio di terze parti.

12. Obblighi di registrazione e autoidentificazione nella Repubblica ceca

Entities within scope must:

• Autoidentificazione e registrazione tramite il portale NÚKIB entro 60 giorni dal momento in cui si soddisfano le condizioni di legge; le entità già nell'ambito al 1° novembre 2025 avevano come termine di registrazione il 31 dicembre 2025
• Comunicazione dei dati di identificazione aziendale
• Indicazione della classificazione settoriale
• Mantenimento di informazioni di contatto aggiornate

Al ricevimento della decisione di registrazione di NÚKIB, le entità dispongono di 30 giorni per fornire ulteriori dati di contatto, proprietà, tecnici e geografici, seguiti da un periodo transitorio di 12 mesi per raggiungere la piena conformità in materia di sicurezza e notifica.

L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie previste dalla legge.

13. Interazione con il GDPR e altre normative nella Repubblica ceca

Il regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le aree di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento tra autorità di controllo
• Indagini parallele in materia di cibersicurezza e protezione dei dati
• Norme ceche specifiche di settore in materia di cibersicurezza

Un singolo incidente informatico può attivare obblighi di notifica ai sensi di entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale nella Repubblica ceca rientrano nell’autorità di vigilanza ceca per i servizi transfrontalieri.

I fornitori digitali esteri che offrono servizi nella Repubblica ceca possono essere soggetti a obblighi nazionali a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della direttiva per i fornitori extra-UE che servono i mercati cechi.

15. Cronoprogramma di attuazione nella Repubblica ceca

• Adozione della Direttiva: 2022
• Legge n. 264/2025 Racc. adottata l'11 giugno 2025; pubblicata il 4 agosto 2025
• Entrata in vigore: 1° novembre 2025
• Notifica alla Commissione: parere motivato della CE del maggio 2025 (precedente all'entrata in vigore); la completezza della notifica è in fase di revisione da parte della Commissione
• Tappe di conformità: registrazione tramite il portale NÚKIB entro il 31 dicembre 2025 (o 60 giorni dall'ingresso nell'ambito); ulteriori dati entro 30 giorni dalla decisione di registrazione; piena conformità di sicurezza 12 mesi dopo la decisione di registrazione

La Repubblica ceca ha completato il recepimento il 1° novembre 2025; la registrazione tramite il portale NÚKIB era dovuta entro il 31 dicembre 2025; la piena conformità è richiesta 12 mesi dopo la decisione di registrazione; alcuni atti secondari restano in attesa.

16. Punti chiave per le PMI nella Repubblica ceca

• Il recepimento della NIS2 è completato nella Repubblica ceca tramite la Legge n. 264/2025 Racc., in vigore dal 1° novembre 2025.
• Le entità sono classificate come Essenziali o Importanti in base al settore e alle dimensioni, con vigilanza proattiva per le entità essenziali.
• La gestione del rischio richiede un SGSI documentato e misure conformi allo stato dell'arte; è raccomandato l'allineamento a ISO/IEC 27001.
• La notifica di incidenti segue le scadenze di 24 h relazione iniziale / 1 mese relazione finale. Le entità essenziali devono notificare tutti gli incidenti di origine cibernetica (non solo quelli significativi) a NÚKIB — più rigoroso della direttiva. Le entità importanti notificano gli incidenti significativi al CSIRT nazionale.
• Gli organi di gestione devono approvare e supervisionare le misure di cibersicurezza; NÚKIB può vietare temporaneamente ai rappresentanti della dirigenza l'esercizio delle loro funzioni per almeno sei mesi nei casi gravi.
• La gestione del rischio dei fornitori è un obbligo fondamentale. NÚKIB ha il potere di limitare o vietare specifici fornitori o prodotti della catena di fornitura per le entità strategicamente importanti — un requisito che va oltre la direttiva e può incidere sui contratti con fornitori tecnologici extra-UE.
• L'autoidentificazione e la registrazione tramite il portale NÚKIB dedicato sono obbligatorie; il termine per le entità nell'ambito al 1° novembre 2025 era il 31 dicembre 2025.

FAQ: Guida NIS2 per le PMI nella Repubblica ceca