NIS2 in Grecia

Guida all'implementazione e alla conformità NIS2 in Grecia.

Questo documento presenta informazioni aggiornate a febbraio 2026. Benché siano stati adottati tutti i ragionevoli accorgimenti per verificare l'accuratezza dei contenuti, le informazioni sono fornite senza garanzia di completezza o accuratezza e possono essere soggette a modifiche. Pur prevedendo aggiornamenti periodici di questi contenuti, si consiglia ai lettori di verificare autonomamente le informazioni critiche.

La Grecia sta rafforzando il proprio regime nazionale di cybersicurezza per allinearsi agli obblighi rafforzati introdotti dalla Direttiva NIS2. Il quadro aggiornato amplia la copertura settoriale, formalizza la responsabilità degli organi di gestione e rafforza i meccanismi di notifica e di applicazione. Questa guida fornisce una panoramica strutturata dei requisiti di conformità alla NIS2 in Grecia per le PMI che operano in settori regolamentati.

1. Panoramica rapida di applicabilità per le PMI in Grecia

NIS2 si applica alle PMI in Grecia?

Sì — a seconda del settore e delle dimensioni.

Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
Si applica alle entità stabilite in Grecia e, in alcuni casi, ai fornitori digitali esteri che servono il mercato greco.

Le PMI dovrebbero valutare la propria qualificazione ai sensi del quadro nazionale di cybersicurezza della Grecia in base alla classificazione settoriale e alle soglie di legge.

2. Panoramica dell'attuazione della NIS2 in Grecia

La Grecia sta attuando la Direttiva mediante modifiche alla Legge sulla cybersicurezza e sulla sicurezza delle reti e dei sistemi informativi, che costituisce la base del quadro nazionale di cybersicurezza.

La normativa riveduta allinea il regime della Grecia a Directive (EU) 2022/2555 e rafforza gli obblighi relativi alla governance, alla gestione dei rischi, alla notifica degli incidenti e ai poteri dell'autorità di vigilanza.

Il quadro integra gli standard della Direttiva nel modello esistente di vigilanza sulla cybersicurezza della Grecia.

3. Ambito di applicazione in Grecia

Entità essenziali

Entità operanti in settori altamente critici:

Entità importanti

Entità operanti negli altri settori elencati:

L'ambito della Grecia rispecchia le categorie settoriali minime della Direttiva senza un'espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Grecia

Si applicano le soglie di base:

≥50 dipendenti, e
≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate quando sono considerate critiche per la sicurezza pubblica, la stabilità economica o il funzionamento della società.

Le autorità greche mantengono poteri formali di designazione laddove il rischio sistemico giustifichi l'inclusione.

5. Quadro di classificazione delle entità in Grecia

Le entità sono classificate come:

Entità essenziali — Soggette a vigilanza proattiva, inclusi audit e monitoraggio strutturato della conformità.
Entità importanti — Principalmente soggette a vigilanza reattiva attivata da incidenti significativi o preoccupazioni in materia di conformità.

La classificazione è determinata da settore e dimensione. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

La Grecia segue il modello di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cibersicurezza in Grecia

Il regime nazionale della Grecia è allineato ai requisiti di base della Direttiva per la gestione del rischio di cibersicurezza. I soggetti rientranti nell'ambito di applicazione devono implementare misure tecniche e organizzative proporzionate che affrontino:

Analisi del rischio e protezione dei sistemi
Rilevazione e risposta agli incidenti
Continuità operativa e gestione delle crisi
Controlli dei rischi della catena di fornitura NIS2 in Grecia
Acquisizione e sviluppo sicuri dei sistemi TIC
Controllo degli accessi e gestione delle identità
Cifratura e misure di protezione crittografiche
Procedure di gestione delle vulnerabilità
Formazione del personale in materia di cibersicurezza

Le misure devono riflettere gli standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento con ISO/IEC 27001 e gli orientamenti nazionali sulla cibersicurezza.

7. Responsabilità degli organi di gestione e governance in Grecia

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e sovrintenderne l'attuazione.

Nel quadro normativo della Grecia:

I consigli di amministrazione sono responsabili della supervisione della conformità.
L'alta direzione deve garantire un'adeguata competenza in materia di cybersicurezza.
Sanzioni amministrative possono essere applicate per carenze di governance.
La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione allineati alla Direttiva.

I requisiti NIS2 in materia di responsabilità del management in Grecia elevano la governance della cybersicurezza a responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Grecia

Definizione di un incidente significativo

Un incidente si qualifica come significativo se causa:

Grave interruzione operativa
Perdita finanziaria significativa
Impatto sociale sostanziale
Effetti transfrontalieri

Tempistiche di segnalazione

Fase di segnalazione	Scadenza	Autorità
Preallerta	24 ore	National Cybersecurity Authority (NCSA)
Notifica dell'incidente	72 ore	National Cybersecurity Authority (NCSA)
Relazione finale	1 mese	National Cybersecurity Authority (NCSA)

9. Autorità di vigilanza e modello di applicazione in Grecia

Autorità primaria: National Cybersecurity Authority (NCSA).

La Grecia adotta un modello di vigilanza centralizzato coordinato dalla NCSA, con autorità di regolamentazione settoriali coinvolte ove necessario.

I poteri di vigilanza includono:

Richieste di documentazione e informazioni
Audit di sicurezza
Ispezioni in loco
Istruzioni vincolanti di conformità
Partecipazione ai meccanismi di coordinamento dell'UE in materia di cybersicurezza

La struttura di applicazione delle norme è allineata ai requisiti di cooperazione a livello di direttiva.

10. Sanzioni e ammende NIS2 in Grecia

La Grecia applica sanzioni amministrative in linea con la direttiva.

Entità essenziali

Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

Entità importanti

Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

L'applicazione delle sanzioni NIS2 in Grecia può includere anche:

Ingiunzioni correttive vincolanti
Identificazione pubblica delle entità non conformi
Sospensione di autorizzazioni o certificazioni
Poteri di sospensione dei dirigenti

La responsabilità penale si applica solo laddove espressamente prevista dalla legislazione greca.

11. Sicurezza NIS2 della catena di fornitura e dei fornitori in Grecia

Le entità devono gestire l’esposizione alla cybersicurezza di terze parti tramite:

Valutazioni del rischio dei fornitori
Disposizioni contrattuali di sicurezza a cascata
Monitoraggio continuo dei fornitori ICT
Analisi del rischio di concentrazione
Mitigazione della propagazione degli incidenti

L’approccio della Grecia è in linea con le aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e autoidentificazione in Grecia

Le entità rientranti nell’ambito di applicazione devono:

Registrarsi presso le autorità competenti
Fornire i dati identificativi societari
Indicare la classificazione settoriale
Mantenere aggiornati i contatti per le segnalazioni

Le scadenze procedurali seguono il quadro di attuazione della Grecia. Alla data attuale di recepimento, la Grecia segue il quadro di base della Direttiva NIS2. I dettagli di attuazione nazionali possono precisare obblighi specifici.

L'autoidentificazione è obbligatoria quando i soggetti soddisfano le soglie previste dalla legge.

13. Interazione con il GDPR e altre leggi in Grecia

Il Regolamento generale sulla protezione dei dati continua ad applicarsi parallelamente.

Possibili aree di sovrapposizione includono:

Notifica di violazione dei dati personali entro 72 ore
Coordinamento con l'autorità di controllo
Indagini parallele su cybersicurezza e protezione dei dati
Normativa greca sulla cybersicurezza specifica di settore

Un singolo incidente informatico può attivare obblighi di segnalazione in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con la sede principale in Grecia sono vigilate dalle autorità greche per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Grecia possono essere soggetti agli obblighi nazionali in funzione della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato greco.

15. Tempistica di attuazione in Grecia

Adozione della Direttiva: 2022
Modifiche legislative nazionali: 2024–2025
Entrata in vigore: Alla pubblicazione nazionale
Notifica alla Commissione: In conformità alle procedure UE
Scadenza di conformità: Termini allineati alla Direttiva

La tempistica di recepimento della Grecia è allineata ai requisiti di attuazione dell'UE.

16. Punti chiave per le PMI in Grecia

Le entità di media dimensione nei settori coperti rientrano automaticamente nel campo di applicazione.
Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
La supervisione della governance a livello di consiglio di amministrazione è obbligatoria.
La notifica degli incidenti segue le scadenze di 24h / 72h / 1 mese.
Le sanzioni pecuniarie possono arrivare fino a €10 milioni o al 2% del fatturato globale.
È richiesta la gestione del rischio dei fornitori.
Una pianificazione anticipata della conformità riduce l’esposizione a provvedimenti sanzionatori.

FAQ: Guida NIS2 per le PMI in Grecia

La NIS2 si applica alle piccole imprese in Grecia?

Le piccole imprese sono in genere escluse, salvo designazione o se operano in settori altamente critici. Le entità di media dimensione che soddisfano le soglie dimensionali sono automaticamente coperte.

Quali sono le sanzioni NIS2 in Grecia?

Le Entità Essenziali (Essential Entities) rischiano sanzioni fino a €10 milioni o al 2% del fatturato annuo globale. Le Entità Importanti (Important Entities) fino a €7 milioni o all'1,4% del fatturato annuo globale.

Quando entra in vigore la NIS2 in Grecia?

La Grecia sta aggiornando la propria normativa nazionale sulla cybersicurezza per allinearla alla Direttiva. L'entrata in vigore segue la pubblicazione della normativa nazionale.

Chi è l’autorità di applicazione della NIS2 in Grecia?

La National Cybersecurity Authority (NCSA) funge da autorità di vigilanza primaria, coordinandosi con i regolatori di settore ove applicabile.

Gli amministratori possono essere personalmente responsabili ai sensi della NIS2 in Grecia?

Gli organi di gestione devono approvare e supervisionare le misure di cybersicurezza. Gli strumenti amministrativi di enforcement possono includere poteri di sospensione dei dirigenti nei casi più gravi.

In cosa differisce la NIS2 dal GDPR in Grecia?

La NIS2 disciplina la resilienza informatica e la gestione del rischio operativo, mentre il GDPR regola la protezione dei dati personali. Entrambi i quadri possono applicarsi a seguito di un incidente informatico.

Cosa costituisce un incidente significativo ai sensi della NIS2 in Grecia?

Un incidente che provochi una grave interruzione, perdite finanziarie significative, impatto sociale o conseguenze transfrontaliere in genere soddisfa la soglia di segnalazione.