NIS2 in Grecia

1. Panoramica rapida di applicabilità per le PMI in Grecia

NIS2 si applica alle PMI in Grecia?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Grecia e, in alcuni casi, ai fornitori digitali esteri che servono il mercato greco.

Le PMI dovrebbero valutare la propria qualificazione ai sensi del quadro nazionale di cybersicurezza della Grecia in base alla classificazione settoriale e alle soglie di legge.

2. Panoramica dell'attuazione della NIS2 in Grecia

La Grecia ha recepito la NIS2 con la Legge 5160/2024 ("Recepimento della Direttiva (UE) 2022/2555 sulle misure per un livello comune elevato di cybersicurezza nell'Unione"), pubblicata nella Gazzetta Ufficiale (Gazzetta Governativa A'/195) il 27 novembre 2024 ed in vigore dal 28 novembre 2024. Si tratta di una nuova legge organica, non di una modifica, che sostituisce la precedente Legge 4577/2018 di attuazione di NIS1. Per gli enti locali di primo livello, l'applicazione è iniziata il 27 novembre 2025.

Il quadro è integrato da due decreti ministeriali chiave: il Decreto Ministeriale 1645/2025 (15 aprile 2025) che istituisce il processo di registrazione delle entità, e il Decreto Ministeriale 1689/2025 (6 maggio 2025) che definisce il quadro nazionale dei requisiti di cybersicurezza che copre 22 specifiche tematiche di sicurezza applicabile alle entità regolamentate.

L'attuazione greca include diversi requisiti che vanno oltre la base della Direttiva: nomina obbligatoria di un Information and Communication Systems Security Officer (ICSSO) — ruolo incompatibile con quello del Responsabile della protezione dei dati; formazione annuale obbligatoria in materia di cybersicurezza per la dirigenza e i dipendenti; e l'obbligo di mantenere un inventario completo degli asset ICT materiali e immateriali. L'approvazione delle misure di gestione del rischio da parte dell'organo di gestione era richiesta entro tre mesi dall'entrata in vigore della legge (scadenza: 28 febbraio 2025 — già trascorsa).

3. Ambito di applicazione in Grecia

L'ambito della Grecia rispecchia le categorie settoriali minime della Direttiva senza un'espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Grecia

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate quando sono considerate critiche per la sicurezza pubblica, la stabilità economica o il funzionamento della società.

Le autorità greche mantengono poteri formali di designazione laddove il rischio sistemico giustifichi l'inclusione.

5. Quadro di classificazione delle entità in Grecia

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, inclusi audit e monitoraggio strutturato della conformità.
• Entità importanti — Principalmente soggette a vigilanza reattiva attivata da incidenti significativi o preoccupazioni in materia di conformità.

La classificazione è determinata da settore e dimensione. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

La Grecia segue il modello di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cibersicurezza in Grecia

Il regime nazionale della Grecia è allineato ai requisiti di base della Direttiva per la gestione del rischio di cibersicurezza. I soggetti rientranti nell'ambito di applicazione devono implementare misure tecniche e organizzative proporzionate che affrontino:

• Analisi del rischio e protezione dei sistemi
• Rilevazione e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Grecia
• Acquisizione e sviluppo sicuri dei sistemi TIC
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di protezione crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale in materia di cibersicurezza

Le misure devono riflettere gli standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. La Grecia ha pubblicato un quadro nazionale dei requisiti di cybersicurezza (Decreto Ministeriale 1689/2025) che definisce 22 specifiche tematiche di sicurezza da affrontare da parte delle entità essenziali e importanti. Le entità devono inoltre mantenere un inventario completo degli asset ICT materiali e immateriali e trasmettere alla NCSA una politica di cybersicurezza. Le valutazioni del rischio devono essere riesaminate annualmente o dopo modifiche significative. È incoraggiato l'allineamento con ISO/IEC 27001.

7. Responsabilità degli organi di gestione e governance in Grecia

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e sovrintenderne l'attuazione.

Nel quadro normativo della Grecia:

• I consigli di amministrazione sono responsabili della supervisione della conformità. Gli organi di gestione erano tenuti ad approvare formalmente le misure di gestione del rischio di cybersicurezza entro tre mesi dall'entrata in vigore della legge (scadenza: 28 febbraio 2025 — già trascorsa).
• L'alta direzione deve garantire un'adeguata competenza in materia di cybersicurezza. I membri degli organi di gestione devono seguire una formazione speciale in cybersicurezza e assicurare che analoga formazione sia erogata ai dipendenti almeno annualmente.
• Sanzioni amministrative possono essere applicate per carenze di governance.
• La NCSA può vietare temporaneamente a qualsiasi persona fisica che svolga responsabilità dirigenziali a livello di amministratore delegato o di rappresentante legale di esercitare funzioni dirigenziali in un'entità essenziale. I membri della dirigenza possono inoltre essere ritenuti personalmente responsabili per violazioni degli obblighi di gestione del rischio di cybersicurezza e di formazione ai sensi della Legge 5160/2024.

I requisiti NIS2 in materia di responsabilità del management in Grecia elevano la governance della cybersicurezza a responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Grecia

9. Autorità di vigilanza e modello di applicazione in Grecia

Autorità primaria: National Cybersecurity Authority (NCSA).

La Grecia adotta un modello di vigilanza centralizzato coordinato dalla NCSA, con autorità di regolamentazione settoriali coinvolte ove necessario.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cybersicurezza

La struttura di applicazione delle norme è allineata ai requisiti di cooperazione a livello di direttiva.

10. Sanzioni e ammende NIS2 in Grecia

La Grecia applica sanzioni amministrative in linea con la direttiva.

L'applicazione delle sanzioni NIS2 in Grecia può includere anche:

• Ingiunzioni correttive vincolanti
• Identificazione pubblica delle entità non conformi
• Sospensione di autorizzazioni o certificazioni
• Poteri di sospensione dei dirigenti

La responsabilità penale si applica solo laddove espressamente prevista dalla legislazione greca.

11. Sicurezza NIS2 della catena di fornitura e dei fornitori in Grecia

Le entità devono gestire l’esposizione alla cybersicurezza di terze parti tramite:

• Valutazioni del rischio dei fornitori
• Disposizioni contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L’approccio della Grecia è in linea con le aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e autoidentificazione in Grecia

Le entità rientranti nell’ambito di applicazione devono:

• Registrarsi tramite la piattaforma digitale della NCSA (nis2register.cyber.gov.gr). La scadenza generale per la registrazione era il 30 settembre 2025 (prorogata rispetto a date precedenti); per i fornitori DNS, cloud, CDN, di servizi gestiti e per altre entità di infrastruttura digitale era prevista una scadenza anticipata al 28 marzo 2025. Entrambe le scadenze sono ormai trascorse — le entità non ancora registrate dovrebbero agire immediatamente.
• Fornire i dati identificativi societari
• Indicare la classificazione settoriale
• Mantenere aggiornati i contatti per le segnalazioni. Eventuali modifiche alle informazioni registrate devono essere comunicate alla NCSA entro due settimane dalla modifica.

Oltre alla registrazione, le entità devono nominare un ICSSO (Information and Communication Systems Security Officer) come punto di contatto dedicato per la NCSA. Questo ruolo è incompatibile con quello del Responsabile della protezione dei dati. Le regole di qualificazione per l'ICSSO sono in vigore dal 1° novembre 2025.

L'autoidentificazione è obbligatoria quando i soggetti soddisfano le soglie previste dalla legge. La NCSA può inoltre designare ulteriori entità sulla base di valutazioni del rischio o della criticità.

13. Interazione con il GDPR e altre leggi in Grecia

Il Regolamento generale sulla protezione dei dati continua ad applicarsi parallelamente.

Possibili aree di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento con l'autorità di controllo
• Indagini parallele su cybersicurezza e protezione dei dati
• Normativa greca sulla cybersicurezza specifica di settore

Un singolo incidente informatico può attivare obblighi di segnalazione in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con la sede principale in Grecia sono vigilate dalle autorità greche per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Grecia possono essere soggetti agli obblighi nazionali in funzione della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato greco.

15. Tempistica di attuazione in Grecia

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: Legge 5160/2024 approvata dal Parlamento greco; pubblicata in Gazzetta Ufficiale il 27 novembre 2024; integrata dal Decreto Ministeriale 1645/2025 (registrazione, 15 aprile 2025) e dal Decreto Ministeriale 1689/2025 (quadro dei requisiti di cybersicurezza a 22 tematiche, 6 maggio 2025).
• Entrata in vigore: 28 novembre 2024; enti locali di primo livello: 27 novembre 2025.
• Notifica alla Commissione: notificata integralmente; la Grecia non figura tra gli Stati membri soggetti a un parere motivato pendente della Commissione.
• Tappe di conformità: approvazione delle misure di gestione del rischio da parte dell'organo di gestione: 28 febbraio 2025 (scaduta); registrazione dei fornitori di infrastrutture digitali: 28 marzo 2025 (scaduta); registrazione generale delle entità: 30 settembre 2025 (scaduta); regole di qualificazione dell'ICSSO in vigore: 1° novembre 2025; audit della NCSA avviati: Q4 2025.

La Grecia è stata tra i primi Stati membri dell'UE a completare il recepimento della NIS2. Tutte le tappe iniziali di conformità — approvazione delle misure di gestione del rischio da parte dell'organo di gestione, registrazione delle entità e nomina dell'ICSSO — sono trascorse. Gli audit della NCSA sono in corso.

16. Punti chiave per le PMI in Grecia

• Le entità di media dimensione nei settori coperti rientrano automaticamente nel campo di applicazione.
• Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione della governance a livello di consiglio di amministrazione è obbligatoria. La dirigenza deve aver formalmente approvato le misure di gestione del rischio di cybersicurezza (scadenza: 28 febbraio 2025) e garantire la formazione annuale in cybersicurezza per la dirigenza e i dipendenti. La responsabilità personale dei membri della dirigenza è espressamente prevista dalla Legge 5160/2024.
• La notifica degli incidenti segue le scadenze di 24h / 72h / 1 mese.
• Le sanzioni pecuniarie possono arrivare fino a €10 milioni o al 2% del fatturato globale.
• È richiesta la gestione del rischio dei fornitori.
• Tutte le scadenze chiave sono trascorse. Le entità devono inoltre nominare un ICSSO dedicato (incompatibile con il ruolo di DPO), attuare il quadro nazionale dei requisiti di cybersicurezza a 22 tematiche (Decreto Ministeriale 1689/2025) e mantenere un inventario completo degli asset ICT. Gli audit della NCSA sono iniziati nel Q4 2025.

FAQ: Guida NIS2 per le PMI in Grecia