NIS2 in Lituania

1. Panoramica rapida dell'applicabilità per le PMI in Lituania

NIS2 si applica alle PMI in Lituania?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Lituania e, in determinati casi, ai fornitori digitali esteri che servono il mercato lituano.

Le PMI dovrebbero valutare se rientrano nel quadro nazionale di cibersicurezza della Lituania in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell'attuazione di NIS2 in Lituania

La Lituania ha recepito la NIS2 attraverso una modifica (Legge XIV-2902) della Legge sulla Cibersicurezza della Repubblica di Lituania (N. XII-1428), adottata l'11 luglio 2024 e in vigore dal 18 ottobre 2024. La Risoluzione Governativa sull'Attuazione integrativa — che stabilisce i requisiti di cibersicurezza applicabili ai soggetti essenziali e importanti — è entrata in vigore il 12 novembre 2024.

Il quadro allinea il regime lituano alla Direttiva (UE) 2022/2555 e introduce diverse specificità nazionali: la Lituania amplia l'ambito di applicazione oltre la Direttiva per includere l'amministrazione pubblica locale, i soggetti impegnati in attività critiche di ricerca e sviluppo sperimentale (potenzialmente comprese alcune università) e i fornitori di servizi di hosting di informazioni elettroniche. I soggetti devono nominare un responsabile della cibersicurezza incaricato dell'attuazione e della conformità, e non vi è alcun obbligo di autoregistrazione — il NCSC identifica e notifica direttamente i soggetti.

I soggetti notificati hanno 12 mesi dalla notifica per attuare le misure organizzative e 24 mesi per le misure tecniche. Il NCSC ha notificato il registro iniziale di 1.443 soggetti di cibersicurezza intorno al 17 aprile 2025.

3. Ambito di applicazione in Lituania

L'ambito di applicazione della Lituania supera il minimo della Direttiva. La Legge si estende esplicitamente all'amministrazione pubblica locale, ai soggetti impegnati in attività critiche di ricerca e sviluppo sperimentale (che possono includere alcune università) e ai fornitori di servizi di hosting di informazioni elettroniche — nessuno dei quali è richiesto dalla Direttiva.

4. Soglie dimensionali e applicabilità alle PMI in Lituania

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri all'interno dei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità lituane conservano poteri formali di designazione quando il rischio sistemico ne giustifica l'inclusione.

5. Quadro di classificazione dei soggetti in Lituania

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
• Entità importanti — Principalmente soggette a vigilanza reattiva, attivata da incidenti significativi o criticità di conformità.

La classificazione è determinata da settore e dimensione. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

La Lituania adotta la struttura di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cibersicurezza in Lituania

Il regime nazionale della Lituania si allinea ai requisiti di base della Direttiva per la gestione del rischio di cibersicurezza. I soggetti rientranti nell'ambito di applicazione devono attuare misure tecniche e organizzative proporzionate che riguardino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Lituania
• Acquisizione e sviluppo sicuri dei sistemi TIC
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di protezione crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale in materia di cibersicurezza

Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida lituane in materia di cibersicurezza.

La supervisione della catena di fornitura include la due diligence dei fornitori e le tutele contrattuali in materia di cibersicurezza.

7. Responsabilità dell'organo di gestione e governance in Lituania

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cibersicurezza e sovrintenderne l'attuazione.

Nell'ambito del quadro lituano:

• I consigli di amministrazione sono responsabili della vigilanza sulla conformità.
• L'alta direzione deve garantire competenze sufficienti in materia di cibersicurezza. I soggetti sono tenuti a nominare un responsabile della cibersicurezza e altre persone designate responsabili dell'attuazione e della conformità in materia di cibersicurezza.
• Le sanzioni amministrative possono colpire le carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali è prevista dalla Legge, ma si applica solo ai soggetti essenziali e unicamente a seguito di una decisione giudiziaria. Inoltre, i soggetti essenziali devono sottoporsi a una valutazione di conformità indipendente almeno ogni tre anni, condotta da un organismo di certificazione accreditato, basata su uno schema simile alla ISO/IEC 27001.

In Lituania, le aspettative in materia di responsabilità dell'organo di gestione ai sensi della NIS2 elevano la governance della cibersicurezza a responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Lituania

9. Autorità di vigilanza e modello di applicazione in Lituania

Autorità principale: National Cyber Security Centre (NCSC Lithuania).

La Lituania adotta un modello di vigilanza centralizzato, coordinato dal NCSC, con il coinvolgimento delle autorità competenti di settore ove necessario.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cybersicurezza

L'assetto di applicazione è allineato ai requisiti di cooperazione previsti dalla direttiva.

10. Sanzioni e ammende NIS2 in Lituania

La Lituania applica sanzioni amministrative allineate alla Direttiva.

L'applicazione delle sanzioni NIS2 in Lituania può includere anche:

• Ordini vincolanti di porre rimedio
• Identificazione pubblica delle entità non conformi
• Sospensione delle autorizzazioni o delle certificazioni
• Poteri di sospensione dei dirigenti

La responsabilità penale si applica solo ove espressamente prevista dalla legislazione lituana.

11. Sicurezza della catena di fornitura e dei fornitori ai sensi della direttiva NIS 2 in Lituania

I soggetti devono gestire i rischi di cibersicurezza legati a terze parti tramite:

• Valutazioni del rischio dei fornitori
• Disposizioni contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio della Lituania è in linea con le aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione in Lituania

Le entità rientranti nell'ambito di applicazione devono:

• Non è richiesta alcuna autoregistrazione. Il NCSC, insieme ad altre istituzioni governative, identifica i soggetti che rientrano nell'ambito di applicazione e li notifica direttamente per via elettronica. I soggetti devono verificare se hanno ricevuto una notifica dal NCSC (inviata all'indirizzo e-mail registrato presso il Registro lituano delle persone giuridiche). I soggetti incerti del loro status possono contattare direttamente il NCSC o utilizzare lo strumento pubblico di verifica della conformità del NCSC.
• Il NCSC può richiedere integrazioni o chiarimenti di informazioni relative alle attività, ai dipendenti e ad altre circostanze rilevanti per la valutazione dell'ambito di applicazione di un soggetto.
• Divulgare la classificazione settoriale
• Mantenere aggiornati i contatti per le notifiche

Il NCSC ha compilato e notificato il registro iniziale di 1.443 soggetti di cibersicurezza intorno al 17 aprile 2025 (concluso). I soggetti notificati hanno 12 mesi dalla notifica per attuare le misure organizzative (scadenza: circa 17 aprile 2026) e 24 mesi per le misure tecniche (scadenza: circa 17 aprile 2027). Il registro non è accessibile al pubblico.

Sebbene i soggetti non siano tenuti a registrarsi autonomamente, le organizzazioni che soddisfano le soglie di dimensione e di settore dovrebbero verificare proattivamente se sono state notificate. Se non ancora notificate, le organizzazioni dovrebbero contattare il NCSC, poiché la mancata conformità una volta identificate comporta sanzioni significative.

13. Interazione con il RGPD e altre leggi in Lituania

Il regolamento generale sulla protezione dei dati (RGPD) continua ad applicarsi in parallelo.

Le considerazioni in materia di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Lituania sono sottoposte alla vigilanza delle autorità lituane per i servizi transfrontalieri.

I fornitori digitali esteri che offrono servizi in Lituania possono essere soggetti a obblighi nazionali a seconda dell'assetto di stabilimento.

I requisiti di rappresentanza seguono le disposizioni della direttiva per i fornitori extra-UE che servono il mercato lituano.

15. Tempistica di recepimento in Lituania

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: Legge sulla Cibersicurezza modificata (N. XII-1428) adottata dal Seimas l'11 luglio 2024; Risoluzione Governativa sull'Attuazione adottata il 6 novembre 2024 e in vigore dal 12 novembre 2024
• Entrata in vigore: 18 ottobre 2024 (Legge sulla Cibersicurezza modificata); 12 novembre 2024 (Risoluzione Governativa sull'Attuazione)
• Notifica alla Commissione: Pienamente notificata; la Lituania figura tra gli Stati membri che hanno completato il recepimento nei tempi e non è soggetta a un parere motivato della CE
• Tappe di conformità: Termine per l'identificazione e la notifica dei soggetti da parte del NCSC: 17 aprile 2025 (concluso; 1.443 soggetti notificati); termine per le misure organizzative: 17 aprile 2026 (12 mesi dalla notifica); termine per le misure tecniche: 17 aprile 2027 (24 mesi dalla notifica); valutazione di conformità dei soggetti essenziali: almeno ogni 3 anni dall'inserimento

La Lituania ha completato il recepimento della NIS2 il 18 ottobre 2024, rispettando il termine UE. Il NCSC ha notificato il registro iniziale dei soggetti di cibersicurezza intorno al 17 aprile 2025. Il termine di conformità delle misure organizzative del 17 aprile 2026 è ormai imminente per i soggetti notificati; il termine delle misure tecniche segue il 17 aprile 2027.

16. Punti chiave per le PMI in Lituania

• I soggetti di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione. Si noti che l'ambito di applicazione della Lituania si estende anche all'amministrazione pubblica locale, ai soggetti critici di ricerca e ai fornitori di servizi di hosting di informazioni elettroniche oltre il minimo della Direttiva.
• I piccoli soggetti possono essere designati se critici per la stabilità nazionale o economica.
• La vigilanza di governance a livello di consiglio è obbligatoria. I soggetti devono inoltre nominare un responsabile della cibersicurezza. I soggetti essenziali devono sottoporsi a una valutazione di conformità indipendente almeno ogni tre anni da parte di un organismo di certificazione accreditato.
• La segnalazione degli incidenti segue i termini di 24h / 72h / 1 mese.
• Le sanzioni finanziarie possono raggiungere 10 milioni di euro o il 2% del fatturato globale.
• È richiesta la gestione dei rischi dei fornitori.
• I soggetti non si autoregistrano — il NCSC identifica e notifica direttamente i soggetti. Verificare se la propria organizzazione ha ricevuto una notifica dal NCSC. Se notificata intorno al 17 aprile 2025, le misure organizzative sono dovute entro circa il 17 aprile 2026 e le misure tecniche entro il 17 aprile 2027. I soggetti non ancora notificati dovrebbero contattare il NCSC proattivamente.

FAQ: Guida NIS2 per le PMI in Lituania