NIS2 in Lussemburgo

1. Panoramica rapida dell'applicabilità per le PMI in Lussemburgo

NIS2 si applica alle PMI in Lussemburgo?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Lussemburgo e, in alcuni casi, ai fornitori digitali stranieri che servono il mercato lussemburghese.

Le PMI dovrebbero valutare la loro qualificazione ai sensi del quadro nazionale di cybersicurezza del Lussemburgo in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell'attuazione di NIS2 in Lussemburgo

Il Lussemburgo sta recependo la NIS2 attraverso il Disegno di legge 8364 (Projet de loi n° 8364 concernant des mesures destinées à assurer un niveau élevé de cybersécurité), depositato alla Camera dei Deputati il 13 marzo 2024. Ad aprile 2026 il Disegno di legge non è ancora stato approvato — il Lussemburgo ha mancato il termine UE di recepimento del 17 ottobre 2024 e ha ricevuto un parere motivato della CE a maggio 2025 per mancata notifica del recepimento completo.

Il Consiglio di Stato ha emesso un parere complementare a dicembre 2025 convalidando parzialmente gli emendamenti governativi; il Disegno di legge è in attesa dell'adozione definitiva. Il quadro NIS1 continua ad applicarsi nel frattempo.

Una volta approvato, il Disegno di legge sostituirà la legge NIS1 e introdurrà un ambito significativamente ampliato — da circa 1.000 entità sotto NIS1 a circa 6.000–8.000 sotto NIS2, comprese imprese manifatturiere di medie dimensioni e comuni con oltre 50.000 abitanti. Il modello di vigilanza proposto è una struttura di autorità divisa: l'Institut Luxembourgeois de Régulation (ILR) sarà l'autorità competente per la grande maggioranza dei settori, mentre la Commission de Surveillance du Secteur Financier (CSSF) vigilerà su banche, infrastrutture dei mercati finanziari, infrastrutture digitali e gestione dei servizi TIC nell'ambito finanziario. L'HCPN mantiene la responsabilità di coordinamento strategico. L'ILR ha lanciato la piattaforma SERIMA come portale centralizzato di notifica degli incidenti e, infine, di registrazione.

3. Ambito di applicazione in Lussemburgo

L'ambito di applicazione del Lussemburgo riflette le categorie settoriali minime della Direttiva, senza un'estensione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Lussemburgo

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità del Lussemburgo conservano i poteri di designazione formale quando il rischio sistemico giustifica l'inclusione.

5. Quadro di classificazione delle entità in Lussemburgo

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, comprese ispezioni e monitoraggio strutturato della conformità.
• Entità importanti — Soggette principalmente a vigilanza reattiva attivata da incidenti significativi o da preoccupazioni relative alla conformità.

La classificazione è determinata da settore e dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

Il Lussemburgo segue la struttura di vigilanza a due livelli prevista dalla Direttiva.

6. Requisiti di gestione dei rischi di cibersicurezza in Lussemburgo

Il regime nazionale del Lussemburgo è allineato alla base di riferimento della Direttiva per la gestione dei rischi di cibersicurezza. Le entità rientranti nell'ambito di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

• Analisi del rischio e protezione dei sistemi
• Rilevazione e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli del rischio NIS2 per la catena di fornitura in Lussemburgo
• Acquisizione e sviluppo sicuri dei sistemi TIC
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di protezione crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cibersicurezza

Le misure devono riflettere gli standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento a ISO/IEC 27001 e alle linee guida lussemburghesi sulla cibersicurezza.

7. Responsabilità dell'organo di gestione e governance in Lussemburgo

Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cibersicurezza e sovrintenderne l'attuazione.

Nel quadro normativo lussemburghese:

• Gli organi di gestione sono responsabili della vigilanza sulla conformità.
• L'alta dirigenza deve garantire un'adeguata competenza in materia di cibersicurezza.
• Le sanzioni amministrative possono essere applicate in caso di carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione allineati alla direttiva.

Le aspettative del Lussemburgo in materia di responsabilità dell'organo di gestione ai sensi della NIS2 elevano la governance della cibersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di segnalazione degli incidenti in Lussemburgo

9. Autorità di vigilanza e modello di applicazione in Lussemburgo

Autorità competente principale (proposta dal Disegno di legge 8364, non ancora approvato): Institut Luxembourgeois de Régulation (ILR) per la grande maggioranza dei settori; Commission de Surveillance du Secteur Financier (CSSF) per banche, infrastrutture dei mercati finanziari e infrastrutture digitali e gestione dei servizi TIC connesse. L'HCPN (Haut-Commissariat à la Protection nationale) mantiene la responsabilità di coordinamento strategico della politica nazionale di cybersicurezza, ma non è l'autorità principale di esecuzione.

Il modello proposto dal Lussemburgo sotto il Disegno di legge 8364 è una struttura di vigilanza divisa: l'ILR è capofila per la maggior parte dei settori e la CSSF per le entità finanziarie, con l'HCPN come coordinatore strategico nazionale. Tale struttura non è ancora giuridicamente operativa — il quadro NIS1 e le sue attuali disposizioni di vigilanza continuano ad applicarsi in attesa dell'approvazione.

I poteri di vigilanza comprendono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE per la cibersicurezza

La struttura di esecuzione proposta è in linea con i requisiti di cooperazione della Direttiva. Tali poteri di vigilanza ed esecuzione non sono ancora giuridicamente operativi in attesa dell'approvazione del Disegno di legge 8364.

10. Sanzioni e ammende NIS2 in Lussemburgo

Il Lussemburgo applica sanzioni amministrative allineate alla direttiva NIS2.

L'applicazione delle sanzioni NIS2 in Lussemburgo può includere anche:

• Ordini vincolanti di adozione di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione delle autorizzazioni o delle certificazioni
• Poteri di sospensione dei dirigenti

Entità Importanti: fino a 7 milioni di € o 1,4% del fatturato annuo mondiale totale (a seconda di quale sia maggiore).

11. NIS2: sicurezza della catena di fornitura e dei fornitori in Lussemburgo

Le entità devono gestire l'esposizione al rischio di cybersicurezza dei terzi attraverso:

• Valutazioni del rischio dei fornitori
• Disposizioni contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio del Lussemburgo è allineato alle aspettative di base della direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione in Lussemburgo

I soggetti rientranti nell'ambito di applicazione devono:

• In base al Disegno di legge 8364 (non ancora approvato), le entità si autoregistreranno tramite la piattaforma SERIMA dell'ILR. Le entità già coperte da NIS1 saranno automaticamente classificate come entità essenziali, sebbene l'autoregistrazione resti raccomandata. Attualmente non sussiste alcun obbligo di registrazione NIS2 in Lussemburgo — si applica il quadro NIS1 in attesa dell'approvazione.
• Fornire i dati identificativi dell'azienda
• Indicare la classificazione settoriale
• Mantenere aggiornati i contatti di notifica

Termini di registrazione e tempistiche di conformità saranno stabiliti dopo l'approvazione del Disegno di legge 8364. Sulla base degli orientamenti disponibili, la registrazione tramite il portale dell'ILR è prevista entro mesi dall'approvazione, con controlli di governance e piena conformità tecnica scaglionati nei periodi successivi.

L'auto-identificazione sarà obbligatoria ai sensi della legge approvata. Le entità dovrebbero condurre fin da ora valutazioni di ambito utilizzando gli orientamenti e le FAQ pubblicati dall'ILR per determinare la probabile classificazione come essenziali o importanti, in preparazione all'approvazione.

13. Interazione con il RGPD e altre leggi in Lussemburgo

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le considerazioni sulle sovrapposizioni includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo
• Indagini parallele su cibersicurezza e protezione dei dati personali
• Legislazione settoriale del Lussemburgo sulla cibersicurezza

Un incidente informatico può far scattare obblighi di notifica in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con la sede principale in Lussemburgo sono soggette alla vigilanza delle autorità lussemburghesi per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Lussemburgo possono essere soggetti a obblighi nazionali in funzione della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato lussemburghese.

15. Tempistica di attuazione in Lussemburgo

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: Disegno di legge 8364 (Projet de loi n° 8364) depositato alla Camera dei Deputati il 13 marzo 2024; emendamento governativo pubblicato il 13 marzo 2025; parere complementare del Consiglio di Stato emesso a dicembre 2025 — con convalida parziale degli emendamenti e richiesta di ulteriori adeguamenti; Disegno di legge in attesa di adozione definitiva.
• Entrata in vigore: Non ancora approvato ad aprile 2026; approvazione prevista nel corso del 2026; la legge NIS1 resta in vigore nel frattempo.
• Notifica alla Commissione: Parere motivato della CE emesso il 7 maggio 2025 per mancata notifica del recepimento completo; il rinvio alla Corte di giustizia dell'UE resta possibile in caso di ulteriore ritardo.
• Traguardo di conformità: Nessuna scadenza NIS2 attualmente attiva; i traguardi di registrazione, organizzativi e tecnici saranno fissati dopo l'approvazione e dovrebbero essere scaglionati nel periodo 2026–2028.

Il Lussemburgo ha mancato il termine UE di recepimento NIS2 del 17 ottobre 2024 e resta soggetto a procedura di infrazione della CE. Il Disegno di legge 8364 è in attesa di adozione definitiva da parte della Camera dei Deputati. NIS1 continua ad applicarsi alle entità regolamentate esistenti. L'approvazione e l'avvio del portale di registrazione dell'ILR sono previsti nel corso del 2026; le entità dovrebbero completare fin da ora le valutazioni di ambito.

16. Punti chiave per le PMI in Lussemburgo

• Le entità di medie dimensioni nei settori coperti rientreranno automaticamente nell'ambito una volta approvato il Disegno di legge 8364. L'ambito proposto dal Lussemburgo è sensibilmente più ampio rispetto a NIS1 — da circa 1.000 a circa 6.000–8.000 entità, comprese imprese manifatturiere di medie dimensioni e comuni con oltre 50.000 abitanti.
• Le piccole entità possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione di governance a livello di consiglio è obbligatoria.
• La notifica di incidenti seguirà i termini di 24h / 72h / 1 mese una volta approvato il Disegno di legge 8364. Le segnalazioni saranno trasmesse tramite la piattaforma SERIMA dell'ILR — all'ILR per la maggior parte dei settori e alla CSSF per le entità del settore finanziario.
• Le sanzioni finanziarie possono raggiungere 10 milioni di € o il 2% del fatturato mondiale.
• La gestione dei rischi dei fornitori è obbligatoria.
• Il Disegno di legge 8364 non è ancora stato approvato, ma l'approvazione è prevista nel corso del 2026. Le entità dovrebbero condurre fin da ora valutazioni di ambito utilizzando gli orientamenti e le FAQ pubblicati dall'ILR, determinare se ricadano sotto la vigilanza dell'ILR o della CSSF, e preparare le informazioni di registrazione per il portale SERIMA.

FAQ: Guida NIS2 per le PMI in Lussemburgo