Torna alle guide

    NIS2 in Malta

    Guida all'implementazione e alla conformità NIS2 in Malta.

    Malta sta rafforzando il proprio quadro nazionale di cibersicurezza per allinearsi agli obblighi rafforzati introdotti dalla direttiva NIS2. Il regime rivisto amplia la copertura settoriale, formalizza la responsabilità degli organi dirigenti e rafforza i meccanismi di vigilanza e di applicazione. Questa guida fornisce una panoramica strutturata dei requisiti di conformità alla NIS2 a Malta per le PMI che operano nei settori coperti.

    1. Panoramica rapida dell'applicabilità per le PMI a Malta

    NIS2 si applica alle PMI in 1. Panoramica rapida dell'applicabilità per le PMI a Malta?

    Sì — a seconda del settore e delle dimensioni.

    • Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
    • Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
    • Si applica alle entità stabilite in Malta e, in determinati casi, ai fornitori digitali stranieri che servono il mercato maltese.

    Le PMI dovrebbero valutare la propria qualificazione ai sensi del quadro nazionale di cybersicurezza di Malta in base alla classificazione settoriale e alle soglie di legge.

    2. Panoramica dell'attuazione della NIS2 a Malta

    Malta ha recepito la Direttiva NIS2 attraverso il Legal Notice 71 of 2025 (S.L. 460.41 — NIS2 Order), pubblicato l'8 aprile 2025 e pienamente in vigore dal 23 gennaio 2026 ai sensi del L.N. 22 of 2026.

    Il NIS2 Order sostituisce integralmente il precedente quadro NIS1 (L.N. 216 of 2018) e istituisce un modello di vigilanza condiviso: il Critical Infrastructure Protection Department (CIPD) agisce come supervisore nazionale principale, mentre la Malta Communications Authority (MCA) è designata autorità competente per le infrastrutture digitali e i servizi postali e di corriere. Il Critical Infrastructure Protection Advisory Board (CIPAB) assiste il CIPD in materia di sanzioni amministrative.

    All'interno del CIPD è stato istituito un CSIRT nazionale (CSIRT Malta) per coordinare la risposta agli incidenti. Le entità rientranti nell'ambito di applicazione devono designare un CSIRT interno o autonomo e registrarsi presso il CIPD tramite il meccanismo nazionale di autoregistrazione.

    3. Ambito di applicazione a Malta

    Entità essenziali

    Entità operanti in settori altamente critici:

    Entità importanti

    Entità operanti negli altri settori elencati:

    L'ambito di applicazione di Malta riflette le categorie settoriali minime della direttiva, senza un ampliamento strutturale confermato.

    4. Soglie dimensionali e applicabilità alle PMI a Malta

    Si applicano le soglie di base:

    • ≥50 dipendenti, e
    • ≥€10 million fatturato annuo o totale di bilancio.

    Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

    Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

    Le autorità maltesi mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.

    5. Quadro di classificazione delle entità a Malta

    Le entità sono classificate come:

    • Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e attività di monitoraggio strutturato della conformità.
    • Entità importanti — Prevalentemente soggette a vigilanza reattiva attivata da incidenti significativi o da criticità in materia di conformità.

    La classificazione è determinata dal settore e dalla dimensione. Le autorità possono riclassificare le entità qualora l'impatto operativo o l'esposizione al rischio giustifichino una vigilanza rafforzata.

    Malta adotta la struttura di vigilanza a due livelli prevista dalla Direttiva.

    6. Requisiti di gestione del rischio di cibersicurezza a Malta

    Il regime nazionale di Malta è allineato ai requisiti di base della Direttiva in materia di gestione del rischio di cibersicurezza. Le entità rientranti nel campo di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

    • Analisi dei rischi e protezione dei sistemi
    • Rilevamento e risposta agli incidenti
    • Continuità operativa e gestione delle crisi
    • Controlli del rischio NIS2 per la catena di fornitura a Malta
    • Acquisizione e sviluppo sicuri dei sistemi ICT
    • Controllo degli accessi e gestione delle identità
    • Cifratura e misure crittografiche di protezione
    • Procedure di gestione delle vulnerabilità
    • Formazione del personale in materia di cibersicurezza

    Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento a ISO/IEC 27001 e alle linee guida maltesi in materia di cibersicurezza.

    La supervisione della catena di fornitura comprende la due diligence sui fornitori e tutele contrattuali in materia di cibersicurezza.

    7. Responsabilità degli organi di gestione e governance a Malta

    Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cibersicurezza e supervisionarne l'attuazione.

    Secondo il quadro maltese:

    • Gli organi di gestione sono responsabili della vigilanza sulla conformità.
    • L'alta dirigenza deve garantire competenze sufficienti in materia di cibersicurezza.
    • Le sanzioni amministrative possono essere irrogate per carenze di governance.
    • La sospensione temporanea dall'esercizio di funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione allineati alla direttiva.

    Le aspettative di Malta in materia di responsabilità degli organi di gestione ai sensi della NIS2 elevano la governance della cibersicurezza a responsabilità di livello esecutivo.

    8. Obblighi di notifica degli incidenti a Malta

    Definizione di un incidente significativo

    Un incidente è rilevante ai fini della notifica se causa:

    • Grave interruzione operativa
    • Perdita finanziaria significativa
    • Impatto sociale sostanziale
    • Effetti transfrontalieri

    Tempistiche di segnalazione

    Fase di segnalazioneScadenzaAutorità
    Preallerta24 oreCSIRT Malta (CSIRT nazionale istituito all'interno del CIPD)
    Notifica dell'incidente72 oreCSIRT Malta (CSIRT nazionale istituito all'interno del CIPD)
    Relazione finale1 meseCSIRT Malta (CSIRT nazionale istituito all'interno del CIPD)

    Le notifiche di incidenti significativi sono inoltrate a CSIRT Malta, che coordina la risposta nazionale e l'interfaccia a livello UE. Il CIPD resta autorità di vigilanza; la MCA è competente per le infrastrutture digitali e i servizi postali e di corriere. Le entità devono inoltre notificare ai destinatari dei propri servizi gli incidenti significativi quando opportuno.

    9. Autorità di vigilanza e modello di applicazione a Malta

    Supervisore principale: Critical Infrastructure Protection Department (CIPD). Autorità competente per infrastrutture digitali e servizi postali/di corriere: Malta Communications Authority (MCA). Risposta agli incidenti: CSIRT Malta (all'interno del CIPD). Il Primo Ministro può designare ulteriori autorità settoriali con apposito ordine.

    Malta opera un modello di vigilanza condiviso: il CIPD copre la maggior parte dei settori, mentre la MCA è competente per le infrastrutture digitali e i servizi postali e di corriere. Il CIPAB assiste il CIPD in materia di sanzioni amministrative.

    I poteri di vigilanza comprendono:

    • Richieste di documentazione e informazioni
    • Audit di sicurezza
    • Ispezioni in loco
    • Istruzioni vincolanti in materia di conformità
    • Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

    La struttura di applicazione è in linea con i requisiti di cooperazione previsti a livello di direttiva.

    10. Ammende e sanzioni NIS2 a Malta

    Malta applica sanzioni amministrative allineate alla direttiva.

    Entità essenziali

    Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

    Entità importanti

    Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

    L'applicazione delle sanzioni NIS2 a Malta può includere anche:

    • Ingiunzioni vincolanti di adozione di misure correttive
    • Identificazione pubblica delle entità non conformi
    • Sospensione di autorizzazioni o certificazioni
    • Poteri di sospensione delle funzioni dirigenziali

    La responsabilità penale si applica solo ove espressamente prevista dalla legislazione maltese.

    11. Sicurezza della catena di fornitura e dei fornitori secondo la NIS2 a Malta

    Gli enti devono gestire il rischio di cibersicurezza derivante da terze parti attraverso:

    • Valutazioni del rischio dei fornitori
    • Clausole contrattuali di sicurezza a cascata
    • Monitoraggio continuo dei fornitori ICT
    • Analisi del rischio di concentrazione
    • Mitigazione della propagazione degli incidenti

    L'approccio di Malta è allineato alle aspettative minime della direttiva in materia di gestione del rischio dei fornitori.

    12. Obblighi di registrazione e autoidentificazione a Malta

    Le entità rientranti nel campo di applicazione devono:

    • Registrarsi tramite il meccanismo nazionale di autoregistrazione gestito dal CIPD (attivo dal 23 gennaio 2026) e notificare al CIPD la classificazione come entità essenziale o importante
    • Fornire i dati di identificazione dell'entità
    • Indicare la classificazione settoriale
    • Mantenere aggiornati i contatti di notifica

    Tutti gli obblighi NIS2 sono operativi dal 23 gennaio 2026. Le entità devono designare un CSIRT interno o autonomo per il monitoraggio continuo, mantenere disposizioni documentate di continuità operativa e attuare piani di sicurezza per gli operatori.

    L'autoidentificazione è obbligatoria. Le entità devono valutare il proprio status di essenziale/importante in base a settore e dimensione e registrarsi presso il CIPD.

    13. Interazione con il GDPR e altre leggi a Malta

    Il Regolamento generale sulla protezione dei dati continua ad applicarsi parallelamente.

    Gli aspetti di sovrapposizione includono:

    • Notifica di violazione dei dati personali entro 72 ore
    • Coordinamento delle autorità di controllo
    • Indagini parallele in materia di cibersicurezza e protezione dei dati
    • Legislazione maltese specifica di settore sulla cibersicurezza

    Un incidente informatico può far scattare obblighi di notifica in entrambi i regimi.

    14. Applicabilità transfrontaliera

    Le entità il cui stabilimento principale si trova a Malta sono soggette alla vigilanza delle autorità maltesi per i servizi transfrontalieri.

    I fornitori di servizi digitali stranieri che offrono servizi a Malta possono essere soggetti a obblighi nazionali a seconda della struttura di stabilimento.

    I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato maltese.

    15. Tempistiche di attuazione a Malta

    • Adozione della Direttiva: 2022
    • Modifiche legislative nazionali: Legal Notice 71 of 2025 (S.L. 460.41 — NIS2 Order), pubblicato l'8 aprile 2025; L.N. 306 of 2024 che istituisce il CIPD
    • Entrata in vigore: Pienamente in vigore dal 23 gennaio 2026 ai sensi del L.N. 22 of 2026
    • Notifica alla Commissione: Termine iniziale del 17 ottobre 2024 mancato; risolto con la piena entrata in vigore
    • Tappa di conformità: Tutti gli obblighi operativi dal 23 gennaio 2026; richiesti autoregistrazione e designazione di un CSIRT; primi audit formali attesi nella seconda metà del 2027

    Il NIS2 Order è pienamente in vigore dal 23 gennaio 2026 e tutti gli obblighi sono operativi. Le entità non ancora registrate presso il CIPD o che non hanno designato un CSIRT devono agire immediatamente.

    16. Punti chiave per le PMI a Malta

    • Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
    • Le piccole entità possono essere designate se critiche per la stabilità nazionale o economica.
    • La supervisione della governance da parte dell'organo di amministrazione è obbligatoria; gli organi di gestione devono approvare e supervisionare le misure di gestione del rischio di cibersicurezza e seguire formazione in cibersicurezza ove necessario; può applicarsi responsabilità personale in caso di inadempienze.
    • La notifica degli incidenti segue i termini di 24 h / 72 h / 1 mese ed è inviata a CSIRT Malta; le entità di infrastruttura digitale e i servizi postali/di corriere notificano tramite la MCA.
    • Le sanzioni economiche possono raggiungere €10 milioni o il 2 % del fatturato globale.
    • È richiesta la gestione del rischio dei fornitori.
    • Tutti gli obblighi NIS2 sono operativi dal 23 gennaio 2026; le entità devono autoregistrarsi presso il CIPD e designare un CSIRT interno/autonomo. I primi audit formali sono attesi nella seconda metà del 2027; le entità non ancora conformi devono agire immediatamente.

    FAQ: Guida NIS2 per le PMI a Malta

    La NIS2 si applica alle piccole imprese a Malta?

    Le piccole imprese sono generalmente escluse, a meno che siano specificamente designate o operino in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali rientrano automaticamente nel campo di applicazione.

    Quali sono le sanzioni NIS2 a Malta?

    Le Entità essenziali rischiano sanzioni fino a €10 milioni o al 2% del fatturato annuo mondiale. Le Entità importanti rischiano fino a €7 milioni o all'1,4% del fatturato annuo mondiale.

    Quando entra in vigore la NIS2 a Malta?

    Il quadro NIS2 di Malta è pienamente operativo. Il Legal Notice 71 of 2025 (S.L. 460.41) è stato pubblicato l'8 aprile 2025 ed è entrato pienamente in vigore il 23 gennaio 2026 ai sensi del L.N. 22 of 2026. Gli obblighi includono l'autoregistrazione presso il CIPD, la designazione di un CSIRT interno o autonomo, l'attuazione di misure di gestione del rischio e la notifica degli incidenti a CSIRT Malta. I primi audit formali sono attesi nella seconda metà del 2027.

    Chi applica la NIS2 a Malta?

    Il Critical Infrastructure Protection Department (CIPD) è il supervisore nazionale principale, responsabile della conformità, degli audit e delle sanzioni per la maggior parte dei settori. La Malta Communications Authority (MCA) è l'autorità competente per le infrastrutture digitali e i servizi postali e di corriere. CSIRT Malta, istituito all'interno del CIPD, coordina la risposta agli incidenti e riceve le notifiche di incidenti significativi. Il Critical Infrastructure Protection Advisory Board (CIPAB) assiste il CIPD in materia di sanzioni amministrative.

    I direttori possono essere personalmente responsabili ai sensi della NIS2 a Malta?

    Gli organi di gestione devono approvare e supervisionare le misure di cibersicurezza. Gli strumenti amministrativi di enforcement possono includere poteri di sospensione dei dirigenti nei casi più gravi.

    In che modo la NIS2 differisce dal GDPR a Malta?

    La NIS2 disciplina la resilienza in materia di cibersicurezza e la gestione del rischio operativo, mentre il RGPD regola la protezione dei dati personali. Entrambi i quadri possono applicarsi a seguito di un incidente informatico.

    Cosa rientra nella definizione di incidente significativo ai sensi della NIS2 a Malta?

    Un incidente che provoca un'interruzione grave, perdite finanziarie significative, un impatto sociale o conseguenze transfrontaliere in genere soddisfa la soglia di notifica.