Torna alle guide

    NIS2 in Slovacchia

    Guida all'implementazione e alla conformità NIS2 in Slovacchia.

    La Slovacchia sta aggiornando il proprio regime nazionale di cibersicurezza per allinearsi agli obblighi rafforzati introdotti dalla direttiva NIS2. Il quadro rivisto amplia la copertura settoriale, rafforza la responsabilità degli organi di gestione e potenzia i meccanismi di vigilanza e di applicazione. Questa guida offre una panoramica strutturata dei requisiti di conformità alla NIS2 in Slovacchia per le PMI che operano nei settori coperti.

    1. Panoramica rapida dell'applicabilità per le PMI in Slovacchia

    NIS2 si applica alle PMI in Slovacchia?

    Sì — a seconda del settore e delle dimensioni.

    • Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
    • Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
    • Si applica alle entità stabilite in Slovacchia e, in alcuni casi, ai fornitori digitali esteri che servono il mercato slovacco.

    Le PMI dovrebbero valutare se rientrano nel quadro nazionale di cibersicurezza della Slovacchia in base alla classificazione settoriale e alle soglie di legge.

    2. Panoramica dell'attuazione della NIS2 in Slovacchia

    La Slovacchia ha completato il recepimento di NIS2 tramite la Legge n. 366/2024 Coll., che modifica la Legge sulla cybersicurezza n. 69/2018 Coll. Il Consiglio Nazionale ha adottato la legge il 28 novembre 2024, è stata pubblicata nella Raccolta delle Leggi il 19 dicembre 2024 ed è entrata in vigore il 1° gennaio 2025, rendendo la Slovacchia il 4° Stato membro dell'UE a completare il recepimento.

    Il quadro modificato allinea il regime slovacco alla Direttiva (UE) 2022/2555 ed è reso operativo tramite la piattaforma JISKB (gestita dal NBÚ) per la registrazione e la notifica degli incidenti, mentre SK-CERT (National Cyber Security Centre, all'interno del NBÚ) funge da CSIRT nazionale. La gestione del rischio è allineata alla famiglia di norme ISO 27000, integrata da un'ordinanza di supporto sulle misure di sicurezza sviluppata nel 2025.

    Si prevede che circa 3.500–14.000 entità rientrino nell'ambito di applicazione. Il regime slovacco va oltre il minimo della Direttiva, regolando esplicitamente le terze parti della catena di fornitura come entità dirette; la piena conformità a tutti gli obblighi è richiesta entro il 31 dicembre 2026.

    3. Ambito di applicazione in Slovacchia

    Entità essenziali

    Entità operanti in settori altamente critici:

    Entità importanti

    Entità operanti negli altri settori elencati:

    L'ambito della Slovacchia riflette le categorie settoriali minime previste dalla Direttiva, senza un'espansione strutturale confermata.

    4. Soglie dimensionali e applicabilità alle PMI in Slovacchia

    Si applicano le soglie di base:

    • ≥50 dipendenti, e
    • ≥€10 million fatturato annuo o totale di bilancio.

    Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

    Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

    Le autorità slovacche mantengono poteri formali di designazione laddove il rischio sistemico giustifichi l'inclusione.

    5. Quadro di classificazione delle entità in Slovacchia

    Le entità sono classificate come:

    • Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
    • Entità importanti — Principalmente soggette a vigilanza reattiva attivata da incidenti significativi o da criticità in materia di conformità.

    La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l’impatto operativo o l’esposizione al rischio giustificano un rafforzamento della vigilanza.

    La Slovacchia segue la struttura di vigilanza a due livelli della Direttiva.

    6. Requisiti di gestione del rischio di cibersicurezza in Slovacchia

    Il regime nazionale della Slovacchia è allineato alla linea di base della Direttiva per la gestione del rischio di cibersicurezza. Le entità rientranti nel campo di applicazione devono implementare misure tecniche e organizzative proporzionate che affrontino:

    • Analisi del rischio e protezione dei sistemi
    • Rilevamento e risposta agli incidenti
    • Continuità operativa e gestione delle crisi
    • Controlli del rischio della catena di fornitura NIS2 in Slovacchia
    • Acquisizione e sviluppo sicuri dei sistemi TIC
    • Controllo degli accessi e gestione delle identità
    • Cifratura e misure di sicurezza crittografiche
    • Procedure di gestione delle vulnerabilità
    • Formazione del personale in materia di cybersicurezza

    Le misure devono riflettere standard allo stato dell’arte e l’esposizione al rischio dell’organizzazione. È incoraggiato l’allineamento a ISO/IEC 27001 e alle linee guida slovacche in materia di cibersicurezza.

    7. Responsabilità della direzione e governance in Slovacchia

    Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cibersicurezza e sovrintenderne l'attuazione.

    Nel quadro normativo della Slovacchia:

    • I consigli di amministrazione sono responsabili della vigilanza sulla conformità.
    • L'alta dirigenza deve garantire competenze sufficienti in materia di cibersicurezza.
    • Le sanzioni amministrative possono essere comminate per carenze di governance.
    • La sospensione temporanea delle funzioni dirigenziali può essere prevista da meccanismi di applicazione conformi alla direttiva.

    Le aspettative in materia di responsabilità della direzione ai sensi della NIS2 in Slovacchia elevano la governance della cibersicurezza a responsabilità a livello esecutivo.

    8. Obblighi di notifica degli incidenti in Slovacchia

    Definizione di un incidente significativo

    Un incidente è considerato tale se causa:

    • Grave interruzione operativa
    • Perdita finanziaria significativa
    • Impatto sociale sostanziale
    • Effetti transfrontalieri

    Tempistiche di segnalazione

    Fase di segnalazioneScadenzaAutorità
    Preallerta24 oreNational Security Authority (NBÚ)
    Notifica dell'incidente72 oreNational Security Authority (NBÚ)
    Relazione finale1 meseNational Security Authority (NBÚ)

    La Slovacchia segue la struttura di notifica della Direttiva di 24h / 72h / 1 mese. Le notifiche sono inviate tramite la piattaforma JISKB a SK-CERT (CSIRT nazionale all'interno del NBÚ), che resta l'autorità di vigilanza centrale. La legge prevede un rapporto intermedio su richiesta del CSIRT tra la notifica a 72 ore e il rapporto finale. È disponibile la notifica volontaria per incidenti non significativi, minacce informatiche e quasi-incidenti; le entità essenziali e importanti devono inoltre notificare quasi-incidenti e vulnerabilità.

    9. Autorità di vigilanza e modello di applicazione in Slovacchia

    Autorità principale: NBÚ (Národný bezpečnostný úrad) — autorità nazionale competente, punto di contatto unico e principale organo di vigilanza. SK-CERT (National Cyber Security Centre) opera all'interno del NBÚ come CSIRT nazionale per la gestione, l'analisi e il coordinamento degli incidenti.

    La Slovacchia adotta un modello di vigilanza centralizzato guidato dal NBÚ. I ministeri settoriali (es. Ministero della Salute, Ministero dei Trasporti) svolgono ruoli settoriali complementari. La registrazione e la notifica degli incidenti avvengono tramite la piattaforma JISKB, gestita dal NBÚ, che funge sia da registro di conformità sia da piattaforma di notifica.

    I poteri di vigilanza includono:

    • Richieste di documentazione e informazioni
    • Audit di sicurezza
    • Ispezioni in loco
    • Istruzioni vincolanti in materia di conformità
    • Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

    La struttura di applicazione è allineata ai requisiti di cooperazione previsti a livello di Direttiva.

    10. Sanzioni e ammende NIS2 in Slovacchia

    La Slovacchia applica sanzioni amministrative allineate alla Direttiva.

    Entità essenziali

    Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

    Entità importanti

    Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

    L'applicazione delle sanzioni NIS2 in Slovacchia può includere anche:

    • Ordini vincolanti di porre rimedio
    • Identificazione pubblica delle entità non conformi
    • Sospensione delle autorizzazioni o delle certificazioni
    • Poteri di sospensione delle funzioni dirigenziali

    La responsabilità penale si applica solo laddove espressamente prevista dalla legislazione slovacca.

    11. Sicurezza della catena di fornitura e dei fornitori secondo NIS2 in Slovacchia

    Le entità devono gestire l'esposizione ai rischi di cibersicurezza derivanti da terze parti attraverso:

    • Valutazioni del rischio dei fornitori
    • Clausole contrattuali di sicurezza a cascata
    • Monitoraggio continuo dei fornitori ICT
    • Analisi del rischio di concentrazione
    • Mitigazione della propagazione degli incidenti

    L'approccio della Slovacchia è allineato alle aspettative di base della Direttiva NIS2 in materia di gestione del rischio dei fornitori.

    12. Obblighi di registrazione e di autoidentificazione in Slovacchia

    Le entità rientranti nell'ambito di applicazione devono:

    • Registrarsi presso il NBÚ tramite la piattaforma JISKB (jiskb.sk.gov.sk) — le entità rientranti nell'ambito al 1° gen 2025 avevano un termine di registrazione fino a circa il 1° mar 2025 (scaduto); le nuove entità devono registrarsi entro 60 giorni dall'ingresso nell'ambito; le entità già registrate nel quadro NIS1 precedente sono state trasferite automaticamente, senza necessità di nuova registrazione
    • Fornire i dati identificativi societari
    • Comunicare la classificazione settoriale — utilizzare l'assistente di classificazione online del NBÚ per determinare lo status di entità essenziale/importante prima della registrazione
    • Mantenere aggiornati i contatti per le notifiche

    La piattaforma JISKB funge sia da piattaforma di registrazione sia da hub per la notifica degli incidenti. Si applicano sanzioni aggiuntive in caso di mancata registrazione, mancato svolgimento degli audit/autovalutazioni richiesti o mancata adozione di misure correttive entro le scadenze. La piena conformità a tutti gli obblighi è richiesta entro il 31 dicembre 2026.

    L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie previste dalla legge. Tutte le registrazioni e le notifiche di incidenti avvengono tramite la piattaforma JISKB.

    13. Interazione con il GDPR e altre leggi in Slovacchia

    Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

    Le considerazioni sulle sovrapposizioni includono:

    • Notifica di violazione dei dati personali entro 72 ore
    • Coordinamento delle autorità di controllo

    14. Applicabilità transfrontaliera

    Le entità con lo stabilimento principale in Slovacchia sono sottoposte alla supervisione delle autorità slovacche per i servizi transfrontalieri.

    I fornitori di servizi digitali stranieri che offrono servizi in Slovacchia possono essere soggetti a obblighi nazionali in base alla struttura dello stabilimento.

    I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato slovacco.

    15. Tempistiche di attuazione in Slovacchia

    • Adozione della Direttiva: 2022
    • Modifiche legislative nazionali: Legge n. 366/2024 Coll. adottata dal Consiglio Nazionale il 28 nov 2024; pubblicata nella Raccolta delle Leggi il 19 dic 2024; ordinanza di supporto sulle misure di sicurezza sviluppata nel 2025
    • Entrata in vigore: 1° gennaio 2025 — la Slovacchia è stata il 4° Stato membro dell'UE a completare il recepimento
    • Notifica alla Commissione: Pienamente notificata; nessun parere motivato pendente della Commissione europea
    • Tappa di conformità: Termine di registrazione sulla piattaforma JISKB ~1° mar 2025 (scaduto) per le entità rientranti nell'ambito al 1° gen 2025; nuove entità entro 60 giorni dall'ingresso nell'ambito; piena conformità a tutti gli obblighi entro il 31 dicembre 2026

    La Slovacchia ha completato il recepimento il 1° gennaio 2025, in anticipo rispetto alla maggior parte dei pari UE. Il termine iniziale di registrazione tramite JISKB è scaduto; la piena conformità ai sensi della Legge sulla cybersicurezza modificata è richiesta entro il 31 dicembre 2026. Le entità non ancora registrate devono agire immediatamente.

    16. Punti chiave per le PMI in Slovacchia

    • Le entità di medie dimensioni nei settori interessati rientrano automaticamente nell'ambito di applicazione. La Legge n. 366/2024 Coll. è in vigore dal 1° gennaio 2025; utilizzare l'assistente di classificazione online del NBÚ per verificare lo status di entità essenziale/importante.
    • Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
    • La vigilanza a livello di organo di gestione è obbligatoria.
    • La notifica degli incidenti segue le scadenze di 24 ore / 72 ore / 1 mese. Le notifiche sono inviate tramite la piattaforma JISKB a SK-CERT (CSIRT nazionale); SK-CERT può richiedere un rapporto intermedio.
    • Le sanzioni pecuniarie possono arrivare fino a €10 milioni o al 2% del fatturato annuo mondiale.
    • È richiesta la gestione del rischio dei fornitori.
    • Il termine iniziale di registrazione (~1° mar 2025) è scaduto — le entità non ancora registrate devono procedere immediatamente tramite la piattaforma JISKB. La piena conformità a tutti gli obblighi è richiesta entro il 31 dicembre 2026; il quadro di gestione del rischio dovrebbe essere allineato alle norme ISO 27000.

    FAQ: Guida NIS2 per le PMI in Slovacchia

    NIS2 si applica alle piccole imprese in Slovacchia?

    Le piccole imprese sono in genere escluse, salvo designazione o se operano in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali rientrano automaticamente.

    Quali sono le sanzioni NIS2 in Slovacchia?

    Le entità essenziali sono soggette a sanzioni fino a €10 milioni o al 2% del fatturato annuo globale. Le entità importanti sono soggette a sanzioni fino a €7 milioni o all'1,4% del fatturato annuo globale.

    Quando entra in vigore NIS2 in Slovacchia?

    La Legge n. 366/2024 Coll., che ha modificato la Legge sulla cybersicurezza n. 69/2018 Coll. della Slovacchia per recepire NIS2, è entrata in vigore il 1° gennaio 2025. La Slovacchia è stata il quarto Stato membro dell'UE a completare il recepimento. Il termine iniziale di registrazione tramite la piattaforma JISKB (circa il 1° marzo 2025) è scaduto — le entità non ancora registrate dovrebbero farlo immediatamente tramite la piattaforma JISKB. La piena conformità a tutti gli obblighi ai sensi della Legge modificata è richiesta entro il 31 dicembre 2026.

    Chi applica NIS2 in Slovacchia?

    La National Security Authority (NBÚ) funge da autorità di vigilanza primaria, coordinandosi con i regolatori settoriali ove applicabile.

    Gli amministratori possono essere personalmente responsabili ai sensi di NIS2 in Slovacchia?

    Gli organi di gestione devono approvare e supervisionare le misure di cybersicurezza. Gli strumenti di enforcement amministrativo possono includere poteri di sospensione delle funzioni dirigenziali nei casi gravi.

    In che modo NIS2 differisce dal GDPR in Slovacchia?

    NIS2 disciplina la resilienza della cybersicurezza e la gestione del rischio operativo, mentre il GDPR regola la protezione dei dati personali. Entrambi i quadri possono applicarsi in seguito a un incidente informatico.

    Cosa costituisce un incidente significativo ai sensi di NIS2 in Slovacchia?

    Un incidente che provochi una grave interruzione, perdite finanziarie significative, impatto sulla società o conseguenze transfrontaliere soddisfa in genere la soglia di segnalazione.