Torna alle guide

    NIS2 in Slovenia

    Guida all'implementazione e alla conformità NIS2 in Slovenia.

    La Slovenia sta aggiornando il proprio regime nazionale di cybersicurezza per allinearsi agli obblighi rafforzati introdotti dalla Direttiva NIS 2. Il quadro rivisto amplia la copertura settoriale, rafforza la responsabilità degli organi di gestione e potenzia i meccanismi di vigilanza e applicazione. Questa guida offre una panoramica strutturata dei requisiti di conformità alla NIS 2 in Slovenia per le PMI che operano nei settori coperti.

    1. Panoramica rapida dell'applicabilità per le PMI in Slovenia

    NIS2 si applica alle PMI in Slovenia?

    Sì — a seconda del settore e delle dimensioni.

    • Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
    • Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
    • Si applica ai soggetti stabiliti in Slovenia e, in alcuni casi, ai fornitori digitali esteri che servono il mercato sloveno.

    Le PMI dovrebbero valutare l'assoggettabilità al quadro nazionale sloveno di cybersicurezza in base alla classificazione settoriale e alle soglie di legge.

    2. Panoramica dell'attuazione della Direttiva NIS 2 in Slovenia

    La Slovenia ha completato il recepimento della NIS2 attraverso la Legge sulla sicurezza dell'informazione (ZInfV-1) (Zakon o informacijski varnosti), una nuova legge organica che sostituisce la precedente ZInfV (2018). La legge è stata adottata dall'Assemblea Nazionale il 23 maggio 2025, pubblicata nella Gazzetta Ufficiale n. 40/25 il 4 giugno 2025 ed è entrata in vigore il 19 giugno 2025.

    La Slovenia ha mancato il termine iniziale di recepimento del 17 ottobre 2024; la Commissione europea ha emesso un parere motivato il 7 maggio 2025 e il recepimento è stato completato con procedura d'urgenza. ZInfV-1 estende l'ambito di applicazione oltre il minimo della Direttiva per includere istituzioni di ricerca e di istruzione superiore, con un quadro di requisiti di cybersicurezza allegato alla legge e il riferimento a ISO/IEC 27001 come standard applicabile.

    URSIV (Urad Vlade Republike Slovenije za informacijsko varnost — Ufficio governativo per la sicurezza dell'informazione) è l'autorità principale e funge anche da NCC-SI e da punto di contatto unico nazionale. SI-CERT (gestito da ARNES) è il CSIRT nazionale per il settore privato; SIGOV-CERT si occupa delle istituzioni governative. Gli obblighi di gestione dei rischi si applicano in modo scaglionato: 12 mesi (entro il 19 giugno 2026) per i soggetti già designati come fornitori di servizi essenziali ai sensi della precedente ZInfV, e 18 mesi (entro il 19 dicembre 2026) per tutti gli altri soggetti essenziali e importanti.

    3. Ambito di applicazione in Slovenia

    Entità essenziali

    Entità operanti in settori altamente critici:

    Entità importanti

    Entità operanti negli altri settori elencati:

    L'ambito della Slovenia riflette le categorie settoriali minime della direttiva senza un'espansione strutturale confermata.

    4. Soglie dimensionali e applicabilità alle PMI in Slovenia

    Si applicano le soglie di base:

    • ≥50 dipendenti, e
    • ≥€10 million fatturato annuo o totale di bilancio.

    Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

    Le piccole e micro imprese possono essere designate se ritenute critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

    Le autorità slovene mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.

    5. Quadro di classificazione delle entità in Slovenia

    Le entità sono classificate come:

    • Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
    • Entità importanti — Soggette principalmente a vigilanza reattiva attivata da incidenti significativi o da criticità di conformità.

    La classificazione è determinata da settore e dimensione. Le autorità possono riclassificare le entità quando l’impatto operativo o l’esposizione al rischio giustificano un rafforzamento della vigilanza.

    La Slovenia adotta la struttura di vigilanza a due livelli della Direttiva.

    6. Requisiti di gestione del rischio di cibersicurezza in Slovenia

    Il regime nazionale della Slovenia è allineato al livello di riferimento della Direttiva per la gestione del rischio di cibersicurezza. Le entità rientranti nel campo di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

    • Analisi dei rischi e protezione dei sistemi
    • Rilevamento e risposta agli incidenti
    • Continuità operativa e gestione delle crisi
    • Controlli del rischio della catena di fornitura NIS2 in Slovenia
    • Acquisizione e sviluppo in sicurezza dei sistemi ICT
    • Controllo degli accessi e gestione delle identità
    • Cifratura e misure crittografiche
    • Procedure di gestione delle vulnerabilità
    • Formazione del personale sulla cibersicurezza

    Le misure devono riflettere lo stato dell’arte e l’esposizione al rischio dell’organizzazione. È incoraggiato l’allineamento a ISO/IEC 27001 e agli orientamenti sloveni in materia di cibersicurezza.

    7. Responsabilità della direzione e governance in Slovenia

    Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di sicurezza informatica e vigilare sulla loro attuazione.

    Nel quadro normativo della Slovenia:

    • Gli organi di gestione sono responsabili della vigilanza sulla conformità.
    • L'alta dirigenza deve garantire competenze sufficienti in materia di cibersicurezza.
    • Le sanzioni amministrative possono intervenire in caso di carenze di governance.
    • La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione allineati alla Direttiva.

    Le aspettative della Slovenia in materia di responsabilità gestionale ai sensi della NIS2 elevano la governance della sicurezza informatica a una responsabilità di livello dirigenziale.

    8. Obblighi di notifica degli incidenti in Slovenia

    Definizione di un incidente significativo

    Un incidente è rilevante se causa:

    • Grave interruzione operativa
    • Perdita finanziaria significativa
    • Impatto sociale sostanziale
    • Effetti transfrontalieri

    Tempistiche di segnalazione

    Fase di segnalazioneScadenzaAutorità
    Preallerta24 oreURSIV e SI-CERT (settore privato) / SIGOV-CERT (enti governativi)
    Notifica dell'incidente72 oreURSIV e SI-CERT (settore privato) / SIGOV-CERT (enti governativi)
    Relazione finale1 meseURSIV e SI-CERT (settore privato) / SIGOV-CERT (enti governativi)

    La Slovenia segue la struttura 24h / 72h / 1 mese della Direttiva. Ai sensi di ZInfV-1, i soggetti segnalano gli incidenti significativi a URSIV (autorità di vigilanza) e al CSIRT nazionale competente — SI-CERT (gestito da ARNES) per il settore privato e gli incidenti generali, oppure SIGOV-CERT (CSIRT dell'Ufficio governativo per la sicurezza dell'informazione) per gli enti governativi. I soggetti devono inoltre informare i destinatari dei propri servizi qualora un incidente significativo possa incidere sull'erogazione del servizio.

    9. Autorità di vigilanza e modello di applicazione in Slovenia

    Autorità principale: URSIV (Urad Vlade Republike Slovenije za informacijsko varnost) — Ufficio governativo per la sicurezza dell'informazione. Ai sensi di ZInfV-1, URSIV funge anche da Centro nazionale di coordinamento per la cybersicurezza (NCC-SI) e da punto di contatto unico nazionale. SI-CERT (gestito da ARNES) è il CSIRT nazionale per il settore privato; SIGOV-CERT si occupa delle istituzioni governative.

    La Slovenia adotta un modello di vigilanza centralizzato guidato da URSIV. I soggetti essenziali sono soggetti a ispezioni sia proattive (ex-ante) sia reattive (ex-post), mentre i soggetti importanti sono soggetti solo a ispezioni reattive. I soggetti essenziali devono sottoporre la conformità a valutazione da parte di un Organismo di valutazione della conformità (CAB) accreditato almeno ogni due anni; i soggetti importanti effettuano un'autovalutazione almeno ogni due anni.

    I poteri di vigilanza includono:

    • Richieste di documentazione e informazioni
    • Audit di sicurezza
    • Ispezioni in loco
    • Istruzioni vincolanti in materia di conformità
    • Partecipazione ai meccanismi di coordinamento dell'UE in materia di cybersicurezza

    La struttura di applicazione è allineata ai requisiti di cooperazione previsti dalla direttiva.

    10. Sanzioni e ammende NIS2 in Slovenia

    La Slovenia applica sanzioni amministrative conformi alla direttiva.

    Entità essenziali

    Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

    Entità importanti

    Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

    L'applicazione delle sanzioni NIS2 in Slovenia può inoltre comprendere:

    • Ordini vincolanti di remediation
    • Identificazione pubblica dei soggetti non conformi
    • Sospensione di autorizzazioni o certificazioni
    • Poteri di sospensione dei dirigenti
    • Interdizione della direzione ai sensi del Codice societario sloveno per negligenza persistente

    11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Slovenia

    I soggetti devono gestire l'esposizione ai rischi di sicurezza informatica derivanti da terzi attraverso:

    • Valutazioni del rischio dei fornitori
    • Clausole contrattuali di sicurezza a cascata
    • Monitoraggio continuo dei fornitori ICT
    • Analisi del rischio di concentrazione
    • Mitigazione della propagazione degli incidenti

    L'approccio della Slovenia è in linea con le aspettative di base della direttiva in materia di gestione del rischio dei fornitori.

    12. Obblighi di registrazione e di autoidentificazione in Slovenia

    I soggetti rientranti nell'ambito di applicazione devono:

    • Registrarsi presso URSIV — i soggetti già nell'ambito di applicazione al 19 giugno 2025 avevano come termine di registrazione il 19 dicembre 2025 (6 mesi dall'entrata in vigore, ormai scaduto); i nuovi soggetti devono registrarsi entro 30 giorni dall'ingresso nell'ambito di applicazione della Legge; la registrazione iniziale avviene mediante invio digitale delle informazioni a URSIV in attesa dell'avvio di una piattaforma formale di autoregistrazione
    • Fornire i dati identificativi aziendali
    • Dichiarare la classificazione settoriale
    • Mantenere aggiornati i contatti per le segnalazioni

    ZInfV-1 impone ai soggetti l'adozione di un Sistema di gestione della sicurezza delle informazioni (ISMS) e di un Sistema di gestione della continuità operativa (BCMS) documentati, comprensivi di analisi dei rischi, piani di risposta agli incidenti, piani di continuità operativa e piani di ripristino dei sistemi. Le misure di gestione dei rischi degli Articoli 21 e 22 devono essere attuate entro il 19 giugno 2026 (soggetti già designati come fornitori di servizi essenziali ai sensi della precedente ZInfV / 12 mesi) ed entro il 19 dicembre 2026 (tutti gli altri soggetti essenziali e importanti / 18 mesi).

    L'autoidentificazione è obbligatoria qualora i soggetti soddisfino le soglie di legge. La certificazione ISO/IEC 27001 (rilasciata da un organismo accreditato SA) è esplicitamente menzionata come standard applicabile e può essere utilizzata per le valutazioni di conformità; i soggetti essenziali devono sottoporre la conformità a valutazione da parte di un Organismo di valutazione della conformità (CAB) accreditato almeno ogni due anni.

    13. Interazione con il GDPR e altre leggi in Slovenia

    Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

    Le considerazioni sulle sovrapposizioni includono:

    • Notifica di violazione dei dati personali entro 72 ore
    • Coordinamento delle autorità di controllo

    14. Applicabilità transfrontaliera

    Le entità con stabilimento principale in Slovenia sono soggette alla vigilanza delle autorità slovene per i servizi transfrontalieri.

    I fornitori di servizi digitali stranieri che offrono servizi in Slovenia possono essere soggetti a obblighi nazionali a seconda della loro struttura di stabilimento.

    I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE che servono il mercato sloveno.

    15. Tempistiche di attuazione in Slovenia

    • Adozione della Direttiva: 2022
    • Adozione della Direttiva: 2022
    • Legislazione nazionale: Legge sulla sicurezza dell'informazione (ZInfV-1) adottata il 23 maggio 2025; pubblicata nella Gazzetta Ufficiale n. 40/25 il 4 giugno 2025; adottata con procedura d'urgenza a seguito del parere motivato della CE del 7 maggio 2025
    • Entrata in vigore: 19 giugno 2025 (15 giorni dopo la pubblicazione); ZInfV-1 sostituisce la precedente ZInfV (2018)
    • Notifica alla Commissione: Parere motivato della CE del 7 maggio 2025 per mancata notifica; risolto a seguito dell'adozione e dell'entrata in vigore il 19 giugno 2025
    • Tappe di conformità: Termine di registrazione presso URSIV (soggetti nell'ambito di applicazione al 19 giugno 2025) — 19 dicembre 2025 (scaduto); registrazione dei nuovi soggetti — 30 giorni dall'ingresso nell'ambito di applicazione; misure di gestione dei rischi (fornitori di servizi essenziali ai sensi della precedente ZInfV) — 19 giugno 2026; misure di gestione dei rischi (tutti gli altri soggetti essenziali/importanti) — 19 dicembre 2026; ciclo di valutazione della conformità — almeno ogni 2 anni

    La Slovenia ha completato il recepimento della NIS2 il 19 giugno 2025. Il termine di registrazione presso URSIV del 19 dicembre 2025 è scaduto — i soggetti non ancora registrati devono agire immediatamente. I termini di attuazione della gestione dei rischi si estendono fino a giugno e dicembre 2026, e le valutazioni di conformità sono richieste almeno ogni due anni dalla designazione.

    16. Punti chiave per le PMI in Slovenia

    • I soggetti di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione; ZInfV-1 è in vigore dal 19 giugno 2025, e l'ambito di applicazione della Slovenia si estende oltre il minimo della Direttiva fino a includere istituzioni di ricerca e di istruzione superiore.
    • I soggetti di piccole dimensioni possono essere designati se critici per la stabilità nazionale o economica.
    • La vigilanza a livello di consiglio è obbligatoria.
    • La segnalazione degli incidenti segue i termini 24h / 72h / 1 mese; le segnalazioni sono presentate a URSIV e al CSIRT nazionale competente — SI-CERT (settore privato) o SIGOV-CERT (enti governativi).
    • Le sanzioni economiche possono raggiungere 10 milioni di euro o il 2% del fatturato globale.
    • È obbligatoria la gestione dei rischi dei fornitori.
    • Il termine di registrazione presso URSIV (19 dicembre 2025) è scaduto — registrarsi immediatamente se non già fatto; le misure di gestione dei rischi devono essere attuate entro il 19 giugno 2026 (soggetti essenziali ai sensi della precedente ZInfV) o entro il 19 dicembre 2026 (tutti gli altri); ZInfV-1 richiede ISMS e BCMS documentati allineati a ISO/IEC 27001; i soggetti essenziali necessitano di valutazione di conformità da parte di un CAB accreditato almeno ogni due anni.

    FAQ: Guida NIS2 per le PMI in Slovenia

    La direttiva NIS2 si applica alle piccole imprese in Slovenia?

    Le piccole imprese sono generalmente escluse, salvo designazione o operatività in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali sono automaticamente coperte.

    Quali sono le sanzioni NIS2 in Slovenia?

    Le Entità essenziali sono soggette a sanzioni fino a €10 milioni o al 2% del fatturato annuo mondiale. Le Entità importanti sono soggette a sanzioni fino a €7 milioni o all'1,4% del fatturato annuo mondiale.

    Quando entra in vigore la NIS2 in Slovenia?

    La Legge sulla sicurezza dell'informazione (ZInfV-1) è entrata in vigore il 19 giugno 2025, completando il recepimento della NIS2 in Slovenia. Il termine di registrazione presso URSIV per i soggetti già nell'ambito di applicazione (19 dicembre 2025) è scaduto. Gli obblighi di gestione dei rischi devono essere attuati entro il 19 giugno 2026 (fornitori di servizi essenziali ai sensi della precedente ZInfV) o entro il 19 dicembre 2026 (tutti gli altri soggetti essenziali e importanti). I soggetti non ancora registrati presso URSIV devono agire immediatamente.

    Chi applica la NIS2 in Slovenia?

    L'Information Security Administration (URSIV) funge da autorità di vigilanza principale, coordinandosi con i regolatori settoriali ove applicabile.

    Gli amministratori possono essere personalmente responsabili ai sensi della NIS2 in Slovenia?

    Gli organi di amministrazione devono approvare e supervisionare le misure di cybersicurezza. Gli strumenti amministrativi di applicazione possono includere poteri di sospensione delle funzioni manageriali nei casi gravi.

    In che cosa la NIS2 differisce dal GDPR in Slovenia?

    La NIS2 disciplina la resilienza in materia di cybersicurezza e la gestione del rischio operativo, mentre il GDPR regola la protezione dei dati personali. Entrambi i quadri possono applicarsi a seguito di un incidente informatico.

    Cosa qualifica come incidente significativo ai sensi della NIS2 in Slovenia?

    Un incidente che causi una grave interruzione, perdite finanziarie significative, impatto sociale o conseguenze transfrontaliere soddisfa in genere la soglia di segnalazione.