NIS2 in Spagna

1. Panoramica rapida dell'applicabilità per le PMI in Spagna

NIS2 si applica alle PMI in Spagna?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica ai soggetti stabiliti in Spagna e, in alcuni casi, ai fornitori digitali stranieri che servono il mercato spagnolo.

Le PMI dovrebbero valutare la qualificazione ai sensi del quadro nazionale di cibersicurezza della Spagna in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell'attuazione della NIS2 in Spagna

La Spagna non ha ancora adottato il proprio recepimento della NIS2. L'Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad è stato approvato dal Consiglio dei ministri il 14 gennaio 2025 ma, ad aprile 2026, resta in attesa del dibattito parlamentare presso le Cortes Generales. La Spagna ha mancato il termine di recepimento del 17 ottobre 2024 e ha ricevuto un parere motivato della CE il 7 maggio 2025. Il quadro NIS1 (Royal Decree-Law 12/2018) continua ad applicarsi.

Una volta adottata, la nuova legge istituirà il Centro Nacional de Ciberseguridad (CNC) come autorità principale, punto di contatto unico per l'UE e coordinatore delle crisi. Sono designati tre CSIRT di riferimento — CCN-CERT (settore pubblico), INCIBE-CERT (entità private) e ESPDEF-CERT (Forze armate). Le notifiche transiteranno tramite la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

L'anteprogetto spagnolo estende l'ambito oltre il minimo della Direttiva (università, centri di ricerca, grandi comuni, società di sicurezza privata, entità con implicazioni per la difesa e società estere con stabilimento permanente in Spagna), introduce una struttura sanzionatoria nazionale graduata (€10.000–€2 mln, con massimali più elevati di tipo NIS2 per i casi più gravi) e impone a ciascuna entità la designazione di un Responsable de Seguridad de la Información.

3. Ambito di applicazione in Spagna

L'ambito della Spagna riflette le categorie settoriali minime della Direttiva senza un'espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Spagna

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Gli enti che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nel campo di applicazione.

Le piccole e micro imprese possono essere designate se ritenute critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità spagnole mantengono poteri formali di designazione laddove il rischio sistemico ne giustifichi l'inclusione.

5. Quadro di classificazione degli enti in Spagna

Gli enti sono classificati come:

• Entità essenziali — Soggette a vigilanza proattiva, comprese ispezioni e monitoraggio strutturato della conformità.
• Entità importanti — Soggette principalmente a vigilanza reattiva attivata da incidenti significativi o da problematiche di conformità.

La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano un rafforzamento della vigilanza.

La Spagna adotta la struttura di vigilanza a due livelli prevista dalla Direttiva.

6. Requisiti di gestione dei rischi di cybersicurezza in Spagna

Il regime nazionale della Spagna è allineato al livello di riferimento della Direttiva per la gestione dei rischi di cybersicurezza. Le entità rientranti nel campo di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura ai sensi della NIS2 in Spagna
• Acquisizione e sviluppo sicuri dei sistemi TIC
• Controllo degli accessi e gestione delle identità
• Cifratura e misure crittografiche di protezione
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cibersicurezza

Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. Si incoraggia l'allineamento con ISO/IEC 27001 e con le linee guida spagnole in materia di cybersicurezza.

7. Responsabilità del management e governance in Spagna

Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cibersicurezza e sovrintendere alla loro attuazione.

Ai sensi del quadro spagnolo:

• Gli organi di gestione sono responsabili della supervisione della conformità.
• L'alta dirigenza deve garantire competenze adeguate in materia di cibersicurezza.
• Le sanzioni amministrative possono essere comminate per carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione allineati alla direttiva.

Le aspettative in Spagna in materia di responsabilità del management ai sensi della NIS2 elevano la governance della cibersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Spagna

9. Autorità di vigilanza e modello di applicazione in Spagna

Nell'attuale quadro NIS1 (ancora in vigore), i ministeri settoriali fungono da autorità competenti. Ai sensi del progetto di Ley (non ancora adottato), il Centro Nacional de Ciberseguridad (CNC) sarà l'autorità principale, punto di contatto unico per l'UE e autorità di gestione delle crisi, coordinando i tre CSIRT nazionali (CCN-CERT, INCIBE-CERT, ESPDEF-CERT). Un regime transitorio mantiene le autorità settoriali fino a quando il CNC non sarà operativo.

La Spagna adotta un modello di vigilanza multi-autorità. I ministeri settoriali vigilano attualmente ai sensi della NIS1; la legge proposta centralizzerebbe il coordinamento sotto il CNC, con CCN-CERT, INCIBE-CERT ed ESPDEF-CERT a fornire supporto nella risposta agli incidenti. Tali disposizioni non sono ancora operative giuridicamente.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

La struttura di applicazione è allineata ai requisiti di cooperazione previsti dalla Direttiva. Tali poteri non sono ancora operativi giuridicamente in attesa dell'adozione della Ley de Coordinación y Gobernanza de la Ciberseguridad.

10. Ammende e sanzioni NIS2 in Spagna

La Spagna applica sanzioni amministrative allineate alla Direttiva.

Nell'applicazione in Spagna, le sanzioni NIS2 possono anche includere:

• Ordini vincolanti di porre rimedio
• Identificazione pubblica delle entità non conformi
• Sospensione delle autorizzazioni o delle certificazioni
• Poteri di sospensione delle funzioni dirigenziali

La responsabilità penale si applica solo laddove espressamente prevista dalla legislazione spagnola.

11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Spagna

Le entità devono gestire l'esposizione ai rischi di cybersicurezza derivanti da terze parti tramite:

• Valutazioni del rischio dei fornitori
• Disposizioni contrattuali a cascata in materia di sicurezza
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio della Spagna è allineato alle aspettative di base della Direttiva NIS2 riguardo alla gestione del rischio dei fornitori.

12. Obblighi di registrazione e di auto-identificazione in Spagna

Le entità rientranti nel campo di applicazione devono:

• Attualmente in Spagna non esiste alcun obbligo di registrazione NIS2 — la Ley de Coordinación y Gobernanza non è ancora stata adottata; i requisiti di registrazione saranno stabiliti una volta approvata la legge; le entità dovrebbero avviare sin da ora un'autovalutazione volontaria per determinare la probabile classificazione come essenziali/importanti
• Fornire i dati identificativi societari
• Comunicare la classificazione di settore
• Mantenere aggiornati i contatti per le segnalazioni

Non vi sono attualmente termini di registrazione o di conformità NIS2 attivi in Spagna. Una volta adottata, la legge fisserà i termini di registrazione e imporrà la designazione di un Responsable de Seguridad de la Información per ciascuna entità. Utilizzare le linee guida settoriali e gli strumenti di autoclassificazione di INCIBE per prepararsi.

L'auto-identificazione diverrà obbligatoria una volta adottata la legge. Si raccomanda vivamente una valutazione volontaria dell'ambito sin da ora (classificazione settoriale + soglie dimensionali).

13. Interazione con il Regolamento generale sulla protezione dei dati (RGPD) e altre leggi in Spagna

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le considerazioni sulle sovrapposizioni includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Spagna sono sottoposte alla vigilanza delle autorità competenti spagnole per i servizi transfrontalieri.

I fornitori di servizi digitali stranieri che offrono servizi in Spagna possono essere soggetti a obblighi nazionali a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della direttiva per i fornitori di paesi terzi che servono il mercato spagnolo.

15. Calendario di attuazione in Spagna

• Adozione della Direttiva: 2022
• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: Anteproyecto approvato dal Consiglio dei ministri il 14 gennaio 2025; consultazione pubblica gennaio–febbraio 2025; in attesa del dibattito parlamentare presso le Cortes Generales ad aprile 2026
• Entrata in vigore: Non ancora adottata; il RD-Legge NIS1 12/2018 continua ad applicarsi
• Notifica alla Commissione: Parere motivato della CE del 7 maggio 2025; resta possibile il deferimento alla CGUE
• Traguardo di conformità: Nessuna scadenza NIS2 attualmente attiva; gli obblighi di registrazione, classificazione e gestione dei rischi saranno fissati dopo l'adozione

La Spagna ha mancato la scadenza UE per la NIS2 e resta soggetta a procedura di infrazione della CE. La Ley de Coordinación y Gobernanza è in attesa di adozione parlamentare; la NIS1 continua ad applicarsi. Le entità dovrebbero sfruttare questo periodo per valutazioni volontarie dell'ambito e per la preparazione alla conformità.

16. Punti chiave per le PMI in Spagna

• Le entità di medie dimensioni nei settori coperti rientreranno nell'ambito di applicazione una volta adottata la legge; il progetto estende l'ambito oltre il minimo della Direttiva (università, centri di ricerca, grandi comuni, società di sicurezza privata) — avviare sin da ora una valutazione volontaria dell'ambito.
• Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione a livello dell'organo di gestione è obbligatoria.
• La notifica degli incidenti seguirà le scadenze di 24 ore / 72 ore / 1 mese una volta adottata, presentata al CSIRT competente — CCN-CERT (pubblico) / INCIBE-CERT (privato) / ESPDEF-CERT (Forze armate).
• Le sanzioni pecuniarie possono raggiungere €10 milioni o il 2% del fatturato mondiale.
• È obbligatoria la gestione del rischio dei fornitori.
• Il progetto di legge non è ancora stato adottato ma l'adozione potrebbe avvenire in qualsiasi momento. Effettuare una valutazione volontaria dell'ambito utilizzando gli strumenti di INCIBE, allineare la governance interna al quadro ENS (Esquema Nacional de Seguridad) e prepararsi a designare un Responsable de Seguridad de la Información dopo l'adozione.

FAQ: Guida NIS2 per le PMI in Spagna