NIS2 in Repubblica Ceca: chi deve registrarsi e perché è obbligatorio
L’introduzione del nuovo Zákon o kybernetické bezpečnosti (ZKB), che implementa la direttiva europea NIS2, segna una trasformazione importante nel settore della cybersecurity in Repubblica Ceca. Infatti, questa normativa non riguarda solo infrastrutture nazionali o enti pubblici: secondo le stime, oltre 6.000 aziende dovranno conformarsi entro le scadenze previste.
Oggi l’obbligo principale è la registrazione delle aziende come soggetti regolamentati entro il 31 dicembre 2025. Questa registrazione è obbligatoria e rappresenta il primo passo. Senza di essa, infatti, non è possibile accedere al processo di conformità previsto dal 2026.
Chi deve registrarsi?
La normativa distingue due categorie di organizzazioni.
1. Essential Services (Služby základní)
Questa categoria include realtà considerate critiche per la sicurezza nazionale. In altre parole, la loro indisponibilità potrebbe causare conseguenze economiche o sociali rilevanti. Appartengono a questa classe:
- energia (elettricità, petrolio, gas e rete distributiva)
- servizi idrici
- trasporti (aereo, ferroviario, stradale, marittimo e logistica strategica)
- strutture sanitarie pubbliche e private
- infrastrutture digitali (data center, DNS, cloud provider europei)
- banche, assicurazioni e servizi finanziari regolamentati
- pubblica amministrazione
Per queste organizzazioni, la normativa richiede controlli più rigorosi. Inoltre, sono previsti audit periodici, continuità operativa, reporting avanzato e maggiore governance.
2. Important Services (Služby důležité)
Queste organizzazioni sono comunque obbligate alla registrazione. Tuttavia, i requisiti iniziali risultano meno severi. Rientrano in questa categoria:
- aziende ICT, web hosting, SaaS e cloud provider
- imprese manifatturiere di medie e grandi dimensioni
- gestione rifiuti e servizi ambientali
- spedizioni, logistica, poste e corrieri
- industria agroalimentare
- università e centri di ricerca
- fornitori IT di aziende classificate come essenziali
In alcuni casi, possono essere incluse anche aziende più piccole se parte della supply chain critica.
Criteri dimensionali
Non basta appartenere a un settore rilevante. Infatti, per rientrare negli obblighi NIS2, è necessario soddisfare almeno uno dei criteri seguenti:
- almeno 50 dipendenti, oppure
- almeno 10 milioni di euro di fatturato annuo
Sono previste eccezioni per aziende più piccole considerate strategiche.
Perché questo obbligo?
L’obiettivo principale è aumentare la resilienza digitale europea. Inoltre, la direttiva punta a creare un registro ufficiale di soggetti strategici per gestire la cybersecurity in modo standardizzato.
Una volta registrata, l’azienda diventa una regolovaná osoba e dovrà:
- implementare misure di sicurezza basate su standard come ISO 27000
- nominare un responsabile cybersecurity
- predisporre policy interne e governance
- notificare incidenti entro 24 ore
- dimostrare conformità tramite audit e documentazione
Cosa succede senza registrazione?
Le sanzioni sono molto severe. Infatti, le multe possono arrivare fino a:
- 250 milioni CZK, oppure
- 2% del fatturato annuo globale,
in base al valore più alto. Oltre a ciò, sono previste responsabilità dirette per il management.
Scadenze principali
| Data | Fase |
|---|---|
| 1 novembre 2025 | Entrata in vigore del nuovo ZKB |
| 31 dicembre 2025 | Scadenza per la registrazione obbligatoria |
| Durante il 2026 | Fase di adeguamento e controlli |
Di conseguenza, molte aziende hanno già avviato audit interni e attività preparatorie.
Immagine AI.
