Vai al contenuto principale
NIS2Certify
Torna alla panoramica

Francia e Spagna deferite alla CGUE su NIS2: cosa devono fare i fornitori ora

Di NIS2Certify
nis2franciaspagnacguecatena-di-approvvigionamentomsp
Francia e Spagna deferite alla CGUE su NIS2: cosa devono fare i fornitori ora

Il 9 giugno 2026 la Commissione europea ha deferito Francia e Spagna alla Corte di giustizia dell'Unione europea per non aver recepito NIS2 nel diritto nazionale. A oltre 18 mesi dalla scadenza, le due maggiori economie dell'UE non hanno ancora la direttiva nei loro codici di legge — e ora è coinvolto l'unico organo che può sanzionare uno Stato membro per aver ignorato il diritto dell'UE.

Se assisti organizzazioni che operano in Francia o in Spagna, questa non è una storia di procedure di Bruxelles. Cambia il modo in cui devi impostare il lavoro di preparazione a NIS2 in quei mercati proprio ora. Ecco cosa significa davvero il deferimento e cosa dire ai tuoi clienti questa settimana.

Il deferimento è il capolinea, non un colpo di avvertimento

La Commissione non si rivolge per prima alla CGUE. Il percorso verso un deferimento è lungo e deliberato, e Francia e Spagna lo hanno ora percorso interamente.

La scadenza di recepimento era il 17 ottobre 2024. Solo quattro Stati membri l'hanno rispettata. La Commissione ha avviato procedure d'infrazione contro 23 Paesi il 28 novembre 2024 con lettere di messa in mora. Ha intensificato il 7 maggio 2025 con pareri motivati a 19 governi — la fase formale «avete due mesi per conformarvi». Francia e Spagna erano in quella lista, non si sono conformate e sono ora deferite alla Corte.

Il deferimento è la fase finale. La CGUE è l'unico organo che può condannare uno Stato membro a pagare per violazione del diritto dell'UE, mediante somme forfettarie e penalità giornaliere che si accumulano fino alla correzione della legge. Questa pressione finanziaria grava ora su Parigi e Madrid, il che significa che il recepimento nazionale è molto più probabile che arrivi nel 2026 che slittare di nuovo.

Stato di Attuazione NIS2 per Paese (2025–2026)
Pienamente in vigore
Belgio
Croazia
Ungheria
Lituania
Lettonia
Italia
6 paesi
Adottata — fine 2025
Germania
Repubblica Ceca
Finlandia
3 paesi
In corso — previsto 2026
Paesi Bassi
Francia
Spagna
Polonia
Austria
Svezia
Irlanda
7 paesi

Francia e Spagna hanno preso strade diverse verso lo stesso luogo

I due ritardi non hanno la stessa causa, e questo conta per prevedere la tempistica.

La Spagna ha approvato un disegno di legge sulla cybersicurezza in Consiglio dei ministri nel gennaio 2025, ma il testo definitivo non è ancora pubblicato. La legge dovrebbe entrare in vigore nel corso del 2026. Il quadro esiste sulla carta — ciò che manca è la promulgazione.

La Francia ha integrato NIS2 in una legge più ampia sulla resilienza delle infrastrutture critiche, un pacchetto legislativo più esteso non ancora pienamente promulgato. La direttiva è legata a un veicolo più grande e più lento, motivo per cui la tempistica francese è più difficile da prevedere.

Per un consulente, la lettura pratica è questa: entrambi i Paesi avranno quasi certamente una legge in vigore entro i prossimi 12 mesi, e il deferimento alla CGUE rende politicamente costoso ogni ulteriore ritardo. Tratta l'assenza di una legge nazionale come una questione di tempistica, non come un motivo per attendere.

«Ancora nessuna legge nazionale» è la cosa più pericolosa che un cliente possa credere

Il rischio maggiore in Francia e Spagna in questo momento è il cliente che legge i titoli e conclude di avere una tregua. Non ce l'ha.

Gli obblighi NIS2 non derivano solo dal Paese in cui un'azienda ha sede. Se il tuo cliente vende a, o gestisce infrastrutture per, soggetti in Stati membri che hanno recepito — Germania, Italia, Belgio, Paesi Bassi e gran parte del blocco —, quegli obblighi si applicano già attraverso la catena di approvvigionamento. A un managed service provider francese che serve soggetti essenziali tedeschi vengono richieste oggi prove ai sensi dell'Articolo 21, a prescindere da cosa la Francia abbia adottato o meno.

Le disposizioni della direttiva sulla catena di approvvigionamento sono il meccanismo. I soggetti essenziali e importanti devono gestire la sicurezza dei propri fornitori, il che significa che trasferiscono requisiti di sicurezza contrattuali ai fornitori, ovunque essi si trovino. L'obbligo si propaga a cascata dalla giurisdizione conforme a quella non conforme.

Escalation delle sanzioni NIS2 — Oltre la multa
!
Evento scatenante
Non conformità rilevata o incidente verificatosi
Un'autorità di vigilanza identifica una lacuna di conformità o un'organizzazione non soddisfa i requisiti NIS2
Le autorità possono imporre
Sanzioni non finanziarie
1
Ordini di conformità con scadenze vincolanti
2
Audit di sicurezza obbligatori a vostre spese
3
Divulgazione pubblica delle violazioni
4
Istruzioni vincolanti su misure di sicurezza specifiche
Scala verso
Conseguenze operative e personali
1
Sospensione di certificazioni o licenze operative
2
Divieto temporaneo di funzioni dirigenziali per individui
3
Denominazione pubblica delle persone fisiche responsabili
Evento scatenante
Non finanziario
Operativo / personale

Quindi il messaggio onesto a un cliente francese o spagnolo è: la legge nazionale sta arrivando, i tuoi clienti in altri Stati membri sono già vincolati, e i requisiti contrattuali ti raggiungono adesso. Il divario tra «il nostro Paese non ha recepito» e «non abbiamo obblighi» è esattamente dove le organizzazioni impreparate vengono colte alla sprovvista.

Determinare l'ambito quando il testo nazionale non è definitivo

La complicazione in Francia e Spagna è che le definizioni nazionali finali — allegati settoriali, soglie dimensionali, la linea tra soggetti essenziali e importanti — non sono fissate. La determinazione dell'ambito si basa di norma sulle specificità della legge di recepimento. Qui non le hai ancora.

Lavora a partire dalla direttiva stessa. Gli elenchi settoriali di NIS2 e la soglia di media impresa (50+ dipendenti o 10 mln €+ di fatturato, con eccezioni per alcuni fornitori critici indipendentemente dalle dimensioni) sono fissati a livello UE e cambieranno poco con il recepimento. Un cliente chiaramente nell'ambito della direttiva lo sarà anche sotto la legge francese o spagnola. Costruisci ora la valutazione di preparazione sulla base della direttiva, e tratta il futuro testo nazionale come un affinamento anziché un punto di partenza.

La NIS2 si Applica alla Tua Organizzazione?
1
La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
No
2
La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
No
3
La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
No
La NIS2 non si applica direttamente alla tua organizzazione.
La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
!
La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
Si applica
Possibile applicazione
Non si applica

Qui proteggi anche la tua credibilità. Di' ai clienti quali conclusioni sono ferme (derivate dalla direttiva e poco probabili da cambiare) e quali sono provvisorie (dipendenti da specificità nazionali ancora da pubblicare). Un'analisi dei divari costruita sulla direttiva sarà durevole al 90 %; segnala il 10 % che può cambiare.

Cosa fare questa settimana con i clienti francesi e spagnoli

Il deferimento è uno stimolo, non un'esercitazione antincendio. Passi concreti:

Mappa prima l'esposizione del cliente. Per ogni cliente, elenca gli Stati membri toccati dai suoi clienti e dalle sue attività. Ogni giurisdizione conforme in quell'elenco significa obblighi attivi oggi, legge nazionale o meno. È di solito il modo più rapido per mostrare a un cliente scettico perché «aspettiamo la legge» è la postura sbagliata.

Esegui l'analisi dei divari rispetto alla base della direttiva. Non aspettare il testo nazionale. Le misure dell'Articolo 21 — gestione del rischio, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, gestione delle vulnerabilità, igiene cibernetica di base, MFA — sono a livello UE e stabili. Valuta rispetto a esse.

Metti in ordine il linguaggio contrattuale dei fornitori. La cascata della catena di approvvigionamento arriva tramite i contratti. I clienti che ricevono nuove clausole di sicurezza dai loro acquirenti tedeschi o italiani devono saper rispondere. I clienti che sono essi stessi soggetti essenziali o importanti devono iniziare a trasferire i requisiti ai propri fornitori.

Documenta ora la posizione di preparazione, così che alla pubblicazione della legge francese o spagnola — probabilmente con un breve preavviso prima dell'applicazione — il tuo cliente passi da «iniziare» a «dimostrare» anziché correre. Le organizzazioni che hanno interpretato il ritardo come una boccata d'aria troveranno la finestra di applicazione scomodamente stretta.

Il deferimento alla CGUE ti dice che il ritardo sta finendo. Gli Stati membri che hanno tergiversato sono proprio quelli la cui applicazione sarà più severa una volta in vigore la legge, proprio perché la Commissione ha già perso la pazienza. Posiziona i tuoi clienti per essere pronti prima che il testo sia definitivo, non dopo.

Se vuoi una lettura rapida e strutturata per capire se un cliente rientra nell'ambito e dove sono i divari maggiori, fallo passare attraverso lo scan rapido di preparazione NIS2 — funziona a partire dalla base della direttiva, esattamente ciò che ti serve mentre Francia e Spagna completano le loro leggi nazionali.

Per il quadro più ampio su come gli obblighi della direttiva relativi alla catena di approvvigionamento si spostano tra le giurisdizioni, consulta la nostra guida sulla sicurezza della catena di approvvigionamento NIS2 e sui contratti con i fornitori ai sensi dell'Articolo 21.

    Francia e Spagna deferite alla CGUE su NIS2: cosa devono fare i fornitori ora — NIS2Certify