La directive NIS2, entrée en vigueur le 17 janvier 2023 (16 octobre en Italie), représente un profond changement par rapport à la précédente directive NIS. Ce cadre réglementaire vise à créer une cyber-stratégie commune à tous les États membres de l'UE, avec pour objectif principal d'augmenter les niveaux de sécurité des services numériques dans l'ensemble de l'UE
La saison de mise en œuvre de la directive européenne NIS2 a officiellement commencé, ce qui représente un changement plus que significatif dans l'approche de la gestion de la sécurité de l'information.
Tout en appréciant l'effort de communication de l'Agence nationale de cybersécurité (ANC), qui relègue l'aspect du processus de répression et de sanction au second plan par rapport à la promotion de la participation active, il est évident que le processus de mise en œuvre des objectifs de la directive ne peut se résumer à une obéissance formelle au système de gestion de la sécurité - ce que l'on appelle communément la "sécurité papier" - mais nécessite au contraire un effort substantiel pour définir des objectifs concrets et durables en matière de sécurité.
La directive NIS2 représente une étape importante vers une cybersécurité et une résilience accrues, partagées par toute l'Europe. Lorsqu'il s'agit de règlements et de directives, de nombreuses entreprises considèrent la conformité comme l'objectif ultime : quelque chose qu'elles doivent respecter en se conformant à des exigences minimales. Or, cette conformité devrait être considérée comme le point de départ pour atteindre des niveaux plus élevés de cybersécurité.
La directive NIS2 découle d'une révision majeure du NIS et marque une nouvelle étape importante vers la définition complète de la cyberstratégie européenne, en prévoyant des réponses adéquates, coordonnées et innovantes de la part des États membres afin d'assurer la continuité des services numériques en cas d'incidents de sécurité.
La directive NIS2 élargit considérablement le champ d'application par rapport à la directive NIS précédente, en incluant des secteurs cruciaux tels que la gestion des déchets, les transports, l'industrie alimentaire, l'approvisionnement et la distribution d'eau potable, l'infrastructure numérique, l'administration publique, la production, la recherche et le développement de médicaments et de dispositifs médicaux, ainsi que le secteur spatial.
Le décret législatif 138/2024, qui transpose la directive NIS2 en droit italien, prévoit que les dispositions seront applicables à partir du 16 octobre 2024.
Le règlement ne s'appliquera pas aux petites entreprises , sauf si l'entité est considérée comme "critique" au sens de la directive RCE, si elle est un fournisseur de réseaux publics de communications électroniques, un fournisseur de services de confiance ou si elle entre dans d'autres catégories spécifiques considérées comme essentielles.
Le NIS2 s'applique également aux entreprises de moins de 50 employés si elles fournissent un service essentiel dans un État membre, si leur service est crucial pour la sûreté, la sécurité ou la santé publique, ou si elles font partie de la chaîne d'approvisionnement d'une entreprise essentielle ou importante.
Cette complexité opérationnelle se reflète dans le choix du législateur italien d'un modèle "à plusieurs niveaux". La première couche est la couche standard, c'est-à-dire celle des sujets essentiels ou importants qui dépassent les limites de taille des petites entreprises. La deuxième couche est constituée des entités qui, indépendamment de leur taille ou de leur chiffre d'affaires, entrent dans des catégories spécifiques prescrites.
Un problème important concerne la mesure réelle de l'aspect de la taille, en raison de la référence à la notion d'"entreprises affiliées" sur laquelle, dans le monde des affaires, il n'y a pas toujours une clarté de vision absolue.
Le lien entre deux ou plusieurs sociétés est, en théorie, indépendant de l'intention de former un véritable groupe formalisé, ce qui a pour conséquence d'exclure du groupe des petites et moyennes entreprises les entités qui, même considérées individuellement, n'atteindraient pas les limites de taille prévues par la règle.
Lorsque nous passons de l'idéalité du processus à l'approche concrète, le problème est assez différent, car il se heurte à la taille économique d'un pays dont la structure fondamentale est constituée d'un grand nombre de petites et moyennes entreprises. Cela pose un défi important dans la mise en œuvre de NIS2, qui pourrait être excessivement lourd pour les réalités plus petites.
Créée dans le but d'améliorer la cybersécurité de l'Union européenne, la directive NIS2 prévoit des sanctions purement administratives et pénales. Les opérateurs essentiels sont passibles d'amendes administratives pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial total. Les opérateurs majeurs, quant à eux, peuvent se voir infliger des amendes allant jusqu'à 7 millions d'euros ou jusqu'à 1,4 % du chiffre d'affaires mondial total.
Le décret législatif introduit une certitude : il y aura une responsabilité des organes de gestion et de direction. Les organes de direction des entreprises seront appelés à jouer un rôle actif dans le respect de la législation, ils devront approuver la mise en œuvre des mesures de gestion des risques de sécurité, superviser l'exécution des obligations prévues par la législation et seront tenus pour responsables en cas de violation.
Le décret de transposition renforce les exigences en matière de notification des incidents, en stipulant que les incidents ayant un impact significatif sur la prestation de services doivent être signalés au CSIRT Italie dans les plus brefs délais. La procédure de notification prévoit des délais stricts : une pré-notification dans les 24 heures, une notification dans les 72 heures suivant l'événement et un rapport final dans le mois suivant l'événement.
La directive NIS2 définit un certain nombre d'exigences principales que les organisations doivent respecter pour garantir un niveau élevé de cybersécurité. Ces exigences comprennent : l'analyse des risques et les politiques de sécurité des systèmes d'information, les stratégies d'évaluation de l'efficacité des mesures de gestion des risques, les pratiques de base en matière d'hygiène numérique et la formation à la cybersécurité.
Il apparaît que la législation transposant la directive NIS2 ne se concentre pas seulement sur les secteurs considérés comme hautement critiques ou critiques, mais, de manière prévoyante, également sur leurs fournisseurs, élargissant ainsi considérablement le nombre de sujets susceptibles d'être affectés par l'application du décret législatif.
La directive NIS 2 prévoit que les entités obligées devront prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques de sécurité posés aux systèmes d'information et aux réseaux, en tenant également compte de la sécurité de la chaîne d'approvisionnement, y compris les aspects de sécurité concernant la relation entre chaque entité et ses fournisseurs directs ou ses prestataires de services.
C'est ainsi que commence la course à la conformité, qui doit être achevée d'ici octobre 2026. Au début de l'année 2025, les entreprises identifiées comme sujets NIS2 doivent être opérationnelles et avoir mis en place toutes les mesures nécessaires, y compris les systèmes de gestion de la sécurité informatique et les responsabilités de gestion. D'ici mai 2025, les entreprises doivent mettre à jour leurs données dans la plateforme institutionnelle. En janvier 2026, l'obligation formelle de signaler les incidents significatifs en temps utile entre en vigueur et, en septembre 2026, les organisations doivent avoir mis en œuvre toutes les mesures de sécurité requises.
À partir du 16 octobre 2024, le nouveau règlement sur la sécurité des réseaux et de l'information (NIS) est en vigueur. L'ACN est l'autorité compétente en matière de NIS et le point de contact unique. Du 1er décembre 2024 au 28 février 2025, les moyennes et grandes entreprises, dans certains cas également les petites et microentreprises, ainsi que les administrations publiques auxquelles la nouvelle législation s'applique doivent s'enregistrer sur le portail de services ACN.
L'interconnexion et la numérisation croissantes de la société exposent de plus en plus les institutions, les entreprises et les citoyens aux cybermenaces.
La direction de l'Agence nationale de cybersécurité s'est publiquement engagée à pérenniser ce processus, qui peut véritablement marquer un tournant dans la capacité du pays à faire face aux menaces croissantes. Il faudra attendre de voir comment le tissu productif et administratif du pays sera capable de répondre à ce qui est, de toute évidence, un profond tournant culturel et qui, comme on peut s'en douter, ne sera ni une promenade de santé ni "neutre en termes de coûts".
L'adaptation à NIS2 n'est donc pas seulement une question de conformité à la norme, mais peut aussi être une bonne occasion d'introduire une culture de la sécurité ainsi que les meilleures pratiques techniques et organisationnelles dans l'entreprise, ce qui peut augmenter considérablement le niveau de sécurité informatique. Il est toutefois important de commencer dès à présent à préparer un plan d'adaptation afin de mettre en conformité les différents actifs et le personnel de l'entreprise par étapes avec des cycles de formation périodique appropriés.
Même si vous ne faites pas partie des entreprises tenues de se conformer à la directive NIS2, il est important de commencer un cours de sensibilisation aux cyberrisques pour protéger l'avenir de votre entreprise.
Le NIS2 représente donc un défi complexe mais nécessaire pour les entreprises italiennes. S'il impose de nouvelles obligations et responsabilités qui peuvent sembler lourdes, il offre aussi l'occasion de repenser la sécurité informatique comme un élément stratégique et non comme un simple coût.
.svg)
.svg)
.svg)
.jpeg)
.png)
.jpeg)
